Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
Лабораторная работа № 8.
Групповые политики Windows
Эффективное функционирование многопользовательских операционных систем невозможно без четкого разграничения доступа к ресурсам. Одним из средств, позволяющих настраивать параметры безопасной работы пользователей в сети в операционных системах Windows, являются политики безопасности. Реализация политик безопасности в Windows Server 2003 предоставляет широкие возможности. При необходимости можно устанавливать политики для всего дерева доменов. Различные контроллеры в пределах одного домена могут обладать индивидуальными политиками безопасности. Установив политику безопасности в одном месте, администраторы могут контролировать безопасность всех серверов и рабочих станций домена. Политики безопасности в Windows Server 2003 реализуются с помощью средств групповых политик (group policy).
Групповая политика имеет следующие преимущества:
Основываясь на службе Active Directory системы Windows Server 2003, позволяет как централизованно, так и децентрализовано управлять параметрами политики.
Обладает гибкостью и масштабируемостью. Может быть применена в широком наборе конфигураций системы, предназначенных как для малого бизнеса, так и для больших корпораций.
Предоставляет интегрированный инструмент управления политикой с простым и хорошо понятным интерфейсом — оснастку консоли управления Групповая политика (Group Policy) – запускается по команде gpedit. msc.
Обладает высокой степенью надежности и безопасности.
Групповые политики расширяют и используют преимущества Active Directory. Их настройки находятся в объектах групповых политик (Group Policy Object, GPO), которые в свою очередь ассоциируются с такими контейнерами Active Directory, как сайты, домены и подразделения (организационные единицы).
Политики безопасности Windows Server 2003 хранятся в двух типах объектов GPO: локальном объекте групповой политики и объекте групповой политики домена. 
Оснастка Групповая политика
После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей, находящихся в этом контейнере. Дополнительными средствами настройки групповых политик в контейнере являются группы безопасности и дискреционные разрешения доступа.
GPO создается с помощью оснастки консоли управления Групповая политика, которая может вызываться как изолированный инструмент и в качестве расширения таких оснасток, как Active Directory—пользователи и компьютеры или Active Directory—сайты и службы, где можно просматривать контейнеры Active Directory и ассоциированные с ними GPO.
Создать групповую политику для контейнера Active Directory можно только при наличии определенного набора условий. Необходимо иметь работающий контроллер домена Windows Server 2003. Пользователь, который создает групповую политику, должен обладать правами на чтение и запись в системный том контроллеров домена (папка Sysvol), кроме того, он должен иметь право модификации выбранного контейнера Active Directory.
После запуска оснастки Групповая политика (рис.1) в окне структуры появляется набор узлов, которые являются расширениями этой оснастки. По умолчанию все расширения загружаются в процессе запуска оснастки. Однако их состав можно изменить с помощью средств создания индивидуальной конфигурации консоли ММС и с помощью политик, определяющих работу самой консоли. Подход, предполагающий применение расширений, позволяет пользователям создавать свои собственные расширения оснастки Групповая политика, наделяя ее способностью устанавливать дополнительные групповые политики.
Рис.1. Развернутое дерево оснастки Групповая политика.
При запуске оснастка Групповая политика загружает корневой узел, представляющий собой GPO, присоединенный к определенному контейнеру. Имя этого GPO и имя контейнера, к которому он присоединен, отображаются в окне структуры в следующем формате:
Политика Имя_GРО[.Имя_домена. сот]
Затем пространство имен подразделяется на два узла более низкого уровня:
1. Узел Конфигурация компьютера содержит параметры всех политик, определяющих работу компьютера. Они регулируют функционирование операционной системы, вид рабочего стола, задают параметры выполняемых приложений, определяют работу средств обеспечения безопасности и т. д. Групповая политика применяется к компьютеру на этапе загрузки системы и в дальнейшем при выполнении циклов обновления.
2. Узел Конфигурация пользователя содержит параметры всех политик, определяющих работу пользователя на компьютере. Они регулируют вид рабочего стола, как и в предыдущем случае, задают параметры выполняющихся приложений, определяют работу средств обеспечения безопасности и пользовательских сценариев входа и выхода. Групповая политика применяется к пользователю при его регистрации на компьютере и в дальнейшем при выполнении циклов обновления.
