2.4.3 Применение групповых политик для управления настройками

Групповые политики Active Directory для централизованного управления настройками Windows

Чаще всего для централизованного управления настройками на компьютерах пользователей применяются групповые политики. Согласно Microsoft, при помощи групповых политик можно определить свыше 550 параметров работы компьютеров. На практике же можно определить практически неограниченное количество параметров, поскольку при помощи групповых политик можно централизованно вносить изменения в реестр и файловую систему компьютеров, выполнять скрипты и т.п.

При помощи групповых политик можно настраивать параметры работы не только операционной системы и встроенных приложений (Internet Explorer, Outlook Express, Windows Media Player, NetMeeting), но и любых других приложений, для которых разработчик предусмотрел файл шаблона политики *.adm. Например, такие файлы предусмотрены для Microsoft Office.

Групповые политики физически состоят из двух частей: конфигурация для компьютера и конфигурация для пользователя. "Компьютерная" часть групповой политики скачивается с сервера и применяется до входа пользователя в систему - в тот момент, когда на экране входа выводится надпись "Applying computer settings". Пользовательская часть групповой политики применяется тогда, когда пользователь ввел свое имя и пароль и вошел в систему (в этом время выводится надпись "Applying user settings"). Вполне возможно, что объекты компьютера и пользователя находятся в разных OU - организационных подразделениях домена, и к ним применяются разные политики.

При возникновении конфликта между компьютерной и пользовательской частями политик побеждает компьютерная (есть возможность при помощи настроек в компьютерной части вообще отключить обработку политик для пользователя).

Рамки этого курса не позволяют рассмотреть все доступные элементы групповых политик, но на самых важных необходимо остановиться.

Основные параметры безопасности настраиваются под конфигурацией компьютера -> Security Settings:

·        Account Policies - требования к минимальной длине (максимальная в Windows 2000/XP/2003 - 127 символов), сложности, времени жизни пароле, а также политика блокировки учетных записей и настройки Kerberos (используется редко);

·        Local Policies - множество параметров, связанных с аудитом, правами пользователя (например, на локальный вход или подключение по SMB-протоколу по сети) и общими параметрами безопасности работы компьютера;

·        Event Log - параметры, связанные с работой журналов событий Windows (при помощи них в том числе можно настроить политику в отношений сохранения событий аудита);

·        Restricted Groups - сюда можно добавить группы, членство в которых сможет определять только при помощи групповых политик и никак иначе. Предназначено для исключения случайного попадания в такие группы ненужных пользователей;

·        System Services - возможность централизованно определять logon credentials для служб и централизованно их включать/отключать. Часто применяется для централизованного отключения таких служб, как Messenger и Internet Connection Sharing;

·        Registry - возможность централизованного изменения разрешений на определенные ветви реестра;

·        File System - возможность централизованно менять разрешения на объекты файловой системы (по абсолютным путям или с использованием системных переменных);

·        Wireless Network - возможность централизованного управления настройками беспроводных подключений (в настоящее время с распространением ноутбуков с соответствующими модулями - крайне актуальная возможность);

·        Public Key Policies - возможность централизованно раздать сертификаты и списки доверенных органов сертификации. Подробнее про это будет рассказано в модуле про защиту Web-сервера;

·        Software restriction - возможность выбрать уровень разрешения по умолчанию (разрешено ли или запрещено запускать любые программы) и затем при помощи правил определить, какие программы будут представлять исключения (программы будут определяться по использованному в них сертификату, хэш-сумме и т.п.);

·        IP Security Policies - уже знакомая нам возможность централизованно настроить шифрование сетевого трафика по IPSec.

Очень удобно, что параметры безопасности можно экспортировать (в файл *.inf, например, с настроенного и протестированного компьютера), и импортировать из этого файла в групповую политику или просто на локальный компьютер.

Некоторые параметры безопасности, например, связанные с пользовательским интерфейсом или настройками встроенных программных продуктов (таких, как Internet Explorer) можно найти в Administrative Templates для пользователя и компьютера. Шаблоны Administrative Templates (файлы *.adm) можно создавать самостоятельно, например, при помощи бесплатной утилиты утилиты Reg to Adm Convertor (из набора NUTS) и добавлять в групповые политики. Таким образом можно обеспечеивать управление настройками практически любого приложения.

Необходимо помнить, что групповые политики могут настраиваться на разных уровнях (сайт, домен, OU, которые могут быть вложены друг в друга), и всегда необходимо проверять (и настраивать при помощи встроенных средств), параметры из какой групповой политики будут в итоге применены к данному компьютеру/пользователю. Проверки можно провести при помощи Group Policy Management Console в Windows 2003 или (в части, связанной с Security Settings) - просто при помощи консоли Local Security Policy.

Получить учебные материалы по этому курсу