PZ-10 gpol

1

Практическое занятие № Тема: Групповые политики

Групповые политики (Group Policy) — это часть технологии IntelliMirror, появившейся с приходом системы Windows 2000. Оснастка Групповые политики продолжает идеи Диспетчера учетных записей в системе Windows NT 4.0, но по сравнению с ним более функциональна и проще в понимании и управлении. Групповая политика является именно тем средством, которое служит для упрощения управления компьютерами пользователей. Политики применяются только к компьютерам под управлением Windows XP Professional, Windows Server 2003 и Windows 2000, являющимся членами домена. Если в сети появился компьютер с иной операционной системой, Групповая политика на него распространяться не будет.

На локальном компьютере Групповая политика можно запустить двумя способами:

•Запуском пустой консоли ММС и добавлением модуля оснастки с названием Групповая политика.

•Введением команды gpedit.msc в командной строке или в окне Пуск — > Выполнить.

Политики (всего их более 700) сгруппированы в две ветви: Конфигурация компьютеров и Конфигурация пользователей. Все политики, заданные в части Конфигурация компьютера, применяются к компьютеру независимо от того, какой пользователь за ним работает. Политики, заданные в части Конфигурация пользователя, применяются к учетной записи пользователя независимо от того, за каким компьютером он зарегистрирован. Некоторые политики присутствуют в обеих ветвях, другие — только в одной.

Почти каждая политика может находиться в одном из трех состояний (рис.):

•Не задано (не определено).

•Включено.

•Отключено.

2

Набор состояний всех политик составляет Объект групповой политики (Group Polic y Object) . Его можно применить в домене Active Directory на определённом уровне: на уровне всего домена или отдельного контейнера (рис.).

Примеры применения объекта групповой политики Если вы создадите объект групповой политики и примените его на уровне домена

(koibas.local), то политики, входящие в ветвь Конфигурация компьютера, повлияют на все компьютеры в домене, а политики в ветви Конфигурация пользователя повлияют на всех пользователей домена.

По умолчанию такой объект уже создан. Он называется Default Domain Policy (доменная политика по умолчанию). Его основным назначением является настройка параметров учётных записей пользователей домена.

Если создать другой объект групповой политики и примените его на уровне Domain Controllers (который содержит только учётные записи контроллеров домена), то политики из ветви Конфигурация компьютера будут применены только к учётным записям компьютеров в данной организационной единице (то есть только на контроллерах домена), а политики в ветви Конфигурация пользователя не будут применены вообще, поскольку в контейнере Domain Controllers никаких учётных записей пользователей. По умолчанию такой объект уже создан, и называется он Default Domain Controllers Policy. Он служит для начальной настройки контроллера домена.

В иерархической структуре домена Active Directory используется механизм наследования. Это означает, что политики из объекта, примененного к вышестоящему контейнеру, автоматически применяются и к подчинённым контейнерам, если включен режим наследования. Особое положение занимают локальные объекты групповой политики. Они применяются только к локальному компьютеру и локальным пользователям. Если удалить объект групповой политики, то все политики вернутся в состояние по умолчанию. То же произойдет в случае перемещения учётной записи пользователя в иерархии Active Directory на другое место, где на него никакой объект групповой политики не действует.

3

Главные ветви групповой политики Все политики в объекте разделены на несколько областей:

•Конфигурация программ. Эта область обеспечивает установку, обновление и удаление программного обеспечения.

•Конфигурация Windows. Этот очень важный раздел обеспечивает безопасность компьютеров. Он состоит из большого количества политик (около 150), касающихся паролей, аудита, конфигурации членства в группах, безопасности ключей реестра и файлов, безопасности IP-протокола и многих других.

•Административные шаблоны. Эта область содержит больше всего политик, управляющих возможностью запуска и конфигурирования приложений, запретами или разрешениями изменять системные файлы и т.п.