Ниже родительских узлов Конфигурация компьютера и Конфигурация пользователя находятся дочерние узлы, каждый из которых является полноценным расширением оснастки Групповая политика. Они могут находиться в обоих родительских узлах, хотя и с различными параметрами. Оснастка Групповая политика имеет следующие расширения (рис.1):
Административные шаблоны. (Administrative Templates).
Параметры безопасности (Security Settings).
Сценарии (Scripts).
Перенаправление папок (Folder Redirection).
Административные шаблоны
Административный шаблон представляет собой текстовый файл в кодировке Unicode с расширением adm, информация которого определяет, как доступные для модификации параметры реестра должны отображаться в окне интерфейса пользователя оснастки Групповая политика. Административные шаблоны задают разделы реестра, куда должны быть записаны модифицированные значения параметров, с их помощью проверяется допустимость вводимых значений параметров. В некоторых случаях с помощью шаблонов могут быть заданы значения параметров реестра, выбираемые по умолчанию. Операционная система Windows Server 2003 содержит два файла административных шаблонов — system. adm и inetres. adm, где описаны все параметры реестра, доступные для изменения и отображаемые в расширении Административные шаблоны по умолчанию. Модифицируемые значения параметров реестра, относящиеся к зарегистрированному в компьютере пользователю, записываются в раздел реестра HKEY_CURRENT_USER. Значения шаблонов, относящиеся к компьютеру, записываются в раздел HKEY_LOCAL_MACHINE.
Узел Административные шаблоны может быть расширен. Для этого администратор должен присоединить индивидуальный административный шаблон:
1. Установить указатель мыши на узел Административные шаблоны и в появившемся контекстном меню выбрать команду Добавление и удаление шаблонов (Add/Remove Template).
2. При добавлении шаблона, появится окно диалога Шаблоны политики (Policy Templates), в котором следует выбрать добавляемый шаблон (рис.2).
Рис. 2. Присоединение административного шаблона
Внутри узла Административные шаблоны появятся дополнительные папки, соответствующие добавленному шаблону. С их помощью администратор может редактировать параметры дополнительного набора разделов реестра.
Создание индивидуального административного шаблона. При установке нового программного обеспечения содержимое реестра изменяется. Как правило, в нем появляются новые параметры и даже ветви. Ими нельзя управлять с помощью оснастки Групповая политика, поскольку стандартные административные шаблоны не предоставляют доступ к вновь появившимся разделам реестра. В таких случаях необходимо создать индивидуальный административный шаблон. Он может быть сгенерирован с помощью любого текстового редактора, позволяющего работать с файлами в кодировке Unicode. В административном шаблоне с помощью специального языка определяется иерархия категорий и подкатегорий, задающая взаимоотношения между доступными для модификации параметрами реестра. Каждая из категорий и подкатегорий может состоять из нескольких политик. Каждая политика, в свою очередь, может состоять из нескольких частей. Все политики и части политик описываются с помощью операторов языка создания административных шаблонов. Они позволяют описать название политики, параметр реестра, который регулирует политика, набор допустимых значений параметра, элементы управления пользовательского интерфейса оснастки Групповая политика и т. д.
Параметры безопасности
С помощью расширения Параметры безопасности в GPO можно определить параметры политики безопасности, определяющие различные аспекты работы системы безопасности Windows Server 2003. Созданная в объекте групповой политики конфигурация воздействует на все компьютеры, находящиеся в контейнере, к которому присоединен данный GPO.
Рис. 3. Групповая политика домена.
Расширение Параметры безопасности позволяет настраивать следующие аспекты системы безопасности компьютера (Рис.3):
Политики учетных записей (Account Policies). Можно настраивать политики безопасности как учетных записей в масштабах домена, так и локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей, политика Kerberos, распространяющаяся на весь домен.
Локальные политики (Local Policies). Можно настраивать политику аудита, назначать права пользователей и различные параметры безопасности.
Журнал событий (Event Log). Можно настраивать политики безопасности, определяющие работу журналов событий приложений, системы и безопасности.
Группы с ограниченным доступом (Restricted Groups). Можно регулировать членство пользователей в специфических группах. Сюда обычно включают встроенные группы, такие как Администраторы, Операторы архива и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и другие группы, безопасность которых требует особого внимания и членство в которых должно регулироваться на уровне политики.
