- •Оглавление
- •Введение
- •1 Особенности групповых политик
- •1.1 Оснастка Групповая политика (Group Policy)
- •1.2 Административные шаблоны (Administrative Templates)
- •1.3 Установка программ (Software Installation)
- •1.7 Объекты gpo и Active Directory и порядок применения групповых политик
- •1.8 Локальные gpo
- •2 Параметры безопасности gpo
- •2.1 Расширение Параметры безопасности
- •2.2 Блокирование локальных учетных записей
- •2.3 Настройка безопасности для раздела реестра
- •2.4 Настройка безопасности для всего диска с
- •3 Групповые политики домена
- •1.1 Работа с групповыми политиками домена
- •1.2 Настройка политики паролей для локальных учетных записей
- •1.3 Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию
- •1.4 Использование групп безопасности
- •Заключение
- •Список использованных источников
1.7 Объекты gpo и Active Directory и порядок применения групповых политик
GPO хранит информацию о настройках групповых политик в двух структурах контейнере групповых политик (Group Policy Container, GPC) и шаблоне групповых политик (Group Policy Template, GPT).
Контейнер групповых политик представляет собой объект Active Directory, в котором хранятся свойства GPO: версия, список расширений, которые хранят свои настройки в объекте групповой политики, состояние GPO и т. д.
Шаблон групповых политик это папка, где находится информация о настройках, модифицируемых с помощью оснастки Групповая политика: политики, настраиваемые с помощью административных шаблонов, настройки безопасности, приложения, управление которыми осуществляется посредством расширения, Установка программ, сценарии, заданные с помощью расширения Сценарии, и т. д.
Папка шаблона групповых политик находится на системном томе контроллеров доменов в папке Policies.
При работе с GPO имя папки его шаблона групповых политик выступает в качестве глобального уникального идентификатора (Global Unique Identifier, GUID), уникально характеризующего данный объект групповой политики.
Оснастку Групповая политика можно настроить так, что информация о групповых политиках будет храниться вне GPO.
Однако в этом случае в одном из стандартных мест хранения информации о групповых политиках необходимо сохранить ссылку (link) на местоположение данных GPO.
1.8 Локальные gpo
На каждом компьютере сети Windows 2000 существует локальный объект групповой политики, представляющий собой шаблон групповых политик. По умолчанию он содержит только информацию безопасности.
Внутри папки шаблона групповых политик имеются следующие подкаталоги
- Adm (если компьютер входит в домен).
Здесь находятся все файлы *.adm для данного шаблона групповых политик.
- Machine.
Здесь хранится файл Registry.pol со значениями параметров реестра, устанавливаемыми для компьютера. При загрузке операционной системы файл Registry.pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_LQCAL_MACHINE. Если компьютер входит в домен, в папке Machine появляется подкаталог Scripts (где находятся все сценарии и связанные с ним файлы), в котором находятся подкаталоги Shutdown и Startup для сценариев выключения и запуска системы (соответственно).
- User.
Здесь хранится (если компьютер входит в домен) файл Registry.pol со значениями параметров реестра, устанавливаемыми для пользователей. Когда пользователь регистрируется в системе, файл Registry.pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_CURRENT_USER. Если компьютер входит в домен, падка User содержит подкаталог Scripts, где находятся все сценарии и связанные с ними файлы, и подкаталоги Logoff и Logon (для сценариев выхода из системы и регистрации в системе
Групповые политики запускаются в последовательности, соответствующей иерархии GPO: сначала объект групповой политики сайта, затем домена, затем GPO, связанные с подразделениями в соответствии с их вложенностью.
Порядок выполнения групповых политик можно изменить с помощью настроек, блокирующих определенные групповые политики или заставляющих их выполняться принудительно.
По умолчанию настройки групповой политики, применяемые к контейнеру определенного уровня, наследуются всеми контейнерами более низких уровней и находящимися внутри них пользователями и компьютерами.
Если с дочерней организационной единицей (контейнером) связан свой GPO, он может устанавливать для нее индивидуальные настройки групповых политик, отменяющие применение к ней наследуемых настроек.
Если некоторые настройки групповых политик родительского контейнера не заданы (not defined), то они не наследуются и дочерними контейнерами.
Если родительский контейнер обладает сконфигурированными настройками групповых политик, которые не заданы в GPO дочернего контейнера, то такие настройки наследуются.
Наследование настроек групповых политик родительского контейнера дочерним контейнером, с которым связан собственный объект групповой политики, может иметь место только в случае совместимости этих групповых политик. Например, если политика родительского контейнера задает определенную конфигурацию рабочего стола компьютера пользователя, а политика дочернего контейнера дополняет ее, пользователь увидит на своем рабочем столе все элементы, заданные обеими политиками.
Если же групповая политика родительского контейнера противоречит групповой политике дочернего контейнера, выполняются только настройки GPO, связанного с дочерним контейнером.
Подобное положение вещей может быть изменено. Если установить флажок Блокировать наследование политики (Block Policy inheritance), который находится на вкладке Групповая политика окна свойств некоторого контейнера, это запретит наследование каких-либо групповых политик, установленных для родительского контейнера.