Иерархическая структура

Active Directory

Домен Active Directory имеет иерархическую структуру. Иерархическое строение домена значительно облегчает работу администратора, одновременно увеличивая гибкость настройки различных параметров в сети. Например, политики, которые так или иначе должны касаться всех пользователей в домене, можно сконфигурировать в объекте на уровне домена, параметры же, касающиеся отдельных подразделений, могут быть помещены в объект, применяемый на уровне конкретной организационной единицы, соответствующей данному подразделению.

Иерархию домена образуют контейнеры типа «организационная единица» (OU, organisation unit). Если сопоставить организационным единицам домена подразделения предприятия, то мы получим возможность по-разному конфигурировать компьютеры сотрудников, работающих в разных отделах. Скажем, определенным работникам совершенно не обязательно иметь доступ к Панели управления; другим сотрудникам можно разрешить доступ к апплетам Клавиатура и Язык и региональные стандарты, руководству же предприятия можно разрешить доступ ко всей Панели управления.

Понятно, что возможность гибкого управления отделами зависит от правильного разбиения активного каталога на организационные единицы. Нужно продумать размещение учетных записей пользователей и компьютеров по организационным единицам так, чтобы не пришлось каждый день перестраивать структуру.

Важнее всего структурировать верхний уровень. Для географически распределенных предприятий уместно будет сопоставить организационные единицы верхнего уровня филиалам в разных городах, а для небольшого предприятия они могут совпадать с делением на отделы.

Чтобы создать организационную единицу, запустите от имени администратора консоль Active Directory — пользователи и компьютеры и из контекстного меню контейнера koibas.local выберите команду Создать -» Подразделение. Введите имя новой организационной единицы. Создайте организационные единицы для подразделений IT, ASOI, Informatika, Decanat.

Теперь нужно разместить по соответствующим подразделениям учетные записи пользователей.

1. Запустите консоль Active Directory — пользователи и компьютеры.

4

2.В левом подокне разверните контейнер Users . В правом окне выделите все учетные записи пользователей щелкая по ним при нажатой клавише Ctrl. Щелкните по выделенной группе правой кнопкой мыши и выберите из контекстного меню команду Переместить. Отобразится диалоговое окно со структурой домена Active Directory.

3.В появившемся диалоговом окне со структурой домена щелкните по одному из контейнеров и нажмите кнопку ОК.

Учётные записи компьютеров оставьте в контейнере Computers . Речь идёт об исходном контейнере, в котором учётные записи создавались в процессе добавления компьютеров в домен. Организационную единицу Domain Controllers не изменять.

Теперь домен подготовлен к тому, чтобы можно было начать настраивать и применять политики. Начнем с сокрытия всех файлов, не нужных пользователям.

Сокрытие ненужных файлов

1.Зарегистрируйтесь на РС как администратор. Запустите консоль Active Directory — пользователи и компьютеры.

2.Откройте окно свойств домена koibas.local и перейдите на вкладку Групповые политики.

3.Нажмите кнопку Создать. Появится новый объект групповой политики. Дайте ему имя

«Hide unnecessary files» (сокрытие ненужных файлов).

4.Щелкните по новому объекту. Запустится оснастка Групповая политика.

5.Перейдите в раздел Конфигурация пользователя\Административные шаблоны\Панель задач и меню Пуск. Установите значения политик этого раздела согласно таблице 1.

6.Перейдите в раздел Конфигурация пользователя\Административные шаблоны\Рабочий стол. Установите значения политик этого раздела согласно таблице 2.

Таблица 1

7. Перейдите в раздел Конфигурация пользователя\Административные шаблоны\Система. Включите политику «Не запускать указанные приложения Windows» и перечислите игры freecell.exe, spider.exe, winmine.exe, pinball.exe, sol.exe, mshearts.exe и редактор реестра regedit.exe.

Теперь зарегистрируйтесь как рядовой пользователь и попытайтесь запустить regedit . Вы увидите сообщение о том, что запуск этого приложения запрещен администратором.

5

Активация политики в отношении пользователей Активизация политик, входящие в раздел Конфигурация пользователя происходит:

•При выходе и входе пользователя в систему (при каждой регистрации компьютер опрашивает контроллеры доменов о наличии объектов групповой политики, которые применяются к пользователю, и применяет их). Только после этого отображается рабочий стол пользователя.