Системные службы (System Services). Можно настраивать безопасность и параметры загрузки для работающих на компьютере служб. В этом разделе могут быть использованы расширения, с помощью которых можно осуществлять настройку безопасности, специфическую для данной службы.
Реестр (Registry). Можно настраивать безопасность различных разделов реестра.
Файловая система (File System). Можно настраивать безопасность определенных файлов.
Политики открытого ключа (Public Key Policies). Можно настраивать политики безопасности в отношении шифрования информации с помощью EFS, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т. д.
Политики безопасности IP (IPSEC). Позволяет настраивать политику безопасности IP для компьютеров, находящихся в определенной области действия.
Политики безопасности, определяемые расширением Параметры безопасности, действуют на компьютеры и частично на пользователей.
Установка программ
Предназначена для организации централизованного управления установкой программного обеспечения на компьютеры сети. Она позволяет настроить два режима установки программного обеспечения на группу компьютеров, или для группы пользователей — назначение (assignment) и публикация (publishing).
Назначение программного обеспечения группе пользователей или компьютеров предполагает, что все пользователи, которым необходима данная программа, будут автоматически получать ее без привлечения администраторов или технического персонала. Если для приложения установлен принудительный режим, то ярлык, соответствующий данной программе, появляется в меню Пуск, а в реестр заносится информация о данном приложении, включая местоположение пакета и других файлов, необходимых для установки данного программного обеспечения. При первом обращении пользователя к ярлыку соответствующее программное обеспечение устанавливается и запускается.
Публикация программного обеспечения предполагает, что пользователь сам сможет решить, устанавливать ему данное приложение или нет. В данном случае ярлык в меню Пуск не появляется, локальный реестр тоже не изменяется. Вся информация, необходимая для установки программы, находится в Active Directory. Для установки программы:
1. Запустить утилиту Установка и удаление программ (Add/Remove Programs) из панели управления, выбрать кнопку Установка новой программы (Add New Programs).
2. Система выполнит поиск, всех программных пакетов, для которых настроена публикация. Результат, поиска (список всех приложений, для установки которых настроена публикация) будут отображены в поле Установка программ из сети (Add programs from your network).
3.Выбрать нужную программу.
Для настройки автоматической установки программного обеспечения на компьютеры клиентов необходимо:
1. Запустить оснастку Групповая политика, открыть узел Установка программ.
2. В правом подокне или на узле Установка программ нажать правую кнопку мыши и в открывшемся контекстном меню выбрать команду Создать | Пакет (New | Package).
3. Откроется окно диалога Открыть, в котором нужно перейти к местоположению настраиваемого программного пакета, выбрать его и нажать кнопку Открыть.
4. Откроется окно диалога Развертывание программ (Deploy Software), в котором необходимо указать, какой метод развертывания программного пакета необходим: публичный (Published) (этот режим может быть установлен только для пользователя), назначенный (Assigned) или публичный или назначенный с особыми свойствами (Advanced published or assigned). В последнем случае откроется окно диалога Свойства для настройки необходимых свойств программного пакета. Если в дальнейшем понадобится изменить свойства программного пакета, настроенного для автоматической установки, надо щелкнуть на нем дважды в правом подокне.
Сценарии
С помощью этого расширения можно задать сценарии, которые должны выполняться на компьютере при загрузке и завершении работы операционной системы, а также при регистрации пользователя в системе и окончании сеанса работы. Выполнять сценарии, написанные на Visual Basic Scripting Edition и JScript, можно с помощью сервера сценариев Windows Windows Scripting Host.
Перенаправление папки
Оснастка Перенаправление папки позволяет перенаправить некоторые папки профиля пользователя в другое место (как правило, на общий ресурс сети). Перенаправление возможно для следующих папок:
Application Data
Мои рисунки
Рабочий стол
Главное меню
Мои документы
Перенаправление папки на общий ресурс сети позволяет обеспечить доступ к информации перечисленных папок для различных компьютеров сети, а также повысить отказоустойчивость и упростить создание резервных копий информации.
Для перенаправления специальной папки на общий ресурс сети:
1. Запустить оснастку Групповая политика.
2. Найти узел Перенаправление папки и открыть его.
