Оснастка Групповые политики (Group Policy)
Групповые политики позволяют разграничивать доступ к общим ресурсам сети, что позволяет осуществлять высокий уровень гибкости:
Пользователи и их рабочая среда Windows 2000 может контролироваться и управляться.
То, что вы можете сделать при помощи групповых политик, включает в себя распространение программного обеспечения, обновление настроек, таких, как настройки прокси-сервера в Internet Explorer, запрещение пользователю пользоваться панелью управления и т.д и т.п. Для этого следует просто необходимо ознакомиться с сотнями установок, которые могут быть выполнены в групповых политиках, но вовсе не обязательно помнить все (или даже большую часть) из них. Наша цель - научится понимать, зачем различные возможные установки групповых политик Windows 2000 существуют. Этому мы и посвящаем статью.
Групповые политики расширяют и используют преимущества службы Active Directory. Их настройки находятся в объектах групповых политик - Group Policy Object, GPO, которые в свою очередь ассоциируются с такими контейнерами Active Directory, как сайты, домены и подразделения (организационные единицы).
Политики безопасности Windows 2000 хранятся в двух типах объектов GPO:
локальном объекте групповой политики
и объекте групповой политики домена
Объекты групповой политики (GPO)
Оснастка Групповая политика (Group Policy)
При создании, настройке и хранении параметров групповых политик применяется подход, позволяющий работать с GPO как с документами.
После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей, находящихся в этом контейнере. Дополнительными средствами настройки групповых политик в контейнере являются группы безопасности и дискреционные разрешения доступа.
GPO создается с помощью оснастки консоли управления Групповая политика, которая может вызываться как изолированный инструмент и в качестве расширения таких оснасток, как Active Directory пользователи и компьютеры (Active Directory Users and Computers) или Active Directory сайты и службы (Active Directory Site and Services).
Для вызова оснастки Групповая политика в качестве расширения в окне соответствующей оснастки укажите нужный контейнер и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Свойства (Properties). В открывшемся окне перейдите на вкладку Групповая политика (Group Policy). С ее помощью вы сможете просматривать контейнеры Active Directory и ассоциированные с ними GPO.
Запуск оснастки Групповая политика, как изолированной оснастки нужно выполнять с помощью меню Пуск (Start)-> Выполнить (Run). Следует запустить консоль управления Microsoft (MMC). Выбрать в меню Консоль команду Добавить/удалить оснастку, в следующем окне нажать кнопку Добавить. В окне Добавить изолированную оснастку выбрать элемент Групповая политика, затем нажать кнопку Добавить.
В следующем окне Выбор объекта групповой политики нажать кнопку Обзор. Запустится браузер GPO. Если создается новый GPO с именем, установленным по умолчанию, нажимаем кнопку Новый объект групповой политики (Create New Group Policy Object). Затем можно его переименовать.
Примечание
Операционная система не следит за уникальностью имен объектов групповых политик безопасности, поскольку каждый GPO обладает внутренним глобальным уникальным идентификатором (GUID). За уникальность имени отвечает его создатель.
Закрываем окно браузера GPO и окно диалога Поиск объекта групповой политики.
Теперь в оснастке Групповая политика загружен, только что созданный GPO.
Можно выбрать уже существующий GPO для отдельного компьютера, подразделения, сайта или домена. Затем такую оснастку можно сохранить в файле с любым именем.
Создать групповую политику для контейнера Active Directory можно только при наличии определенного набора условий:
Необходимо иметь работающий контроллер домена Windows 2000.
Пользователь, который создает групповую политику, должен обладать правами на чтение и запись в системный том контроллеров домена (папка Sysvol). Кроме того, он должен иметь право модификации выбранного контейнера Active Directory.
После запуска оснастки Групповая политика в окне структуры появляется набор узлов, которые являются расширениями этой оснастки, как вы видели на предыдущем рисунке.
По умолчанию все расширения загружаются в процессе запуска оснастки. Однако их состав можно изменить с помощью средств создания индивидуальной конфигурации консоли ММС и с помощью политик, определяющих работу самой консоли. Подход, предполагающий применение расширений, позволяет пользователям создавать свои собственные расширения оснастки Групповая политика, наделяя ее способностью устанавливать дополнительные групповые политики. Любое расширение может в свою очередь состоять из расширений, поэтому оснастка Групповая политика чрезвычайно гибкий инструмент, который можно сконфигурировать для конкретной компьютерной среды.
При запуске оснастка Групповая политика загружает корневой узел, представляющий собой GPO, присоединенный к определенному контейнеру. Имя этого GPO и имя контейнера, к которому он присоединен, отображаются в окне структуры в следующем формате:
Политика Имя_СРО[.Имя_домена.соm]
Затем пространство имен подразделяется на два узла более низкого уровня Конфигурация компьютера (Computer Configuration) и Конфигурация пользователя (User Configuration).
Используя их, можно создавать и настраивать групповые политики для компьютера и пользователей. Рассмотрим настройки каждого отдельно.