•К пользователям, уже зарегистрировавшимся в системе, политики будут применены постепенно, в течение двух часов. Этот интервал предназначен для того, чтобы сотни рабочих станций не обращались к контроллерам домена одновременно, перегружая тем самым сеть.

•Когда на клиентском компьютере (под управлением Windows XP Professional или Windows Server 2003) будет запущена утилита командной строки GPUPDATE.

Если два часа (90 минут плюс-минус случайная величина от 1 до 30 минут) вас не устраивают, то можете применить политику Интервал обновления групповой политики для пользователей в разделе Конфигурация пользователя\Административные шаблоны\Система\Групповая политика. Установите там постоянную и случайную части нового интервала.

Сколько объектов групповой политики создавать?

Чтобы ограничить пользователей, у вас было две возможности: либо изменить состояние политик по умолчанию в объекте Default Domain Policy, либо создать и применить новый объект. Как поступать, зависит от конкретных условий на вашем предприятии.

Доводы в пользу одного объекта Каждый объект представляет собой набор файлов и папок общим объёмом 1,66 Мб. Если на сервере уже не хватает места, то несколько объектов групповой политики держать на нем невыгодно. Кроме того, чем больше объектов групповой политики существует для пользователя, тем больше времени при его входе в систему потребуется для того, чтобы применить их по очереди.

Преимущества нескольких объектов групповой полиики

Если вы измените объект политик по умолчанию (Default Domain Policy), то значения в нем уже не будут соответствовать настройкам по умолчанию и его название потеряет смысл. Вернуться к исходным значениям будет непросто, если не документировать тщательнейшим образом, что именно было изменено. Другая причина — гибкость управления. Вы могли бы создать отдельный объект для ограничения функциональности главного меню, отдельный — для ограничения рабочего стола и т.п. и применять некоторые из этих объектов на уровне подразделений, а другие — на уровне всего домена.

Настройка локальных администраторских привилегий

Когда вы включаете компьютер под управлением Windows XP Professional в домен, вам больше не обязательно знать пароль локального администратора, потому что теперь вы можете управлять этим компьютером как администратор домена. Это возможно благодаря тому, что группа Domain Admins по умолчанию входит в локальную группу Administrators. Когда вы убираете компьютер из домена, группа Domain Admins из локальной группы Administrator s удаляется. Но удалить ее может вручную пользователь, если он знает пароль локального администратора или его доменная учетная запись тоже входит в локальную группу Administrators . Для администратора домена этот риск неприемлем, но, к счастью, применение подходящей групповой политики позволяет

6

свести его на нет. Другим применением для групповой политики, о которой пойдет речь в этом параграфе, является следующая задача. Допустим, вам нужно на сотне рабочих станций под управлением Windows XP Professional добавить в реестр, в ключ

HKEY_LOCAL_MACHINE, некоторый подключ.

Право на это действие есть у локальных администраторов, которыми вы являетесь благодаря членству в группе Domain Admin, но выполнять его самому у вас нет времени. А если нанять на несколько дней контрактника для выполнения этой работы, то пришлось бы раскрыть ему пароли локальных администраторов. Пришлось бы, если бы не было политики Группы с ограниченным доступом (ветвь Конфигурация компьютера\ Конфигурация Windows\Параметры безопасности). Членами такой группы являются только те учетные записи и группы, которые вы явно укажете. Так, в группу локальных администраторов можно включить только локальную учетную запись Administrator , группу администраторов домена и доменную учетную запись Other , которую вы создали для контрактника. Сразу же, как только эта политика вступит в силу, все неуказанные учетные записи будут из группы удалены, а все указанные, отсутствовавшие в ней на тот момент, добавлены.