3. Указать специальную папку и нажать правую кнопку мыши. В открывшемся контекстном меню по пункту Свойства в раскрывающемся списке Значение (Setting) выбрать пункт Базовый (Basic), если данная специальная папка переназначается в одно место для всех пользователей. Появится поле ввода Размещение конечной папки (Target Folder Location).
4. Если специальная папка для различных групп переназначается в разные места, в списке Значение выбрать пункт Расширенный (Advanced). В этом случае в нижней части окна свойств папки появится поле Членство в группе безопасности (Security Group Membership).
5. Нажать кнопку Добавить. В открывшемся окне диалога Выбор группы и размещения (Specify Group and Location) ввести имя группы пользователей и соответствующее ей целевое местоположение переназначаемой информации.
Расширения оснастки групповая политика на стороне клиента
Некоторым расширениям оснастки Групповая политика, находящимся на сервере, соответствуют расширения, работающие у клиента. Они предназначены, для отработки настроек групповых политик на клиентских компьютерах. Расширения, работающие на стороне клиента, представляют собой модули DLL (табл.1), загружаемые в операционной системе клиентского компьютера по требованию в процессе отработки настроек групповых политик. При загрузке операционная система запрашивает список доступных объектов групповой политики, затем последовательно просматривает существующие расширения на стороне клиента и определяет, имеют ли они какие-либо данные в доступных GPO. Если расширение на стороне клиента имеет данные в каком-нибудь из доступных объектов групповой политики, оно вызывается с параметром — списком объектов групповой политики, которые необходимо обработать.
Таблица 1. Соответствие модулей DLL расширениям оснастки Групповая политика на клиентской стороне
Расширение на клиентской стороне | Имя модуля DLL |
Административные шаблоны | Usernv. dll |
Квоты диска | Diskquota. dll |
Переназначение папки | Fdeploy. dll |
Сценарии | Gptext. dll |
Установка программ | Appmgmts. dll |
Безопасность | Scecli. dll |
Безопасность IP | Gptext. dll |
Восстановление EPS | Scecli. dll |
Хранение GPO
GPO хранит информацию о настройках групповых политик в двух структурах — контейнере групповых политик (Group Policy Container, GPC) и шаблоне групповых политик (Group Policy Template, GPT). Контейнер групповых политик представляет собой объект Active Directory, в котором хранятся свойства GPO. Шаблон групповых политик — это папка, где находится информация о настройках, модифицируемых с помощью оснастки Групповая политика: политики, настраиваемые с помощью административных шаблонов, настройки безопасности, приложения, управление которыми осуществляется посредством расширения Установка программ, сценарии, заданные с помощью расширения Сценарии, и т. д. Папка шаблона групповых политик находится на системном томе контроллеров доменов в папке Policies. При работе с GPO имя папки его шаблона групповых политик выступает в качестве глобального уникального идентификатора (Global Unique Identifier, GUID), уникально характеризующего данный объект групповой политики.
Оснастку Групповая политика можно настроить так, что информация о групповых политиках будет храниться вне GPO. Однако в этом случае в одном из стандартных мест хранения информации о групповых политиках необходимо сохранить ссылку (link) на местоположение данных GPO.
На каждом компьютере сети Windows существует локальный объект групповой политики, представляющий собой шаблон групповых политик. По умолчанию он содержит только информацию безопасности. Его данные расположены в папке %SystemRoot%\System32\GroupPolicy. Администраторы и операционная система обладают полным доступом к этой папке. Пользователи получают доступ только на чтение.
Внутри папки шаблона групповых политик имеются следующие подкаталоги:
Adm (если компьютер входит в домен). Здесь находятся все файлы *.adm для данного шаблона групповых политик.
Machine. Здесь хранится файл Registry. pol со значениями параметров реестра, устанавливаемыми для компьютера. При загрузке операционной системы файл Registry. pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_LQCAL_MACHINE. Если компьютер входит в домен, в папке Machine появляется подкаталог Scripts (где находятся все сценарии и связанные с ним файлы), в котором находятся подкаталоги Shutdown и Startup для сценариев выключения и запуска системы (соответственно).
User. Здесь хранится (если компьютер входит в домен) файл Registry. pol со значениями параметров реестра, устанавливаемыми для пользователей. Когда пользователь регистрируется в системе, файл Registry. pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_CURRENT_USER. Если компьютер входит в домен, папка User содержит подкаталог Scripts, где находятся все сценарии и связанные с ними файлы, и подкаталоги Logoff и Logon (для сценариев выхода из системы и регистрации в системе).
