Знакомство с оснасткой Групповая политика

 

Эта оснастка позволяет настраивать компьютеры сети как ло-кально, так и глобально посредством взаимодействия со специаль-ной распределенной по всем компьютерам этой сети базой дан-ных. Эта база данных организована в виде распределенного по се-ти каталога и предназначена для хранения значений всевозможных параметров и состояния различных объектов (компьютеров и дру-гих устройств, а также элементов системного программного обес-печения). Такое взаимодействие обеспечивается специальной рас-пределенной программой, разные части которой функционируют в различных компьютерах сети. Эта программа называется службой каталогов Active Directory или просто Active Directory.

 

Административное средство Active Directory предназначено для решения повседневных задач сетевого управления, в число которых входят: создание, удаление, изменение, перемещение и предоставление разрешений на объекты каталога, которые назы-ваются объектами управления в сети. Такими объектам могут быть отделы организации, где сеть функционирует, пользователи, кон-такты, группы, компьютеры, принтеры, а также общие файлы.

 

Active Directory обеспечивает системного администратора ие-рархическим представлением сети в виде иерархически организо-ванной структуры, отдельные элементы которой объединены в группы по функциональному признаку (группа отделов, группа пользователей, группа контактов, группа компьютеров и так да-лее). Эти группы в свою очередь могут подразделяться на более мелкие группы уже по структурному признаку, например, группа пользователей состоит из локальных групп пользователей отдель-ных компьютеров сети, а группа компьютеров подразделяется на группы компьютеров отдельных доменов, на которые разбивается сеть, если она оказывается достаточно сложной. В тех случаях,

 

когда сеть очень сложна (например, Интернет), ее домены могут в свою очередь разбиваться на части, называемые подразделениямислужбы каталогов Active Directory. Служба каталоговActiveDirectory представляет собою единую систему средств управления всеми сетевыми объектами операционной системы. Служба ката-логовActiveDirectory в ОС Windows является по умолчанию скрытой от пользователей сети.

Задачи конфигурирования системы и задание набора условий

 

и параметров, приводящих к определенным ограничениям или разрешениям в ОС, составляют групповую политику этой систе-мы. Параметры групповой политики, в частности, определяют раз-личные элементы конфигурации пользователя в части окружения пользовательского рабочего стола – программы, доступные поль-зователям, программы, отображающиеся на рабочем столе, и па-раметры меню Пуск, а также конфигурации компьютера, включая параметры, применяемые вне зависимости от того, кто работает на этих компьютерах.

 

Набор указанных параметров групповой политики составляет отдельный ее объект, который, в свою очередь, связан с другими объектами Active Directory – сайтами, доменами или подразделения-ми. Объект групповой политики в целом состоит из объектов, созда-ваемых оснасткой, когда кто-то из пользователей меняет значения соответствующих параметров. Они хранятся на уровне домена и ока-зывают влияние на пользователей и на компьютеры доменов и их подразделений. Кроме того, каждый компьютер с ОС Windows имеет единственную, хранящуюся локально группу параметров, ко-

 

торая называется локальным объектом групповой политики. Чтобы создать частную конфигурацию компьютера для определенной груп-пы пользователей используется оснастка Редактор объекта группо-

вой политики ( другое название– Групповая политика).

При установке оснастки Редактор объекта групповой поли-

 

тики на консольMMCтребуется указать,для какого компьютера(локального или какого-либо другого компьютера сети) оснастка устанавливается. Ниже мы будем рассматривать вариант установ-ки оснастки для локального компьютера, то есть того, за которым работает текущий пользователь. В этом варианте установленная оснастка получает название Политика"Локальный компьютер".

 

Все многообразие параметров групповой политики содержит-ся в соответствующих так называемых расширениях оснастки "Ло-

 

кальный компьютер",посредством которых системному админи-стратору предоставляются следующие возможности по управле-нию процессами и ресурсами ОС Windows:

 

– На основе реестра, используя расширение Административныешаблоны. При этом создается файл,содержащий параметры реестра,записанные в область базы данных реестра пользователя, в разделе

 

HKEY_CURRENT_USER и в разделе KEY_LOCAL_MACHINE для локального компьютера.