На каком уровне применить эту политику? Первое, что приходит в голову, — на уровне домена, поскольку в наши намерения входит применить ее ко всем компьютерам сети. Но это решение неверное. Среди компьютеров домена есть контроллер домена. Его учетная запись, правда, принадлежит организационной единице Domain Controllers , но политика домена будет применена к нему в порядке наследования. А это значит, что группа Enterprise Admins перестанет быть членом группы локальных администраторов на нем, что может повлечь нарушение работы домена. Значит, нужно создать объект групповой политики над контейнером Computers, объединяющим рядовые компьютеры, не контроллеры домена? Не получится, потому что объекты групповой политики можно применять только к домену и организационным единицам, а контейнер Computers таковым не является. Решение есть: нужно создать организационную единицу и переместить в нее учетные записи рядовых компьютеров.

1.Запустите консоль Active Directory — пользователи и компьютеры от имени администратора.

2.Сразу же под уровнем домена (то есть на уровне ранее созданных подразделений) создайте новую организационную единицу с названием «Компьютеры».

3.Переместите в нее все учётные записи компьютеров из контейнера Computers.

4.Отобразите окно свойств новой организационной единицы и перейдите на вкладку Групповые политики.

5.Нажмите кнопку Создать. Появится новый объект групповой политики. Дайте ему имя «Local administrators membership » (членство в группе локальных администраторов).

6.В новом объекте групповой политики раскройте ветвь Конфигурация компьютера\Конфигурация Windows\Параметры безопасности.

7.Щелкните правой кнопкой мыши по политике Группы с ограниченным доступом и из контекстного меню выберите команду Добавить группу.

8.В диалоговом окне Добавить группу введите (без опечаток) название Administrators и нажмите ОК.

7

9. В диалоговом окне свойств группы, в верхней части, нажмите кнопку Добавить и введите регистрационное имя Administrator . Потом нажмите кнопку Обзор и выберите группу KOIBAS\Domain Admins и доменную учетную запись KOIBAS\Other.

Активация политики в отношении компьютеров Когда только что настроенная политика вступит в силу, на каждом компьютере домена

под управлением Windows XP Professional или Windows 2000 в группе локальных администраторов появится еще один член — доменная учетная запись временного работника. Доменная группа администраторов останется без изменений. Но когда она вступит в силу?

•После перезагрузки компьютера. При каждой загрузке компьютер опрашивает контроллеры доменов о наличии объектов групповой политики, которые применимы к этому компьютеру, применяет их и только после этого выводит диалог регистрации пользователя.

•К уже работающим в домене компьютерам политики будут применены постепенно (через 90 минут плюс-минус случайная величина от 1 до 30 минут). Исключение составляют контроллеры домена, на которых новая политика вступает в силу через 5 минут.

•Когда на клиентском компьютере (под управлением Windows XP Professional или Windows Server 2003) будет запущена утилита командной строки GPUPDATE.

Как и для политик в отношении пользователей, интервал обновления можно сменить. Для этого служит политика Интервал обновления групповой политики для компьютеров в разделе Конфигурация компьютера\Административные шаблоны\Система\Групповая политика. Установите там постоянную и случайную части нового интервала. Там же находится параметр Отключить фоновое обновление групповой политики. Чтобы ввести в

силу эту политику, компьютер необходимо перезагрузить. Группы с ограниченным доступом являются весьма мощным средством. Из примеров мы видим, что это средство можно использовать как «сторожевую собаку» членства в важных доменных группах (в таком случае необходимо создать объект над организационной единицей Domain Controllers). Если кто-то из администраторов добавит в группу Domain Admins постороннего, то применение этой политики позволит через пять минут лишить его незаслуженных привилегий.

В начале этого параграфа мы говорили о задаче, для которой нужно сделать администратором временного работника. За сроком его полномочий вам придется следить самим: либо изъяв его из группы с ограниченным доступом и активировав новую политику, либо ограничив срок действия его доменной учетной записи. Сама политика действует бессрочно.

Ограничение пользователей в ненужных им действиях

На существующие в организации подразделения (IT, ASOI, Informatika, Decanat) наложим некоторые ограничения.

В распоряжении Informatika должно быть доступно только одно приложение — почтовый клиент. Мы закроем им доступ к Панели управления и ограничим возможности Проводника Windows.