Порядок применения групповых политик
Применение групповых политик происходит в последовательности, соответствующей иерархии GPO: сначала объект групповой политики сайта, затем домена, затем GPO, связанные с подразделениями в соответствии с их вложенностью. Порядок выполнения групповых политик можно изменить с помощью настроек, блокирующих определенные групповые политики или заставляющих их выполняться принудительно. Кроме того, на порядок выполнения групповых политик влияет применение групп безопасности.
По умолчанию настройки групповой политики, применяемые к контейнеру определенного уровня, наследуются всеми контейнерами более низких уровней и находящимися внутри них пользователями и компьютерами. Если с дочерней организационной единицей (контейнером) связан свой GPO, он может устанавливать для нее индивидуальные настройки групповых политик, отменяющие применение к ней наследуемых настроек. Если некоторые настройки групповых политик родительского контейнера не заданы, то они не наследуются и дочерними контейнерами. Если родительский контейнер обладает сконфигурированными настройками групповых политик, которые не заданы в GPO дочернего контейнера, то такие настройки наследуются.
Наследование настроек групповых политик родительского контейнера дочерним контейнером, с которым связан собственный объект групповой политики, может иметь место только в случае совместимости этих групповых политик. Например, если политика родительского контейнера задает определенную конфигурацию рабочего стола компьютера пользователя, а политика дочернего контейнера дополняет ее, пользователь увидит на своем рабочем столе все элементы, заданные обеими политиками. Если же групповая политика родительского контейнера противоречит групповой политике дочернего контейнера, выполняются только настройки GPO, связанного с дочерним контейнером.
Подобное положение вещей может быть изменено. Установка флажка Блокировать наследование политики (Block Policy inheritance), находящегося на вкладке Групповая политика окна свойств некоторого контейнера, запрещает наследование каких-либо групповых политик, установленных для родительского контейнера.
Существует средство, позволяющее настроить принудительное применение групповой политики, настроенной для некоторого контейнера, всеми контейнерами более низкого уровня. Для этого на вкладке Групповая политика окна свойств контейнера следует нажать кнопку Параметры (Options). В появившемся окне диалога Параметры имя_подразделения необходимо установить флажок Не перекрывать (No override). В этом случае дочерние контейнеры будут наследовать все настройки родительского контейнера, даже в том случае, если для дочерних контейнеров установлен флажок Блокировать наследование политики.
Применение групповых политик не ограничивается моментом загрузки операционной системы компьютера или регистрацией пользователя в системе. При работе компьютера в сети групповые политики могут измениться, поэтому они применяются периодически (по умолчанию — каждые 90 минут). Длительность периода применения политик можно изменять. Если задать его равным нулю, групповые политики применяются через каждые 7 секунд. Следует учитывать, что при уменьшении периода применения групповых политик значительно увеличивается нагрузка на систему. На контроллерах доменов период применения политик равен 5-ти минутам.
Настройки расширений Установка программ и Переназначение папки применяются только при загрузке операционной системы или регистрации пользователя в системе, поскольку периодическое применение этих групповых политик может вызвать нежелательные результаты.
Для блокировки и настройки принудительного выполнения групповой политики:
1. Запустить оснастку Active Directory—пользователи и компьютеры, выбрать нужный контейнер, нажать правую кнопку мыши.
Рис.4. Окно свойств групповых политик некоторого подразделения
2. В появившемся контекстном меню выбрать Свойства - Групповая политика (рис.4) - Параметры.
3. В открывшемся окне установить флажок Не перекрывать. Теперь настройки дочерних объектов групповой политики не смогут изменять действие настроек данного объекта.
4. В окне свойств контейнера установить флажок Блокировать наследование политики, что запретит распространение групповой политики более высокого уровня на текущий контейнер и контейнеры нижних уровней.
Периодичность применения групповых политик на клиентской стороне во многом определяется пропускной способностью канала, по которому клиент обменивается информацией с серверами сети. Помимо фонового обновления, политика для компьютера всегда применяется при запуске системы. Существует аналогичная политика для пользователей. Для настройки перечисленных параметров в оснастке Групповая политика - Конфигурация компьютера (Конфигурация пользователя) - Административные шаблоны | Система | Групповая политика нужно установить необходимый параметр.
