Стратегия управления учетными записями

Планирование групповой политики

Групповая политика - мощное и эффективное средство, позволяющее задать параметры сразу для нескольких пользователей и компьютеров. Кроме того, групповая политика применяется для распространения и обновления программного обеспечения в организации.

Групповая политика определяет набор параметров конфигурации пользователей и компьютеров, который можно связать с компьютерами, сайтами, доменами и OU в Active Directory. Такой набор параметров групповой политики называется объектом групповой политики (Group Policy Object, GPO).

Любой компьютер под управлением Windows 2000, Windows ХР или Windows Server 2003 (независимо от того, входит он в Active Directory или нет) содержит один локальный GPO, в котором заданы политики, применяемые к этому компьютеру. Если компьютер входит в Active Directory, к нему можно применить несколько дополнительных GPO, не являющихся локальными.

Существует два основных типа групповой политики [ 3 ] :

• Конфигурация компьютера. Используется для задания групповых политик, применяемых к определенным компьютерам.
• Конфигурация пользователя. Используется для задания групповых политик, применяемых к определенным пользователям.

Вне зависимости от типа параметров групповой политики имеется три следующие категории [ 3 ] .

• Параметры программ (Software Settings). Категория содержит параметры для установки программного обеспечения на клиентских компьютерах (поддерживаются ОС Windows 2000 и более новые), к которым применяется групповая политика. Используются два компонента:
  • служба установки Windows. Установка и обновление ПО в соответствии с инструкциями в установочных пакетах;
  • установочные пакеты Windows. Исполняемые файлы сценариев со всеми инструкциями (msi).
• Параметры Windows (Windows Settings). Категория предназначена для изменения ряда параметров конфигурации, связанных со средой Windows:
  • сценарии (Scripts). Настраивая конфигурацию компьютера, можно задать сценарии, которые выполняются при его включении или выключении. При настройке конфигурации для пользователя можно задать сценарии, выполняемые при входе или выходе пользователя;
  • параметры безопасности (Security Settings). Это параметры безопасности, задаваемые для компьютеров и пользователей;
  • настройка Internet Explorer (Internet Explorer Maintenance). Этот узел доступен только для пользователей и служит для управления работой Internet Explorer на клиентских компьютерах;
  • службы удаленной установки (Remote Installation Services, RIS). RIS позволяет автоматически выполнять удаленную установку операционной системы на новые клиентские компьютеры. Эти параметры тоже доступны только для конфигураций пользователей. Они управляют удаленной установкой операционных систем;
  • перенаправление папок (Folder Redirection). Эти параметры доступны только для конфигураций пользователей. Они позволяют переопределить специальные папки Windows, изменив их местонахождение по умолчанию на сетевой каталог. Благодаря этому можно централизованно управлять папками пользователей.
• Административные шаблоны (Administrative Templates). Категория содержит все параметры групповой политики, хранящиеся в реестре, которые можно использовать для конфигураций компьютеров и пользователей.

Разрешение GPO из нескольких источников

Поскольку GPO, применяемые к пользователю или компьютеру, могут поступать из нескольких источников, нужен способ определения того, как эти GPO сочетаются друг с другом. GPO обрабатываются в следующем порядке [ 3 ] :

• локальный GPO. Обрабатывается локальный GPO компьютера, и применяются все параметры защиты, заданные в этом GPO;
• GPO сайта. Обрабатываются GPO, связанные с сайтом, к которому относится компьютер. Параметры, заданные на этом уровне, переопределяют любые параметры предыдущего уровня, с которыми они конфликтуют. Если с сайтом связано несколько GPO, администратор сайта может задать, в каком порядке обрабатываются эти GPO;
• GPO домена. Обрабатываются GPO, связанные с доменом, к которому относится компьютер, и применяются содержащиеся в них параметры. Параметры, заданные на уровне домена, переопределяют параметры, примененные на локальном уровне или на уровне сайта, с которыми они конфликтуют. Если с доменом связано несколько GPO, администратор, как и в предыдущем случае, может задать порядок их обработки;
• GPO OU. Обрабатываются GPO, которые связаны с любыми OU, содержащими пользователя или компьютер. Параметры, заданные на уровне OU, переопределяют параметры, примененные на локальном уровне или уровне домена и/или сайта, с которыми они конфликтуют. Один и тот же объект может входить в несколько OU. В этом случае сначала обрабатываются GPO, связанные с OU, находящейся на самом высоком уровне иерархии Active Directory, затем - с OU, находящейся на следующем уровне, и т. д. Если с одной OU связано несколько GPO, администратор, как и в предыдущих случаях, может задать порядок их обработки.

Наследование групповой политики

По умолчанию дочерние контейнеры наследуют групповую политику от родительских контейнеров. Однако можно переопределить унаследованные параметры, задав для дочернего объекта другие значения параметров. Кроме того, в GPO можно задать, что тот или иной параметр активен, неактивен или не определен. Параметры, которые не определены для родительского контейнера, вообще не наследуются дочерними контейнерами, а параметры, которые активны или неактивны, наследуются.