 

– Посредством расширения Назначение сценариев. Групповая политика указывает сценарии входа/выхода пользователей из сис-темы и загрузки/завершения работы.

 

– Используя Редактор перенаправления папок, имеется воз-

 

можность перенаправить системные папки Мои документы и Моирисунки,из папки Documents and Settings локального компьютера вновое место расположения в сети.

 

– На основе расширения Установка программ, которое по-зволяет назначать, блокировать и восстанавливать приложения.

 

– Посредством расширения Параметры безопасности, позво-ляющего устанавливать ограничения на использование программ, политику отрытого ключа, а также осуществлять управление по-литикой безопасности IP.

 

Более подробная информация приводится ниже.

2.2.1.1. Административные шаблоны –это текстовые файлы

 

с расширением.adm, содержащие сведения о политике для эле-ментов, расположенных в папке Административные шаблоны ос-настки. В ОС Windows доступно четыре файла административ-ных шаблонов, справочные файлы которых приведены в табл. 2.

 

Файлы административных шаблонов состоят из иерархии ка-тегорий и подкатегорий, которые вместе определяют отображение параметров групповой политики. В них содержатся следующие сведения:

 

– размещение параметров реестра, соответствующих каждому параметру административного шаблона групповой политики, ве-личина параметров или ограничений, связанных с каждым пара-метром административного шаблона,

 

– значение по умолчанию для большинства параметров,

– объяснение функции каждого параметра,

– версии ОС Windows, поддерживающие каждый параметр.

 

		Таблица 2
Административные шаблоны ОС Windows
Шаблон (.adm)	Справка по параметрам	Описание
System – управле-	%systemroot%\help\system.chm	В групповой политике
ние оборудовани-		шаблон установлен по
ем системы		умолчанию для клиен-
		тов ОС Windows 2000
		и XP
Inetres – управле-	%systemroot%\help\inetres.chm	В групповой политике
ние работой Inter-		шаблон Internet Ex-
net Explorer		plorer установлен по
		умолчанию для клиен-
		тов ОС Windows 2000
		и XP
Wmplayer – про-	%systemroot%\help\wmplay.chm	Параметры проигры-
игрыватель Win-		вателя для клиентов
dows media player		ОС Windows 2000 и
(WMP)		XP
Conf – программа	%systemroot%\help\conf1.chm	Параметры програм-
организации кон-		мы NetMeeting для
ференций (Net-		клиентов ОС Windows
Meeting)		2000 и XP

 

2.2.1.2. В среде ОСWindowsимеется возможность исполь-зования сценариев посредством двух серверов Wscript.exe или Cscript.exe, поддерживающих как Visual Basic Scripting Edition (расширение.vbs), так и JScript (расширение.js) файлы. В частно-сти, в средствах оснастки Групповая политика имеется два рас-ширения, расположенные в узлах консоли Конфигурация компью-тера | Конфигурация Windows или Конфигурация пользователя | Конфигурация Windows,позволяющие развертывать сценарии сиспользованием указанных серверов ОС Windows. Эти расши-рения следующие:

 

– сценарии (запуск/завершение) –расширение,посредствомкоторого можно указать локально выполняемый сценарий при за-пуске и завершении работы компьютера;

 

– сценарии (вход/выход из системы) –расширение,посред-

 

ством которого можно указать выполняемый сценарий при входе и выходе пользователя из системы. Эти сценарии запускаются с пра-вами пользователя, а не администратора.

 

2.2.1.3. Перенаправление папки используется для перемеще-ния некоторых специальных папок, например Мои документы и

 

Мои рисунки,в заданное место в сети для их последующего досту-па с разных узлов. В ОС Windows возможны следующие спе-циальные папки для перенаправления (табл. 3).