В операционной системе Windows реализована новая концепция управления политиками безопасности компьютера. Каждый компьютер обладает своим собственным локальным объектом групповой политики (Local Group Policy Object, LGPO), который можно редактировать. Если компьютер с ОС Windows не присоединен к домену, то на нем активна только локальная групповая политика. После присоединения к домену групповые политики применяются в соответствии с их иерархией. Локальная групповая политика применяется даже при включенной блокировке наследования политики от контейнеров более высокого уровня.
Настройка групповых политик компьютера в домене
Создание объектов политики безопасности в Active Directory
Каждый домен по умолчанию обладает ассоциированной с ним групповой политикой. Объект групповой политики (Group Policy Object, GPO) автоматически создается при создании домена. Впоследствии этот объект можно отредактировать. Используя групповые политики, можно одновременно управлять поведением всех компьютеров в домене, а также контролировать делегирование прав администрирования.
Для правильного планирования структуры групповых политик сети следует:
Разделить политики на логические группы. Например, политики учетных записей могут быть объединены в одну группу.
Для каждой логической группы создать один или несколько объектов GPO, имеющих различные настройки групповых политик.
Распределить объекты-компьютеры по иерархическим древовидным структурам, состоящим из подразделений. В качестве критерия при таком распределении следует выбрать функцию, которую выполняет данный компьютер.
В основном, каждое подразделение должно иметь определенную групповую политику, действующую на все находящиеся в ней компьютеры. Зачастую это сделать непросто, поскольку подразделения могут отражать географическое расположение организации, а также иерархию управления сетью. В случаях, когда групповые политики должны распространяться на подмножество компьютеров организации, можно сделать следующее:
Создать в различных подразделениях организации внутренние подразделения, переместить туда нужные объекты-компьютеры и назначить внутренним подразделениям собственные групповые политики.
Если необходимо создавать внутренние подразделения, можно использовать схему фильтрации GPO, основанную на разрешениях доступа. С ее помощью можно задать соответствие компьютеров и действующих на них GPO.
Работа с групповыми политиками домена
Для создания самостоятельного, изолированного GPO:
1. При добавлении оснастки Групповая политика в окне Поиск объекта групповой политики нажать кнопку Обзор. Запустится браузер GPO.
2. Для создания нового GPO с именем, установленным по умолчанию, нажать кнопку Новый объект групповой политики (Create New Group Policy Object) (рис.5).
Рис.5. Окно диалога Поиск объекта групповой политики.
Настройка политики паролей для локальных учетных записей. Для настройки политики паролей в некотором домене или подразделении:
1. Создать GPO, предназначенный для формирования политики паролей.
2. Загрузить созданный GPO и открыть узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики учетных записей | Политика паролей.
3. Установить необходимые значения параметров политики паролей.
4. Закрыть окно оснастки Групповая политика. Все сделанные изменения будут записаны в GPO.
5. Выполнить процедуру привязки созданного GPO к домену или подразделению.
Теперь можно переместить в этот домен или подразделение все компьютеры, на которые должна действовать созданная вами политика паролей.
Включение аудита на контроллерах домена. При создании контроллера домена в контейнере Domain Controllers для него по умолчанию формируется GPO, определяющий локальные политики всех контроллеров домена. Для того чтобы настроить аудит на всех контроллерах домена, можно просто отредактировать этот GPO.
Для изменения политики аудита контроллеров домена настраиваются параметры в подразделе Локальные политики - Политика аудита (Audit Policy).
Настройка привилегий пользователей и групп при работе в домене с Active Directory. С помощью GPO можно определить набор привилегий, имеющихся у всех пользователей домена или подразделения. Для настройки привилегий группы пользователей или индивидуального пользователя при работе с ресурсами компьютера настраиваются параметры в подразделе Локальные политики - Назначение прав пользователя (User Rights Assignments).
Политика выбора контроллера домена
Определить, какой контроллер домена выбирается по умолчанию оснасткой Групповая политика при работе с GPO, можно двумя способами: указать это в самой оснастке Групповая политика или установить политику выбора контроллера домена. В первом случае необходимые установки выполняются с помощью команды DC Options.