Если GPO определены и для родителя, и для потомка и если заданные в них параметры совместимы, эти параметры комбинируются. Например, если в родительской OU задана определенная длина пароля, а в дочерней OU - некая политика блокировки учетных записей, будут использоваться оба этих параметра. Если параметры несовместимы, то по умолчанию с дочерним контейнером связывается значение, переопределяющее значение параметра, который связан с родительским контейнером.

Если необходимо не применять политику к пользователю или группе, можно запретить чтение или применение этой политики для данного пользователя или группы.

В большинстве политик задействована лишь часть доступных параметров, поэтому неиспользуемые параметры конфигурации компьютера или пользователя, содержащиеся в GPO, рекомендуется отключать. Если неиспользуемые параметры включены, они все равно обрабатываются, что приводит к лишнему расходу системных ресурсов. Отключив неиспользуемые параметры, мы снизим нагрузку на клиентские компьютеры, обрабатывающие политику.

Имеется еще два дополнительных механизма, применяемых при управлении наследованием групповых политик [ 3 ] :

• Не перекрывать (No Override). При связывании GPO с контейнером можно выбрать, чтобы параметры, заданные в этом GPO, не переопределялись параметрами в GPO, связанных с дочерними контейнерами. Это гарантирует, что для дочерних контейнеров будет применяться заданная политика.
• Блокировать наследование политики (Block Policy Inheritance). При выборе этого параметра контейнер не наследует параметры GPO, заданные для родительского контейнера. Однако если для родительского контейнера указан параметр "Не перекрывать", дочерний контейнер не может заблокировать наследование от своего родителя.

Планирование структуры GPO

При реализации групповой политики сначала создаются GPO, затем эти объекты связываются с сайтами, доменами и OU. Может потребоваться применение некоторых GPO на уровне доменов или сайтов, но в большинстве случаев следует применять GPO на уровне OU [ 3 ] .

Связывание GPO с доменом

GPO, связанный с доменом, применяется ко всем пользователям и компьютерам домена. Поскольку это мощная политика, следует свести к минимуму количество GPO этого уровня.

Типичное применение GPO уровня домена - реализация корпоративных стандартов. Например, в компании может действовать стандартное требование, состоящее в том, что ко всем компьютерам и пользователям должна применяться одна и та же политика управления паролями и аутентификацией. В этом случае применение GPO уровня домена было бы отличным решением.

Связывание GPO с сайтом

GPO связывают с сайтами очень редко, поскольку гораздо эффективнее связывать GPO с OU, структура которых основана на территориальном делении.

Но при определенных обстоятельствах связывание GPO с сайтом - приемлемое решение. Если параметры должны быть общими для всех компьютеров, физически находящихся в определенном месте, и для этого места создан сайт, есть смысл связать GPO с сайтом. Например, для компьютеров, расположенных в некоем филиале, нужно задать определенную сетевую конфигурацию с поддержкой подключения к Интернету. В этом случае идеально подходит GPO, связанный с сайтом.

Связывание GPO с OU

В большинстве случаев лучше связывать GPO с хорошо продуманной структурой OU, чем с сайтами или доменами. OU обеспечивают наибольшую гибкость, поскольку позволяют спроектировать структуру, хотя бы отчасти упрощающую применение групповой политики. Кроме того, OU более гибкие в администрировании: можно без проблем перемещать пользователей и компьютеры между OU, изменять структуру OU и даже переименовывать сами OU.

Краткие итоги

В Active Directory можно создать пять типов учетных записей:

• Компьютер;
• Пользователь;
• Группа;
• InetOrgPerson;
• Контакт.

В Windows Server 2003 существует два основных типа учетных записей пользователей:

• локальные;
• доменные.

И на локальных компьютерах, и в доменах создается две ключевые учетные записи:

• Администратор (Administrator);
• Гость (Guest).

Есть несколько правил, которые нужно соблюдать при планировании стратегии именования пользователей. При планировании стратегии аутентификации (в том числе, управления паролями) рекомендуется соблюдать ряд правил.

При планировании групп могут использоваться следующие их типы групп и области действия:

• группы безопасности;
• группы распространения;
• глобальные группы;
• локальные группы домена;
• универсальные группы:

Группы пользователей помогают достичь наибольших успехов в стратегии управления учетными записями при выполнении следующих правил:

• избегать выдачи разрешений учетным записям;
• создавать локальные группы домена;
• для упорядочивания пользователей использовать глобальные группы;
• помещать глобальные группы в локальные группы домена;
• не включать пользователей в универсальные группы.

При планировании групповой политики существует два основных ее типа:

• конфигурация компьютера;
• конфигурация пользователя.

Вне зависимости от типа групповой политики имеется три следующие категории:

• параметры программ (Software Settings);
• параметры Windows (Windows Settings);
• административные шаблоны (Administrative Templates).

Поскольку GPO, применяемые к пользователю или компьютеру, могут поступать из нескольких источников, нужен способ определения того, в каком порядке эти GPO обрабатываются.

• Локальный GPO.
• GPO сайта.
• GPO домена.
• GPO OU.