Существует средство, позволяющее настроить принудительное применение групповой политики, настроенной для некоторого контейнера, всеми контейнерами более низкого уровня.
Для этого на вкладке Групповая политика окна свойств контейнера следует нажать кнопку Параметры (Options). В появившемся окне диалога Параметры имя_подразделения необходимо установить флажок Не перекрывать (No override).
В этом случае дочерние контейнеры будут наследовать (т. е. не смогут переопределить) все настройки родительского контейнера, даже в том случае, если для дочерних контейнеров установлен флажок Блокировать наследование политики.
По умолчанию групповая политика применяется синхронно, т. е. политики компьютера применяются до появления окна Вход в Windows (Log on to Windows), а политики пользователя до передачи операционной системой управления оболочке, интерактивно взаимодействующей с пользователем.
Подобный порядок можно изменить, однако делать это не рекомендуется, поскольку асинхронное применение групповых политик может привести к непредсказуемым и нежелательным результатам.
Применение групповых политик не ограничивается только, например, моментом загрузки операционной системы компьютера или регистрацией пользователя в системе. При работе компьютера в сети групповые политики могут измениться, поэтому они применяются периодически (по умолчанию каждые 90 минут).
Длительность периода применения политик можно изменять. Если задать его равным нулю, групповые политики применяются через каждые 7 секунд. Следует учитывать, что при уменьшении периода применения групповых политик значительно увеличивается нагрузка на систему. На контроллерах доменов период применения политик равен 5-ти минутам.
Настройки расширений Установка программ и Переназначение папки применяются только при загрузке операционной системы или регистрации пользователя в системе, поскольку периодическое применение этих групповых политик может вызвать нежелательные результаты.
Итак, для блокировки и настройки принудительного выполнения групповой политики следует запустить оснастку Active Directory пользователи и компьютеры, указать нужный контейнер, в окне свойств этого контейнера перейти на вкладку Групповая политик, нажать кнопку Параметры и в открывшемся окне установите флажок Не перекрывать (как было показано выше).
Теперь настройки дочерних объектов групповой политики не смогут изменять действие (переопределять) настроек данного объекта.
Если в окне свойств контейнера установите флажок Блокировать наследование политики, что запретит распространение групповой политики более высокого уровня на текущий контейнер и контейнеры нижних уровней.
Как происходит применение групповых политик на клиентской стороне?
Периодичность применения групповых политик на клиентской стороне во многом определяется пропускной способностью канала, по которому клиент обменивается информацией с серверами сети. При работе по медленному каналу администратор может увеличить период применения групповых политик.
Если система обнаружила, что клиент присоединен по низкоскоростной линии, устанавливаются соответствующие флаги, влияющие на применение групповых политик.
По умолчанию при наличии медленного канала загружаются только настройки узлов Административные шаблоны и Параметры безопасности.
Однако с помощью специальных настроек можно регулировать работу расширений оснастки Групповая политика на клиентской стороне. Среди таких настроек отметим следующие политики:
- Обнаружение медленных подключений для групповой политики (Group Policy slow link detection).
Данная политика позволяет указать пороговую скорость подключения: если реальная скорость передачи обновлений групповых политик на компьютер будет ниже заданного порога, система считает это подключение "медленным".
- Запретить фоновое обновление групповой политики (Disable background refresh of Group Policy).
Как уже говорилось, все групповые политики компьютера применяются при загрузке операционной системы, а политики пользователя при его регистрации в системе. Периодическое фоновое применение групповых политик происходит, каждые 90 минут. В условиях работы по медленному каналу удобнее отключить фоновое применение групповых политик для сохранения определенного уровня производительности системы.
- Интервал обновления групповой политики для компьютеров (Group Policy refresh interval for computers).
Можно изменить заданную по умолчанию частоту обновлений в фоновом режиме. Помимо фонового обновления, политика для компьютера всегда применяется при запуске системы. Существует аналогичная политика для пользователей
Для настройки всех перечисленных выше и других параметров следует в оснастке Групповая политика, если требуется настроить параметр для группы компьютеров, то открыть узел Конфигурация компьютера. Если требуется настроить параметр для группы пользователей, открыть узел Конфигурация пользователя. Затем открыть узел Административные шаблоны|Система|Групповая политика.
Дважды щелкнув по нужной политике, можно установить необходимый параметр
Теперь рассмотрим особенности настройки групповых политик на автономном компьютере. В операционной системе Windows 2000 реализована новая концепция управления политиками безопасности компьютера.
Каждый компьютер обладает своим собственным локальным объектом групповой политики (Local Group Policy Object, LGPO), который можно редактировать.
Если компьютер Windows 2000 не присоединен к домену, то на нем активна только локальная групповая политика. После присоединения к домену групповые политики применяются в соответствии с их иерархией. Следует обратить внимание, что локальная групповая политика применяется даже при включенной блокировке наследования политики от контейнеров более высокого уровня.
Для редактирования локального объекта групповой политики загрузите его в оснастку Групповая политика (при присоединении оснастки в поле ввода Объект групповой политики нужно указать опцию Локальный компьютер). Ниже на примерах показано, как редактировать параметры локальных политик [2].