Для настройки контроллера домена, выбираемого по умолчанию:
1. Запустить оснастку Групповая политика для групповой политики контроллера домена.
2. Выбрать корневой узел.
3. Выбрать в меню Вид команду Параметры контроллера домена (DC Options). Откроется окно диалога Параметры для выбора контроллера домена (Options for domain controller selection) (рис.6).
Рис.6. Окно Параметры для выбора контроллера домена.
4. Выбрать один из трех возможных вариантов:
- Хозяин операций для эмулятора. Это самый распространенный и предпочтительный принцип выбора DC. В данном случае существует полная гарантия, что объекты групповой политики будут редактироваться на одном и том же контроллере домена. Если по ошибке или каким-то другим причинам редактирование одного и того же GPO выполнялось на различных контроллерах домена, велика вероятность, что изменения, выполненные на одном из них, будут утеряны в результате репликации. Контроллер, используемый оснастками Active Directory. В данном случае оснастка Групповая политика выбирает тот же контроллер домена, что и оснастки управления Active Directory. Каждая из них обладает возможностью подключения к разным работающим DC. В данном случае оснастка Групповая политика будет следовать выбору контроллера домена, сделанному в оснастках управления Active Directory.
· Любой доступный контроллер домена. Данный вариант не рекомендуется для широкого использования. В этом случае с большой долей вероятности будет выбран контроллер домена локального сайта.
Можно сконфигурировать групповую политику, определяющую, какой контроллер домена будет выбираться по умолчанию при запуске оснастки Групповая политика - Конфигурация пользователя | Административные шаблоны | Система | Групповая политика - Выбор контроллера домена групповой политики (Group Policy domain controller selection) — откроется окно настройки политики. После этого включить политику и установить нужный вариант выбора контроллера домена:
- Использовать основной контроллер домена (Use the Primary Domain Controller) Унаследовать от оснасток Active Directory (Inherit from the Active Directory Snap-ins)
· Использовать любой доступный контроллер домена (Use any available domain controller)
После того, как политика установлена, команда Параметры контроллера домена в меню Вид окна оснастки Групповая политика будет недоступна.
Делегирование управления объектами групповой политики
С помощью инструментов управления Active Directory администратор может делегировать другим пользователям и группам право управления частью каталога. Это в полной мере относится и к объектам групповой политики, в отношении которых могут быть, в частности, делегированы следующие права: Управление связями GPO с сайтом, доменом или подразделением (OU). Для этого с помощью инструмента управления Active Directory необходимо указать сайт, домен или OU и выбрать его. В появившемся контекстном меню выбрать команду Делегирование управления (Delegate Control). Запустится Мастер делегирования управления (Delegation of Control Wizard). С его помощью можно выбрать объект групповой политики, группу или пользователя, которому должны быть делегированы права, а также и само право (в данном случае Управление ссылками групповой политики (Manage Group Policy links)).
Создание и удаление всех дочерних объектов групповой политики. По умолчанию правом создания объектов в GPO обладают администраторы домена (Domain Admins) и администраторы предприятия (Enterprise Admins), а также операционная система. Для делегирования пользователю права управления объектами групповой политики домена необходимо включить его в группу Создатели-владельцы групповой политики (Group Policy Creator Owners).
Редактирование свойств объектов групповой политики. По умолчанию правом редактирования GPO обладают администраторы домена, администраторы предприятия и операционная система. Для делегирования пользователю права редактирования объекта групповой политики необходимо включить его в одну из указанных групп безопасности.
Использование инструмента GPupdate
Инструмент GPUpdate входит в состав Windows Server 2003. При запуске этого инструмента происходит обновление параметров политики компьютера или политики пользователя, причем это касается как локальных политик, так и групповых политик, сохраненных в Active Directory, в том числе и параметров безопасности. Этот инструмент устраняет необходимость выполнения перезагрузки или выхода/входа в систему пользователем для немедленного обновления политик. Синтаксис команды следующий.
Gpupdate [/target:{computer | user}] [/force] [/wait:значение] [/logoff] [/boot]
Задание
1. Изучить теоретический материал.
2. Ознакомиться с оснасткой gpedit. msc.
3. Создать объект групповой политики с различными ограничениями.
4. Создать сценарий пользователя и компьютера для входа.
5. Изучить команду Gpupdate.
6. Ответить на вопросы преподавателя.
