Я всегда говорю, что компания Microsoft делает некоторые отличные вещи, а некоторые вещи не так хороши. Windows Me’ не столь хороша. Привилегии групповой политики (Group Policy Preferences)’ ПРОСТО ПОРАЗИТЕЛЬНЫ! Если вы никогда не слышали о привилегиях групповой политики, то вы, вероятно, не следите за развитием событий, но у вас еще не все потеряно! Привилегии групповой политики являются параметрами групповой политики, однако они включают несколько новых опций и функций. Они включают более 3000 параметров и областей контроля над операционной системой, которые ранее считались невозможными. Преимущества на этом не заканчиваются. Привилегии групповой политики можно настраивать на компьютерах Windows XP SP2 и Windows Server 2003 SP1, а также на Windows Vista и Windows Server 2008. Уверен, что большинство из вас использует хотя бы одну из этих операционных систем в своих сетях, поэтому не стоит ждать, нужно применять привилегии уже сегодня! Я покажу вам, как настраивать и работать с привилегиями групповой политики.
Основы групповой политики: две части
Чтобы полностью понять суть того, что необходимо сделать с привилегиями групповой политики, давайте сначала рассмотрим, как разделена групповая политика. Первая часть – это установка, а вторая – применение. Для начинающих могу сказать, что технология групповой политики основана не на агентах. Поэтому не нужно будет распределять никаких агентов. Очень важно понимать, что производительность будет снижаться даже после установки этой возможности на ваши компьютеры.
Первая часть групповой политики – это компонент «стороны сервера». Это, по сути своей, консоль «администрирования». С момента выхода Windows XP мы использовали консоль Group Policy Management Console (GPMC) и редактор Group Policy Object Editor (GPOE), который встроен в GPMC. Этот интерфейс позволяет нам просматривать различные параметры групповой политики, такие как: опции безопасности, параметры программного обеспечения и, наконец, административные шаблоны (Administrative Templates). Консоль GPMC можно установить на любую ОС позже Windows 2000. Как я говорил ранее, Windows 2000 не может управлять или получать параметры привилегий групповой политики. Суть в том, что консоль GPMC, которая поддерживает привилегии групповой политики, должна быть запущена на Windows Server 2008 или Windows Vista машине.
Примечание: я не упомянул НИЧЕГО о версии домена Windows; при желании это можно сделать и на Windows 2000.
Вторая часть групповой политики представляет собой компонент «стороны клиента». Расширение стороны клиента (client side extension - CSE) представляет собой DLL, расположенный на компьютере, который будет получать параметры групповой политики. Существует много CSE, а сегодня для привилегий групповой политики их 38! Для сравнения Windows XP SP2 содержала около 15! Поскольку это DLL (а не EXE или другой тип исполняемого файла), этот файл DLL не работает, пока он не инициирован чем-то другим. Обработка групповой политики на целевой машине предоставит все параметры групповой политики в DLL, которые затем будут применены на компьютере.
Корректная установка GPMC
Тем, у кого консоль GPMC уже установлена, я все равно рекомендую прочитать этот раздел. Я сталкивался со многими администраторами, у которых возникали проблемы в силу того, что консоль GPMC была установлена некорректно. Позвольте мне пояснить правила работы с запуском консоли GPMC, которая поддерживает привилегии групповой политики:
Необходимо запустить консоль GPMC на компьютере под управлением Windows Vista SP1 или Windows Server 2008. Компьютер, на котором установлена консоль GPMC, должен быть подключен к домену Windows Active Directory.
Если вы решите использовать компьютер Windows Server 2008 в качестве административной машины для привилегий групповой политики, вам не придется ничего устанавливать для работы с этим компонентом. Windows Server 2008 уже идет с возможностью GPMC, хотя, на первый взгляд, может показаться, что это не так. Если в списке инструментов администрирования у вас нет консоли управления групповыми политиками, вам нужно будет включить функцию управления групповыми политиками. Это сделает консоль GPMC доступной. Это нужно сделать через консоль диспетчера сервера. Когда вы зашли в консоль диспетчера сервера (Server Manager), вам нужно выбрать опцию «Функции (Features)» в левом списке опций. Диспетчер сервера показан на рисунке 1.
Увеличить
Рисунок 1: Диспетчер сервера позволяет вам добавлять неустановленные или отключенные функции на Windows Server 2008
Если вы хотите использовать Vista в качестве административного компьютера, то вам нужно будет выполнить несколько дополнительных задач. Во-первых, вам нужно установить Service Pack 1. Это удалит более раннюю версию консоли GPMC, которая была включена в RTM версию Vista. В конечном счете, у вас вообще не останется никакой версии GPMC. Во-вторых, вы должны установить инструмент Remote Server Administrative Tools (RSAT) (его можно загрузить с веб-сайта Microsoft ). В-третьих, вам нужно включить GPMC на компьютере Vista путем добавления функций Windows.
Примечание: если вам нужны пошаговые инструкции по установке GPMC на компьютер Vista, вы можете прочитать мою статью по этой теме на WindowSecurity.com.
Когда новая консоль GPMC установлена, вы можете управлять привилегиями групповой политики. Просто измените любой объект групповой политики (GPO) в консоли GPMC и выберите узел «Привилегии», расположенный во вкладках Конфигурация пользователя или компьютера. Отсюда вы сможете настраивать любые параметры, как показано на рисунке 2.
Рисунок 2: Новая консоль GPMC и редактор GPME позволяют вам просматривать и настраивать привилегии групповой политики
Корректная установка расширения стороны клиента CSE
Теперь, когда у нас установлена административная часть привилегий групповой политики, можно заняться подготовкой целевых компьютеров. Помните, что только нижеперечисленные ОС можно использовать на целевых машинах для работы с параметрами привилегий групповой политики:
- Windows XP SP2
- Windows Server 2003 SP1
- Windows Vista
- Windows Server 2008
Примечание: если в качестве целевого компьютера у вас выбран Windows Server 2008, вам не нужно устанавливать CSE, оно уже установлено по умолчанию!
Есть несколько вариантов установки CSE. Прежде всего, можно выполнить ручную установку путем загрузки KB943729 для CSE. Вот ссылки на эти статьи по установке:
Вторым вариантом будет использование сервера WSUS для загрузки и установки CSE. Вам нужно перейти в необязательные загрузки, где вы найдете CSE.
Когда вы установили CSE, вам лишь остается настроить привилегии групповой политики в GPO, расположенном на целевом компьютере. После этого параметры будут применены, и вы будете использовать привилегии групповой политики!
Заключение
Есть два шага, которые необходимо выполнить для установки и применения привилегий групповой политики. Прежде всего, вам нужно установить консоль GPMC на машину Windows Server 2008 или Windows Vista . Здесь вы сможете настроить любые параметры привилегий групповой политики. Затем, вам нужно установить CSE на всех компьютерах, которые будут получать параметры привилегий групповой политики. Расширение можно установить либо вручную, либо используя WSUS. В обоих случаях после установки привилегий групповой политики в GPO и установки CSE, привилегии групповой политики будут применены! А если учесть, что эта возможность содержит более 3000 параметров, то нет смысла что-то менять в привилегиях групповой политики.