Узел Конфигурация компьютера (Computer Configuration)
Узел Конфигурация компьютера содержит параметры всех политик, определяющих работу компьютера. Они регулируют функционирование операционной системы вид рабочего стола, задают параметры выполняемых приложений определяют работу средств обеспечения безопасности и т. д. Групповая политика применяется к компьютеру на этапе загрузки системы и в дальнейшем при выполнении циклов обновления
Узел Конфигурация пользователя (User Configuration)
Узел Конфигурация пользователя содержит параметры всех политик, определяющих работу пользователя на компьютере. Они регулируют вид рабочего стола, задают параметры выполняющихся приложений, определяют работу средств обеспечения безопасности и пользовательских сценариев входа и выхода. Групповая политика применяется к пользователю при его регистрации на компьютере и в дальнейшем при выполнении циклов обновления.
Ниже родительских узлов Конфигурация компьютера и Конфигурация пользователя находятся дочерние узлы, каждый из которых является полноценным расширением оснастки Групповая политика. Они могут находиться в обоих родительских узлах, хотя и с различными параметрами, или индивидуально расширять узлы Конфигурация компьютера или Конфигурация пользователя.
Оснастка Групповая политика имеет следующие расширения:
- Административные шаблоны. (Administrative Templates).
Здесь находится групповая политика, определяющая параметры реестра, задающие работу и внешний вид рабочего стола, компонент операционной системы и приложений.
- Параметры безопасности (Security Settings).
Служит для настройки параметров системы безопасности компьютеров, на которые воздействует данный объект групповой политики. С помощью групповых политик можно настроить безопасность локального компьютера, домена и целой сети.
- Установка программ (Software Installation).
Служит для централизованного управления программным обеспечением организации. С его помощью можно задавать различные режимы установки новых программ на компьютеры пользователей.
- Сценарии (Scripts).
Сценарии используются для автоматического выполнения набора команд при загрузке операционной системы и в процессе завершения ее работы, а также при регистрации и отключении пользователя от сети. Для выполнения сценариев, написанных на Microsoft JScript и Microsoft Visual Basic Scripting Edition, можно применять сервер сценариев (Windows Scripting Host).
- Перенаправление папок (Folder Redirection).
Позволяет перенаправлять обращение к специальным папкам в сеть.
Рассмотрим основные настройки каждого из перечисленных расширений.
Административные шаблоны (Administrative Templates)
С помощью расширения Административные шаблоны администратор системы может настроить целый набор параметров реестра, задающих режим функционирования компонентов операционной системы и приложений.
Задать конкретные параметры, доступные для модификации с помощью интерфейса пользователя оснастки Групповая политика, можно с помощью специальных административных шаблонов. Модифицируемые значения параметров реестра, относящиеся к зарегистрированному в компьютере пользователю, записываются в раздел реестра HKEY_CURRENT_USER. Значения шаблонов, относящиеся к компьютеру, записываются в раздел HKEY_LOCAL_MACHINE.
Административный шаблон представляет собой текстовый файл в кодировке Unicode с расширением adm, информация которого определяет, как доступные для модификации параметры реестра должны отображаться в окне интерфейса пользователя оснастки Групповая политика. Кроме того, административные шаблоны задают разделы реестра, куда должны быть записаны модифицированные значения параметров, с их помощью проверяется допустимость вводимых значений параметров. В некоторых случаях с помощью шаблонов могут быть заданы значения параметров реестра, выбираемые по умолчанию.
Операционная система Windows 2000 содержит два файла административных шаблонов system.adm и inetres.adm, где описаны все параметры реестра, доступные для изменения и отображаемые в расширении Административные шаблоны по умолчанию.
Узел Административные шаблоны может быть расширен с помощью меню Добавление и удаление шаблонов (Add/Remove Template).
В окне Добавление и удаление шаблонов можно добавить нужный шаблон (или удалить ненужный). Если была необходимость добавить, то в окне Шаблоны политики (Policy Templates) следует выбрать добавляемый шаблон и нажать кнопку Открыть (Open).
Внутри узла Административные шаблоны появятся дополнительные папки, соответствующие добавленному шаблону. С их помощью администратор может редактировать параметры дополнительного набора разделов реестра.
Существует возможность создавать индивидуальные административные шаблоны.
При установке нового программного обеспечения, как вам известно, содержимое реестра изменяется. Как правило, в нем появляются новые параметры и даже ветви. Ими нельзя управлять с помощью оснастки Групповая политика, поскольку стандартные административные шаблоны не предоставляют доступ к вновь появившимся разделам реестра. В таких случаях необходимо создать индивидуальный административный шаблон.
Он может быть сгенерирован с помощью любого текстового редактора, позволяющего работать с файлами в кодировке Unicode, например, программы Блокнот (Notepad).
В административном шаблоне с помощью специального языка определяется иерархия категорий и подкатегорий, задающая взаимоотношения между доступными для модификации параметрами реестра. Каждая из категорий и подкатегорий может состоять из нескольких политик. Каждая политика, в свою очередь, может состоять из нескольких частей. Все политики и части политик описываются с помощью операторов языка создания административных шаблонов. Они позволяют описать название политики, параметр реестра, который регулирует политика, набор допустимых значений параметра, элементы управления пользовательского интерфейса оснастки Групповая политика, с помощью которых можно настроить данный параметр и т. д. Мы не будем рассматривать состав и синтаксис языка создания административных шаблонов.