Сотрудникам отдела ASOI нужно менять язык и раскладку клавиатуры.

8

Подразделению Decanat ограничений устанавливать не будем. Итог по подразделениям:

• Informatika — добавить ограничения (Панель управления, Проводник Windows).

• ASOI — добавить ограничения (Панель управления).

• Decanat — отменить назначенные ограничения.

Настройка ограничений для Informatika будет строиться следующим образом:

1.Запустите консоль Active Directory — пользователи и компьютеры от имени администратора.

2.Отобразите свойства организационной единицы «Informatika» и перейдите на вкладку Групповые политики.

3.Нажмите кнопку Создать. Появится новый объект групповой политики. Дайте ему имя

«Informatika limit».

4.В новом объекте групповой политики раскройте ветвь Конфигурация пользователя\ Административные шаблоны\Панель управления. Включите политику Запретить доступ к панели управления.

5.Раскройте ветвь Конфигурация пользователя\ Административные шаблоны\Компоненты Windows\Проводник и включите следующие политики:

• Удалить команды «Подключение сетевого диска» и «Отключение сетевого диска».

• Скрыть выбранные диски из окна «Мой компьютер».

• Удалить вкладку «Безопасность».

• Скрыть значок «Соседние компьютеры» в папке «Сетевое окружение».

Настройка ограничений для ASOI

Поскольку пользователи из ASOI должны работать с иностранными языками и раскладками клавиатуры, им нужен, собственно, доступ к одному апплету Панели управления — Язык и региональные стандарты.

1.Запустите консоль Active Directory — пользователи и компьютеры от имени администратора.

2.Отобразите свойства организационной единицы «Маркетинг» и перейдите на вкладку Групповые политики.

3.Нажмите кнопку Создать. Появится новый объект групповой политики. Дайте ему имя

«ASOI limit».

4.В новом объекте групповой политики раскройте ветвь Конфигурация пользователя\ Административные шаблоны\Панель управления.

5.Включите политику Отображать только указанные элементы панели управления. Нажмите кнопку Показать и введите (без опечаток) название «Язык и региональные стандарты».

Отмена ограничений для Decanat

Для отмены ограничений:

1.Запустите консоль Active Directory — пользователи и компьютеры от имени администратора.

2.Отобразите свойства организационной единицы «Decanat» и перейдите на вкладку Групповые политики.

3.В нижней части вкладки установите флажок Блокировать наследование политики и нажмите ОК. Тем самым вы отменили применение политик, действующих на вышерасположенные уровни иерархии активного каталога, к текущей организационной

9

единице. Этот флажок прерывает наследование всех примененных выше политик, что нас не устраивает: мы хотели бы отменить для подразделения только действие объекта групповой политики «Сокрытие ненужных файлов», а действие Default Domain Policy сохранить. Существует возможность принудительно применить групповую политику, настроенную для некоторого контейнера, ко всем контейнерам более низкого уровня, даже если у них заблокировано наследование политики. Воспользуемся ею для объекта

Default Domain Policy:

4.В окне консоли Active Directory — пользователи и компьютеры отобразите свойства домена koibas.local и перейдите на вкладку Групповые политики.

5.Выберите объект Default Domain Policy. Нажмите кнопку Параметры. В появившемся диалоговом окне установите флажок Не перекрывать. После этого ни один нижестоящий контейнер не сможет переопределить (перекрыть) политики, примененные к родительскому контейнеру.

Обеспечение безопасности хранения документов пользователей

В предыдущей работе были рассмотрены локальные и перемещаемые профили и установлено, что оптимальным местом для хранения личных документов является папка «Мои документы», по умолчанию являющаяся частью профиля. У пользователей с локальными профилями при этом личные документы хранятся на той рабочей станции, за которой они работают, а у пользователей с перемещаемыми профилями — на сервере. У обоих вариантов есть свои недостатки. В первом случае данные хранятся недостаточно надежно, так как жесткие диски пользовательских компьютеров обычно не архивируются. Во втором случае объём пользовательских данных, передаваясь по сети на компьютер, за которым пользователь раньше не работал, может существенно затормозить процесс регистрации. Решением обеих проблем является переадресация папки «Мои документы» на сервер. Серверы регулярно архивируются, и данные пользователей таким образом сохраняются. При использовании перемещаемых профилей содержимое папки документы после переадресации перестаёт быть частью профиля, а вместо него в профиле сохраняется путь к переадресованной папке \\сервер\папка. Создайте предварительно на сервере папку, которая станет родительской папкой для всех переадресованных личных папок, и откройте к ней сетевой доступ. Для этого зарегистрируйтесь на РС и запустите консоль Управление компьютером.

