1.5. Структура компонентов групповой политики

Инфраструктура групповой политики основана на архитектуре «клиент - сервер» с компонентами клиента и сервера и включает в себя модуль групповой политики, представляющий собой основу для обработки общих функциональных параметров административных шаблонов, а также определенных компонентов, называемыхрасширениями клиентской стороны(Client-side extension, CSE). Расширения клиентской стороны интерпретируют параметры в объекты групповой политики и вносят соответствующие изменения в конфигурацию компьютера или пользователя. Такие расширения относятся ко всем основным категориям параметров политики.

Например, одно расширение клиентской стороны предназначено для установки программного обеспечения, другое применяет изменения безопасности, третье – обеспечивает автоматическую настройку компьютеров, подключенных к проводной сети и так далее.

Но необходимо помнить, что клиент групповой политики всегда извлекает объекты групповой политики из домена, включая настроенные вами расширения клиентской стороны для локального применения параметров. Параметры групповой политики определяют конкретную конфигурацию для применения. Некоторые параметры политики влияют только на пользователя независимо от того, с какого компьютера был выполнен вход в систему, а другие параметры влияют на компьютер, независимо от того, какой пользователь вошел в систему на этом компьютере. Такие параметры называются параметрами конфигурации пользователейипараметрами конфигурации компьютеров. Параметры политики определяются и располагаются в объекте групповой политики, который может включать в себя один или несколько параметров политики и применяться к одной или нескольким конфигурациям пользователя или компьютера.

При создании объекта групповой политики, изменения, внесенные в параметры объектов групповой политики, передаются в Active Directory на контроллер домена. Контроллер домена, который является связующим звеном между изменениями, внесенными в административные шаблоны системным администратором и целевым компьютером, будет извлекать настройки параметров объектов групповой политики. Контроллер домена содержит логический компонент, контейнер групповой политики, который хранит информацию о настройках объектов групповых политик в Active Directory, а также физический компонент, шаблон групповых политик, который хранится в реплицируемой папке %SystemRoot%\SYSVOL, распложенной на каждом контроллере домена.

При создании каждого нового объекта групповой политики, в базе данных Active Directory создается контейнер групповой политики (Group Policy Container, GPC), который можно найти в оснастке «Active Directory – пользователи и компьютеры». Этот контейнер является дочерним контейнером Policies (рисунок 13) контейнера System, отображается при включении дополнительных компонентов из меню«Вид».

Рисунок 13. Контейнеры групповой политики в домене Active Directory

1.5.1. Расширения клиентской стороны «Параметры безопасности»

Инфраструктура групповой политики операционной системы Windows Server 2008 и Windows Server 2008 R2 включает в себя свыше сотни параметров, предназначенных для обеспечения безопасности организации. К таким параметрам можно отнести политики, предназначенные для управления учетными записями пользователей, политики аудита, журнала событий, системного реестра, служб Windows, политики проводной и беспроводной сети и многое другое.

Одним из основных компонентов операционной системы Windows, которые имеют отношение к параметрам безопасности и взаимодействуют с инструментами, предназначенными для управления групповыми политиками, является библиотека Scesrv.dll, которая располагается в процессе Servicecs.exe, выполняемого в контексте локальной системы и предназначена для обеспечения функциональности механизма безопасности. К таким функциям можно отнести настройку, распространение, импорт, а также анализ. Сам процесс анализа параметров безопасности, распространяемых на пользователей или компьютеры, выполняется путем вызова интерфейса программирования приложений API совместно с системным реестром, LSA и SAM. Если рассматривать контроллеры домена, то на них библиотека Scesrv.dll получает уведомления об изменениях, которые должны распространяться между контроллерами домена, указанных SAM и LSA. Библиотека Scecli.dll предоставляет механизму параметров безопасности пользовательский интерфейс, а также принимает участие в генерировании отчетов результирующей групповой политики. Для загрузки применяемых файлов групповой политики с параметрами безопасности, распространяемыми на клиентские компьютеры из папки Sysvol, библиотека Scrsrv.dll использует библиотеку Scecli.dll. В свою очередь, для отображения пользовательского интерфейса в оснастках MMC, данная библиотека загружается в Wsecedit.dll для установки параметров безопасности, установленных по умолчанию, включая настройки безопасности системного реестра, служб, настроек *.INF-файлов и многого другого. Помимо этого, для реализации настроек параметров безопасности и последующего анализа, утилита командной строки Secedit.dll также во время своей работы использует библиотеку Scrcli.dll.

Кроме этих двух библиотек, принимающих ключевую роль в расширении клиентской стороны параметров безопасности также можно выделить такие компоненты, как:

• Библиотеку Wsecedit.dll, которая представляет собой расширение оснастки редактора управления групповой политикой «Параметры безопасности» и используется для настройки параметров безопасности в самом объекте групповой политики;

• Пользовательские базы данных, представляющие собой любой тип баз данных, отличных от системных баз данных, созданных системным администратором для настройки и анализа параметров безопасности;

• Secedit.sdb. Файл, который находится в папке %Windir%\Security\database, представляющий собой постоянную базу данных, применяемую для распространения политики;

• Шаблоны *.INF, которые представляют собой текстовые файлы, содержащие декларативные параметры безопасности, загружаемые в базу данных и хранящиеся в INF-файлах в папке Sysvol на контроллерах домена.