 

	Таблица 3
Специальные папки ОС Windows
Специальная папка	Примечания
Application Data	Параметры групповой политики управляют
	поведением папки «Application Data» при
	включении кэширования на стороне клиента.
	Параметры расположены в дереве консоли
	«Групповая политика» в Административных
	шаблонах\Сеть\Автономные файлы.
Рабочий стол	Папка может быть перенаправлена независи-
	мо от всех остальных специальных папок.
Мои документы	Особенности и преимущества перенаправле-
	ния этой папки описаны ниже.
Мои документы\Мои рисунки	Эта папка может быть перенаправлена незави-
	симо от предыдущей папки Мои документы
	или совместно с ней, как это происходит по
	умолчанию. Именно эта комбинация является
	рекомендуемой.
Главное меню	При перенаправлении папки Главное меню ее
	подпапки всегда перенаправляются вместе с
	ней.

 

Некоторые из преимуществ, описанных ниже, относятся к пе-ренаправлению любой специальной папки, однако перенаправле-ние папки Мои документы может быть особенно удобным, по-скольку со временем размер этой папки может увеличиваться.

 

– При использовании перемещаемого профиля пользователя его частью является только сетевой путь к папке Мои документы, но не сама папка. Поэтому ее содержимое не нужно копировать и перемещать между клиентом и сервером каждый раз при входе пользователя в систему или его выходе, что делает процессы входа

 

и выхода сравнительно быстрее.

 

– Даже если пользователь входит в сеть с различных компью-теров, все его документы всегда доступны.

 

– Технология автономных файлов обеспечивает пользовате-лям доступ к папке Мои документы даже при отсутствии подклю-чения к сети. Это особенно полезно для пользователей, приме-няющих мобильные компьютеры.

 

– Имеется возможность архивировать данные, хранящиеся на сервере, при управлении перемещаемыми профилями. Это являет-ся более безопасным, поскольку не требуется вмешательство поль-зователя.

 

– Системный администратор может устанавливать дисковые квоты с помощью групповой политики, ограничивая дисковое пространство, выделенное пользователю для специальных папок.

 

– Данные пользователя могут быть перенаправлены на жесткий диск локального компьютера с другого жесткого диска, на котором хранятся системные файлы ОС. Это может обезопасить пользова-тельские файлы, если необходимо будет ее переустанавливать.

 

Кроме всего прочего, в ОС Windows имеется возможность предоставления исключительных прав на специальные папки. Ес-ли на вкладке Параметры диалогового окна свойств каждой папки установить флажок Предоставить права монопольного доступа кпапке «Мои документы»,пользователь и локальная система полу-чают полный контроль над папкой, и никто другой, включая адми-нистратора, не будет иметь на нее никаких прав. В противном слу-чае, если этот параметр отключен, то разрешения для папки не из-меняются, а используются, применяемые по умолчанию разреше-ния. Еще одна возможность заключается в том, что на специаль-ные папки могут быть расширены дополнительные разрешения, полный список которых доступен в справке ОС Windows.

 

2.2.1.4. Установка программного обеспечения является неотъ-емлемой процедурой при работе с любой ОС. Для этого использу-ется одноименная оснастка «Установка программного обеспече-ния», которая помогает определить способ установки и сопровож-дения приложений. Также с ее помощью можно управлять прило-жением внутри объекта групповой политики посредством службы каталогов Active Directory.

 

Приложения управляются в одном из двух режимов: назначе-ния или публикации. Приложение назначается,когда необходимо,чтобы оно было установлено на всех узлах сети. Например, требу-ется, чтобы на всех компьютерах аудитории было установлено од-но и то же приложение. Поскольку объект групповой политики управляет всеми пользователями аудитории, при назначении при-ложения в объекте групповой политики оно одновременно объяв-ляется на всех компьютерах, но при этом фактически не устанав-

 

ливается. Устанавливаются лишь только необходимые данные для создания ярлыка этого приложения в меню Пуск, а в реестре осу-ществляется связывание расширения его документа с ним самим. При первом выборе приложения на загрузку, а также, если пользо-ватель, не запускавший приложение ранее, выбирает его документ для работы, приложение устанавливается автоматически с одно-временным открытием этого документа. Назначенное в системе приложение можно удалить, но оно будет объявлено снова при следующем входе. Если выбрать его в меню Пуск, оно будет по-вторно автоматически установлено.

