- •Технологическая карта 2.7. Особенности политики безопасности
- •Создание групповой политики безопасности.
- •Программа Resultant Set of Policy Wizard.
- •Запуск Resultant Set of Policy Wizard
- •Режим регистрации
- •Режим планирования
- •Содержание отчета:
- •Контрольные вопросы.
- •Приложение.
- •Создание групповых политик
- •Средства администрирования
- •Применение групповых политик
- •Разрешение конфликта двух политик
- •Наследование политик
- •Применение нескольких политик в отношении одного контейнера
- •Блокирование наследования политики
- •Фильтрация политик
- •Отладка процесса обработки политик и профилей
- •Клиенты, которые могут использовать групповую политику
- •Сценарии подключения и отключения
- •Сценарии, определенные в рамках пользовательского объекта
- •Сценарии, определенные в рамках групповой политики
- •Делегирование прав на администрирование групповых политик
- •Управление пользовательскими документами и кэшированием на стороне клиента
- •Рекомендации по использованию групповых политик
Средства администрирования
Утилиты группы Administrative Tools (Администрирование) входят в комплект поставки операционных систем Server, Advanced Server и Datacenter Server. Файл, необходимый для установки этих утилит, называется adminpak.msi и располагается в каталоге i386 на установочном компакт-диске или в подкаталоге WINNT\SYSTEM32\ операционной системы. Этот 15-мегабайтный файл устанавливает все необходимые оснастки и регистрирует библиотеки DLL, необходимые для использования средств администрирования. В настоящее время установить утилиты группы Administrative Tools (Администрирование) можно только на платформе Windows 2003.
Применение групповых политик
Работая с групповыми политиками, следует учитывать, что:
объекты GPO применяются в отношении контейнеров, а не замыкающих объектов;
один контейнер может быть связан с несколькими объектами GPO;
объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого контейнера в том порядке, в котором они были назначены;
объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и параметры, относящиеся к пользователю;
обработку любой из этих составляющих можно отключить;
наследование объектов GPO можно блокировать;
наследование объектов GPO можно форсировать;
применение объектов GPO можно фильтровать при помощи списков ACL.
Разрешение конфликта двух политик
Представьте, что некоторый параметр (например, logon banner — графическая заставка при подключении) определен как в политике Р3, так и в политике P1. При этом значение параметра, заданное в политике Р3, отличается от значения, заданного в политике Р1. Какое значение будет присвоено параметру в результате применения обеих этих политик? В подобной ситуации параметру объекта присваивается значение, извлеченное из GPO, который находится к объекту ближе всего. Таким образом, в рассмотренной ситуации параметру logon banner будет присвоено значение, извлеченное из политики Р1.
Наследование политик
Представьте, что политика Р3 содержит в себе значение параметра logon banner, в то время как политика Р1 не определяет этого параметра. В этом случае, если в отношении объекта применяются обе эти политики, рассматриваемому параметру объекта будет присвоено значение из политики Р3. Однако для контейнера SA не определено ни одной политики. Все же параметру logon banner этого контейнера будет присвоено значение из политики Р3. Мало того, в отношении этого контейнера будут в полной мере применены политики Р3 и Р1, так как контейнер SA унаследует эти политики от своих родителей — узла New York и домена shinyapple.msft.
Применение нескольких политик в отношении одного контейнера
Представьте что политики Р4 и Р5, в которых определяются значения самых разнообразных параметров, применены в отношении контейнера Acct. В разделе конфигурации компьютера политики Р4 членам глобальной группы Accounting (бухгалтерия) разрешается локально подключаться к любому компьютеру в контейнере Acct, а также во всех подконтейнерах этого контейнера. А в разделе конфигурации компьютера политики Р5 права группе Accounting (бухгалтерия) не назначаются. В списке политик, отображаемом на странице Group Policy (Групповая политика) в окне свойств контроллера домена, политика Р5 располагается в самом верху списка — выше политики Р4. Политики, указанные в этом списке, применяются к объекту в порядке снизу вверх. Другими словами, политики, расположенные внизу списка, применяются в первую очередь, после чего применяются политики, расположенные выше по списку. Таким образом, при обработке рассматриваемого набора политик в отношении контейнера Acct вначале будет применена политика Р4, а затем политика Р5. Следовательно, после обработки набора политик параметр прав на локальное подключение к системе будет содержать значение из политики Р5. Таким образом, члены глобальной группы Accounting (бухгалтерия) не будут обладать правом локального подключения к компьютерам контейнера Acct и его подконтейнеров. Чтобы изменить порядок обработки политик, следует воспользоваться кнопками Up (Вверх) и Down (Вниз) в правом нижнем углу вкладки Group Policy (Групповая политика).
Windows 2003 позволяет блокировать применение некоторых разделов объекта GPO. Если политика применяется в отношении контейнера не полностью, а только частично, общее время подключения пользователя к системе уменьшается. Чем меньшее количество параметров GPO следует применить в отношении того или иного объекта, тем быстрее выполняется обработка соответствующей политики. Отключение обработки некоторых разделов политики можно выполнить отдельно для каждого из объектов GPO. Для этого следует выполнить следующие действия:
Откройте оснастку Active Directory — Users and Computers (Active Directory — пользователи и компьютеры). Наведите указатель на интересующий вас контейнер, откройте окно свойств этого контейнера и перейдите на вкладку Group Policy (Групповая политика).
Выберите объект GPO, который вы намерены модифицировать.
Щелкните на кнопке Properties (Свойства).
Здесь вы можете блокировать применение в отношении контейнера параметров политики, относящихся к конфигурации компьютера или к конфигурации пользователя.
После того как вы указали, применение какого из разделов GPO должно быть блокировано, на экране появится сообщение о том, что значения параметров, модифицированных благодаря данной политике, будут восстановлены в изначальное состояние. Например, если блокировать применение параметров GPO, относящихся к конфигурации пользователя, то конфигурация всех пользователей, в отношении которых действует данная политика, будет восстановлена в состояние, в котором она была до применения данной политики. В отличие от Windows 2003 операционная система NT 4.0 выполняла очистку политик некорректно. В связи с этим в NT 4.0 даже после отмены политики параметры объектов сохраняли значения, присвоенные им в процессе применения отмененной политики.
Блокирование применения одного из разделов политики настраивается для конкретного объекта GPO и действует в отношении всех контейнеров, для которых назначен этот GPO.