Использование Group Policy для управления клиентскими и серверными машинами
Windows Settings
Секция Windows Settings имеется в узлах Computer Configuration и User Configuration оснастки GPOE. Настройки Windows Settings в узле User Configuration применяются ко всем пользователям независимо от компьютера, который они используют. Эта секция содержит также пять расширений: Remote Installation Services, Scripts (startup, shutdown, logon и logoff), Security Settings, Folder Redirection и Internet Explorer Maintenance.
Remote Installation Services.Вы можете использовать Group Policy, чтобы задавать, должен ли пользователь машины, конфигурируемой с помощью Remote Installation Services (RIS), указывать имя компьютера во время установки, нужно ли повторять попытку удаленной установки, если ее не удалось выполнить, и получают ли пользователи доступ к служебным средствам до установки операционной системы. GPO может поддерживать варианты выбора, которые выводятся мастером Client Installation Wizard при использовании RIS для установки операционной системы.
Scripts.Вы можете использовать передаваемые с помощью Group Policy скрипты для автоматизации загрузки и завершения работы с помощью расширения Scripts. Эти скрипты выполняются с использованием полномочий User. Для объектов GPO Windows Server 2003 и Windows 2000 вы можете ограничивать эти скрипты с помощью наследования, а также средств WMI Filtering и Security Filtering, как это описано выше в этой лекции.
В Windows Server 2003 включена поддержка WSH (Windows Script Host) - независимого от языков сервера скриптов Windows для 32-битных платформ, включая файлы Visual Basic Scripting Edition ( .vbs -файлы) и JScript ( .js -файлы), а также файлы WSH ( .swf -файлы). WSH включен в Windows Server 2003 и Windows 2000. Вы можете использовать WSH для запуска скриптов .wsf, .vbs и js непосредственно на клиентском компьютере или в командной консоли с помощью двойного щелчка на файле скрипта или путем ввода скрипта в командной строке.
Вы можете использовать для создания скриптов любой язык, поддерживаемый WSH. Существует много источников поддержки WSH от поставщиков ПО для языков сценариев, таких как Perl и JavaScript, а также для пакетных файлов (с расширением .bat и .cmd ).
Конфигурируя расширение Group Policy Scripts, вы создаете новые скрипты, которые сохраняются в соответствующей подпапке папки <windir>\System32\ GroupPolicy\Machine\Scripts\. Чтобы сконфигурировать скрипт в объекте GPO, откройте окно Properties, дважды щелкнув на этой настройке, щелкнув на ссылке Properties в описании или щелкнув правой кнопкой на этой настройке и выбрав затем пункт Properties. Появится окно конфигурирования для этой настройки.
Security Settings (Настройки безопасности).Вы используете секцию Security Settings, чтобы конфигурировать защиту компьютеров и вашей сети в целом. Вы можете задавать настройки безопасности для своего сайта, домена или OU любого уровня. В табл. 13.5 показаны типы настроек, которые можно задавать с помощью расширения Group Policy Security Settings в узле User Configuration.
Вы можете использовать Public Key Policies (Политики открытых ключей) для следующего.
- Сделать так, чтобы компьютеры подавали запрос сертификата в центры сертификации предприятия и устанавливали выданный сертификат. Этим управляет настройка GPO Automatic Certificate Request Settings (Настройки запросов автоматического получения сертификатов).
- Создавать и распространять список доверия сертификатам. Этим управляет настройка GPO Enterprise Trust (Доверительные отношения предприятия).
- Создавать общие доверяемые корневые центры сертификации. Этим управляет настройка GPO Trusted Root Certification Authorities (Доверяемые корневые центры сертификации). Возможно, вам не нужно использовать эту настройку для корневых центров сертификации Microsoft в домене, если все пользователи и компьютеры в лесу доверяют им по умолчанию, установив какой-либо центр сертификации Microsoft. Используйте эту настройку для создания доверительного отношения к корневому центру сертификации, который не является частью вашей организации или не является доверяемым корневым центром сертификации.
- При необходимости сконфигурируйте политики доверия NTAUTH для домена на странице Properties узла Public Key Policies.
- Добавьте агентов восстановления шифрованных данных и внесите изменения в способ восстановления шифрованных данных. Этим управляет GPO Encrypted File System.
Обычно вам не требуется использование Public Key Policies для развертывания инфраструктуры открытых ключей, но эти настройки дают больше возможностей в управлении созданием доверительных отношений, выдачей сертификатов и развертыванием EFS (Encrypted File System).