1.Щелкните правой кнопкой мыши по значку Управление компьютером и из контекстного меню выберите команду Подключиться к другому компьютеру. Введите имя Server и нажмите ОК.

2.Разверните контейнер Служебные программы\Общие папки и из контекстного меню выберите команду Создать. Укажите путь к папке C:\Home и дайте папке имя «Ноmе». Нажмите Далее.

3.Установите флажок Все пользователи имеют полный доступ.

Поскольку мы собираемся переадресовывать папки «Мои документы» для всех пользователей, создадим для этой цели объект групповой политики на уровне домена:

1.Запустите консоль Active Directory — пользователи и компьютеры от имени администратора.

2.Отобразите свойства домена koibas.loca l и перейдите на вкладку Групповые политики.

10

3.Нажмите кнопку Создать. Появится новый объект групповой политики. Дайте ему имя «MyDocs redirection» (перенаправление папки «Мои документы»).

4.В новом объекте групповой политики выберите узел Конфигурация пользователя\ Конфигурация Windows\Перенаправление папки. Щелкните правой кнопкой мыши по папке «Мои документы» и из контекстного меню выберите команду Свойства.

5.На вкладке Размещение выберите в поле Политика значение Простое — перенаправлять папки всех пользователей в одно место.

6.В области Размещение конечной папки выберите Создать папку для каждого пользователя на корневом пути.

7.В поле Корневой путь введите путь \\Server\Home и нажмите ОК. Для каждого отдельного пользователя в папке Home будет создана подпапка с его регистрационным именем.

8.Перейдите на вкладку Параметры и установите переключатели

Предоставлять права монопольного доступа к "Мои документы»; Перенести содержимое «Мои документы» в новое место;

После удаления политики перенаправить папку обратно в локальный профиль пользователя Чтобы от имени рядового пользователя проверить путь к папке «Мои документы», нужно

отобразить ее свойства. Но мы уже запретили это с помощью групповых политик (запретив показывать контекстное меню для элементов меню Пуск). Чтобы вытащить значок папки «Мои документы» на рабочий стол, выполните следующее:

1.Откройте окно свойств рабочего стола и перейдите на вкладку Рабочий стол.

2.Нажмите кнопку Настройка рабочего стола и в диалоговом окне Элементы рабочего стола установите флажок Мои Документы. После этого вы сможете отобразить свойства этой папки. Значок перенаправленной папки в ОС Windows XP Professional и Windows Server 2003 отличается двумя синими стрелками. Это указание на то, что содержимое папки на рабочей станции синхронизируется с сервером каждый раз при подключении и отключении пользователя от сети. Возможность автономной работы особенно удобна для пользователей с ноутбуками.

Настройка дисковых квот

1.Запустите консоль Active Directory — пользователи и компьютеры от имени администратора.

2.Отобразите свойства организационной единицы Domain Controllers и перейдите на вкладку Групповые политики.

3.Нажмите кнопку Создать. Появится новый объект групповой политики. Дайте ему имя

«Disk quotas».

4.В новом объекте групповой политики выберите узел Конфигурация компьютера\ Административные шаблоны\Система\Дисковые квоты. Настройте политики следующим образом:

• Включить дисковые квоты: Включено.

• Задать предел дисковой квоты: Включено.

• Предел квоты по умолчанию и уровень предупреждения: 210 Мб, 190 Мб.

• Вести журнал при превышении предела квоты: Включено.

• Заносить событие превышения уровня предупреждения: Включено.