 

Приложение публикуется, если необходимо сделать его дос-тупным для тех пользователей, управляемых объектом групповой политики, кто хочет установить это приложение. При этом у поль-зователей имеется выбор самостоятельно решать, устанавливать приложение или нет. Например, если приложение публикуется для пользователей, желающих его установить, им следует для этого открыть компонент Установка и удаление программ на панели управления и произвести установку. В случае, если пользователям не удалось установить приложение с помощью этого компонента, но файлы с соответствующим расширением связаны с приложени-ем, оно будет установлено при первой попытке открыть файл с этим расширением.

 

2.2.1.5. Безопасность компьютера,уязвимость системы безо-пасности, а также различного вида угрозы заботят не только про-фессионалов в области информационных технологий, но и рядо-вых пользователей компьютеров. Многие организации и отдель-ные пользователи имеют постоянные подключения к Интернету, что подвергает их компьютеры рискам заражения вирусами, не-санкционированного проникновения, атак на службы и другим угрозам. Существуют некоторые правила, называемые политиками или параметрами безопасности, которые предназначены для обес-печения защиты ресурсов одного или нескольких компьютеров в сети. Параметры безопасности позволяют контролировать:

 

– проверку подлинности пользователей при входе в сеть или отдельный узел,

 

– ресурсы, которые пользователи могут использовать,

 

– включение и отключение записи действий пользователя или группы в журнале событий,

 

– принадлежность к группам.

 

Настраиваются параметры безопасности, используя средства диспетчера настройки безопасности. К этим средствам относятся:

 

– шаблоны безопасности,

– анализ и настройка безопасности,

– программа командной строки Secedit.exe,

– локальная политика безопасности,

 

– расширение Параметры безопасности для групповой поли-тики.

 

Расширение Параметры безопасности позволяет пользовате-лям изменять настройку безопасности в оснастке Групповая поли-тика,влияющей,в свою очередь,одновременно на все узлы сетипосредством объекта групповой политики. Однако чтобы устано-вить или изменить отдельные параметры безопасности на отдель-ных компьютерах, используется средство Локальная политикабезопасности,включающее политику аудита,назначение правпользователя и локальные параметры безопасности.

 

Чтобы применить несколько параметров безопасности едино-временно, имеется возможность определить их с помощью шабло-нов безопасности и затем применить к системе с помощью средства Анализ и настройка безопасности или программыSecedit.exe (Пуск

 

→ Выполнить → Secedit.exe),а также импортировать готовый шаб-лон в соответствующую локальную или групповую политику.

 

В заключение следует отметить, что в пакете обновления SP2 для ОС Windows с целью повышения безопасности вводятся некоторые изменения параметров безопасности. Обобщая ново-введения, параметры безопасности сгруппированы по соответст-вующим областям (табл. 4).

 

	Таблица 4
Области безопасности ОС Windows
Область безопасности	Описание
Политики учетных записей	Политика паролей, политика блокировки
	учетной записи и политика Kerberos
Локальные политики	Политика аудита, назначение прав пользо-
	вателя и параметры безопасности
Журнал событий	Параметры журналов событий приложе-
	ний, системных событий и событий безо-
	пасности

 

 

	Окончание табл. 4
Область безопасности	Описание
Группы с ограниченным досту-	Состав групп с особыми требованиями к
пом	безопасности
Системные службы	Параметры запуска и разрешения для сис-
	темных служб
Реестр	Разрешения для разделов реестра
Файловая система	Разрешения для файлов и папок

 

Дополнительная информация о групповой политике и смеж-ных темах в среде ОС Windows доступна в разделах Общиесведения о групповой политике, Административные шаблоны, Сценарии, Перенаправление папки, Установка программного обеспечения, Параметры безопасности справки ( Пуск → Справка и поддержка ).