Software Restriction Policies (Политики ограничения ПО) содержат правила, определяющие программы, которые разрешается запускать, а также исключения из этих правил. Вы можете конфигурировать Security Levels (Уровни безопасности), задавать Additional Rules (Дополнительные правила), задавать Enforcement (Применение политик), указывать свойства для Designated File Types Properties (Назначенные типы файлов) и определять свойства для Trusted Publishers (Доверяемые издатели). Эти правила определяют программные приложения и указывают, разрешается ли запускать определенное приложение, сопровождая каждое правило описательным текстом, помогающим понять, зачем создано правило. Чтобы определять программное обеспечение, политика ограничения ПО поддерживает четыре правила, представленных в табл. 13.6.
| Тип настроек безопасности | Описание |
|---|---|
| Public Key Policies (Политики открытых ключей) | Управляют настройками Encrypting File System (Шифрующая файловая система), Automatic Certificate Request settings (Настройки запросов автоматического получения сертификатов), Trusted Root Certification Authorities (Доверяемые корневые центры сертификации) и Enterprise Trust settings (Настройки доверительных отношений предприятия). Активизируют также политику Enterprise Trust для автоматической регистрации пользователей в программах сертификации. |
| Software Restriction Policies (Политики ограничения ПО) | Указание программ, запускаемых на компьютерах, а также управление возможностями их запуска. По умолчанию Software Restriction Policies разрешают запускать любые программы с полномочиями User. Вы можете конфигурировать эти полномочия, запрещая, например, запускать любые программы независимо от прав пользователя. |
| Правило | Описание |
|---|---|
| Certificate Rule | Указывает набор скриптов, которые можно запускать где-либо. |
| Hash Rule | Разрешает или запрещает определенную версию программы. |
| Internet Zone Rule | Разрешает установку ПО с доверяемых сайтов зоны интернет. |
| Path Rule (с переменными среды) | Указывает программу, которая всегда устанавливается в одном и том же месте. |
| Path Rule (реестр) | Указывает антивирусную программу, которую можно установить где-либо на клиентском компьютере. |
| Path Rule (сервер) | Указывает набор скриптов на сервере. |
| Path Rule (с символами подстановки) | Указывает набор скриптов на группе серверов, не разрешая запускать файлы с определенными расширениями имен, или не разрешая запускать определенные программы. |
Используя расширение Security Settings в обоих узлах - Computer Configuration и User Configuration, - вы можете использовать Group Policy, чтобы передавать и реализовывать разнообразные конфигурации безопасности для машин Windows XP Professional, Windows 2000 и Windows Server 2003. Эти политики безопасности применяются к компьютерам при каждой обработке объекта GPO, присоединенного к контейнеру Active Directory, в котором содержится данный пользователь. Некоторые настройки начинают действовать только после перезагрузки или входа пользователя. Чтобы определить, какие объекты GPO, содержащие настройки безопасности, были применены при последнем обновлении политик, посмотрите локальный кэш политик в файлах <windir>\security\templates\policies\gpt*.*. Каждый файл представляет шаблон безопасности в одном GPO, и в этом файле хранится GUID (глобально уникальный идентификатор) для данного GPO.
Настройки Security Settings повышают возможности существующих средств безопасности для остальной части Group Policy, а также вкладок Security окон Properties для файлов, папок, объектов Active Directory и т.д. Отметим, что настройки Security Settings могут отражаться и в реестре, даже если определенная настройка больше не задана в GPO, который применил ее, или сам GPO удален или отсоединен.
Folder Redirection (Перенаправление папок).Перенаправляя файлы с локальных машин в сетевой разделяемый ресурс, вы можете поддерживать их резервное копирование как часть своей повседневной работы, не полагаясь но то, что пользователи будут что-то делать для сохранения своих данных. В Group Policy имеется настройка Folder Redirection для перенаправления специальных папок в сетевые разделяемые ресурсы. Каждая опция Folder Redirection позволяет вызывать дополнительные опции, которые учитывают членство в группах безопасности (Security Group). Вы можете перенаправлять следующие специальные папки:
- My Documents ;
- My Documents\My Pictures (даже если папка My Documents не перенаправлена, или можете перенаправлять ее по умолчанию вместе с папкой My Documents );
- Desktop ;
- Application Data (если вы также активизировали настройку Group Policy, которая управляет поведением Application Data с помощью кэширования на клиентской машине);
- Start Menu (в случае ее перенаправления перенаправляются также ее подпапки).
Если вы активизировали Roaming User Profiles (Профили перемещающихся пользователей), то в профиль перемещающегося пользователя включается только путь к папке My Documents, но не сама папка. Это освобождает вашу сеть от необходимости копирования файлов между клиентской машиной и сервером во время входа и завершения сеанса пользователя. Даже если пользователь выполняет вход с различных компьютеров сети, его документы будут всегда доступны.
Если вы активизируете Offline Files (Автономные файлы), то пользователи могут осуществлять доступ к перенаправленным папкам, даже если они не подсоединены к сети. Это удобно, если у вас много лэптопов, перемещающихся пользователей или часто случаются отключения сети. Средство Offline Files работает с любым локальным или удаленным диском, который доступен пользователю в режиме offline. Средство Offline Files не зависит от Folder Redirection, хотя они хорошо работают совместно. Если пользователь отключается от сети, то в области уведомлений (внизу справа в панели задач) появляется значок Offline Files, а пользователи уведомляется с помощью всплывающего сообщения.
Если какой-либо удаленный пользователь и пользователь в сети вносят изменения в один и тот же файл, то новый подсоединившийся пользователь может выбирать между сохранением автономной версии этого файла в сети, поддержкой другой версии или сохранением обеих версий.
Internet Explorer Maintenance.Group Policy поддерживает администрирование и настройку Microsoft Internet Explorer для клиентских компьютеров, работающих под управлением Windows 2000, Windows XP Professional и Windows Server 2003. Расширение Internet Explorer Maintenance содержит настройки для конфигурирования Internet Explorer. Используйте эти настройки для управления такими элементами, как зоны безопасности, прокси-настройки, поиск и временные файлы интернета.
Administrative Templates
Большинство людей, когда слышат термин "Group Policy", ассоциируют его с административными шаблонами, которые централизованно конфигурируют реестр клиентских компьютеров. Это расширение применяется в том месте Group Policy, где находятся связанные с реестром административные шаблоны (.adm-файлы). Примерно 700 уникальных настроек доступны за счет использования .adm-файлов.
Windows Components (Компоненты Windows).Используйте эти настройки, чтобы конфигурировать следующие компоненты операционной системы Windows:
- NetMeeting
- Internet Explorer
- Windows Explorer
- Microsoft Management Console
- Task Scheduler
- Terminal Services
- Windows Installer
- Windows Messenger
- Windows Update
- Windows Media Player
Start Menu and Taskbar (Меню "Пуск" и Панель задач).Используйте эти настройки, чтобы конфигурировать, добавлять, удалять и отключать части меню Start, панели задач и области уведомлений. Около 50 настроек доступны здесь для вашего выбора.
Desktop (Рабочий стол).Используйте эти настройки, чтобы управлять рабочими столами на клиентских компьютерах, включая настройки Active Desktop, значки My Documents и My Computer и многие другие опции. Вы можете также использовать представленные здесь настройки, чтобы определять, каким образом пользователи будут взаимодействовать с Active Directory.
Control Panel (Панель управления).Используйте эти настройки, чтобы настроить панель управления пользователей, включая представление и поведение окна Add/Remove Programs, заставки (screen saver) и соответствующие заставки, защищенные паролем, опции языков и доступ пользователя к Control Panel.
Shared Folder (Разделяемая папка).Используйте эти настройки, чтобы разрешать публикацию разделяемых папок или корней DFS.
Network (Сеть).Используйте эти настройки, чтобы конфигурировать компоненты операционной системы, которые связывают клиентскую машину с сетью. Здесь можно указывать первичный суффикс DNS и запрещать пользователям его изменение. Вы можете также конфигурировать в этой секции автономные файлы (Offline Files). Здесь также доступны многие настройки сетевых соединений (Network Connections).
System (Система).Используйте эти настройки, чтобы управлять поведением таких средств, как User Profiles (Профили пользователей), Scripts (Скрипты), CTRL+ALT+DEL Options, Logon, Group Policy, Power Management (Управление электропитанием) и многими другими элементами, включая автоматические обновления Windows Automatic Updates.
Нестандартные шаблоны
По умолчанию вы имеете доступ к более чем 700 настройкам Group Policy. И все же вам может потребоваться создание дополнительных настроек политик для поддержки нового ПО, приобретенного вашей организацией, или для управления настройками реестра, которые не конфигурируются с помощью существующих настроек Group Policy. Вы можете выполнять эти задачи, используя три способа.
- Добавление административных шаблонов, которые уже имеются в Windows.Доступ к некоторым .adm-файлам можно получать только путем их добавления в оснастке GPOE.
- Создание новых расширений Group Policy.Прежде чем делать это, прочитайте дополнительную литературу по Group Policy.
- Создание расширений на клиентских машинах.Это также стратегия не для новичков, но она доступна для создания сложных объектов GPO.
Некоторые приложения записывают и устанавливают свои собственные дополнительные расширения (как расширения Group Policy, так и расширения для клиентских машин), чтобы расширить возможности управления с помощью объектов GPO.
Обычно вам не требуется создание новых расширений ввиду большого разнообразия и полноты существующих возможностей. Но если какое-либо приложение или средство ищет настройки политик в реестре, то вам может потребоваться создание нового .adm-файла и последующий импорт этого нового .adm -шаблона в расширение Administrative Templates. Это по существу текстовые файлы, которые вы создаете с помощью простого текстового редактора, такого как Notepad (Блокнот), и сохраняете с расширением имени файла .adm. Подробности создания нестандартных .adm -файлов можно найти в какой-либо книге по Group Policy, но как только вы поймете основы, вам будет совсем нетрудно создавать и настраивать эти файлы.
Сведения по загрузке других .adm -шаблонов (находятся в папке <windir>\Inf, которая не загружается в Administrative Templates) реально существуют только для поддержки системной политики, и они затрагивают реестр. По возможности не используйте эти .adm -файлы.