3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf228 |
Инфраструктура групповой политики |
Глава 6 |
•Поддержка среды Active Directory.
•Мониторинг Active Directory.
Прежде всего
Для выполнения упражнений в этой главе в домене contoso.com должен быть создан контроллер домена SERVER01. Инструкции относительно того, как это делается, содержатся в главе 1.
История из жизни
Дэн Холме
Многие мои клиенты стараются повысить безопасность, снизить затраты и повысить эффективность работы пользователей. Всех этих целей достичь проще, если управлять изменениями и конфигурацией в организации. При возникновении проблем безопасности необходимо быстро реагировать, и когда в отдел технической поддержки от пользователей поступает множество просьб отконфигурировать системы, изменения лучше развертывать централизованно, заранее обеспечивая эффективную работу для пользователей. Кроме того, нужно быстро развертывать новое программное обеспечение. Мы привели лишь несколько примеров, связанных с управлением на различных предприятиях. Групповая политика представляет собой уникальную технологию, обеспечивающую значительные преимущества. Довольно часто администраторы неправильно применяют параметры групповой политики. Подготовившись к сертификационному экзамену, вы получите очень ценные навыки использования групповой политики, которые сможете применять на предприятии.
Занятие 1. Реализация групповой политики
Инфраструктура групповой политики содержит много перемещаемых компонентов, и чтобы обеспечить безопасность, нужно знать принципы их работы. На этом занятии мы обсудим компоненты, функции и принципы внутренней работы групповой политики.
Изучив материал этого занятия, вы сможете:
/Идентифицировать компоненты групповой политики. У Описывать основы обработки групповой политики.
/Создавать, редактировать и привязывать объекты групповой политики. ^ Создавать центральное хранилище для административных шаблонов.
/Выполнять поиск конкретных параметров в объекте групповой политики. ^ Создавать объект GPO из начального объекта групповой политики.
Продолжительность занятия — около 90 мин.
Занятие 1 |
Реализация групповой политики |
2 2 9 |
Обзор групповой политики
Групповая политика представляет собой компонент Windows, который позволяет управлять и з м е н е н и я м и и конфигурацией пользователей и компьютеров в центральной точке администрирования . Напомним, что групповая политика конфигурирует параметры одного или нескольких пользователей, одного или нескольких компьютеров. Существуют тысячи параметров конфигурации, которыми можно у п р а в л я т ь с помощью групповой политики, используя одну инфраструктуру с одним набором инструментов.
Параметры политики
Групповая политика основана на отдельных параметрах политики (они также называются политиками) и определяют конкретную конфигурацию для применения. Например, существует параметр политики, запрещающий пользователю получать доступ к средствам редактирования реестра. Если определить этот параметр политики и применить его к пользователю, то пользователь не запустит такие инструменты, как редактор реестра Regedit.exe. Еще один параметр политики, п о з в о л я ю щ и й отключить локальную учетную запись Администратор (Administrator), применяется, к примеру, д л я отключения учетной записи администратора на всех настольных системах и ноутбуках пользователей.
Эти два п р и м е р а определяют важный момент: некоторые параметры по- л и т и к и в л и я ю т на пользователя независимо от компьютера, на котором пользователь входит в сеть, а другие параметры политики влияют на компьютер
независимо |
от п о л ь з о в а т е л я , который входит на этот компьютер. Такие па- |
|
раметры п о л и т и к и , |
как параметр, запрещающий доступ к средствам редак- |
|
т и р о в а н и я |
реестра, |
н а з ы в а ю т с я параметрами конфигурации пользователей, |
или параметрами пользователей. Параметр политики, отключающий учетную запись администратора, а также другие аналогичные параметры, применяемые к компьютеру, н а з ы в а ю т с я параметрами конфигурации компьютеров, или па-
раметрами компьютеров.
Объекты групповой политики
Параметры п о л и т и к и определяются и содержатся в объекте групповой политики G P O ( G r o u p Policy Object) . Объект G P O включает один или множество параметров п о л и т и к и и, следовательно, применяется к одному или множеству конфигураций пользователя и л и компьютера.
Создание и управление объектами групповой политики
Объекты G P O м о ж н о создавать в Active Directory с помощью консоли Управление групповой политикой (Group Policy Management, G P M C ) , показанной на рис. 6-1. Они отображаются в контейнере Объекты групповой политики (Group Policy Objects). Ч т о б ы создать новый объект групповой политики, щелкните правой кнопкой м ы ш и контейнер Объекты групповой политики и выполните команду Создать (New) .
L Занятие 1 |
Реализация групповой политики |
2 3 1 |
||
| |
|
|
|
|
ми к о м п ь ю т е р а и |
п а р а м е т р а м и п о л ь з о в а т е л я , — |
соответственно |
узлы |
Конфи - |
гурация к о м п ь ю т е р а ( C o m p u t e r C o n f i g u r a t i o n ) и |
К о н ф и г у р а ц и я |
пользователя |
||
(User Configuration) . С л е д у ю щ и е у р о в н и и е р а р х и и т а к ж е представлены двумя
узлами: |
П о л и т и к и (Policies) |
и Н а с т р о й к а (Preferences) . Д а л е е мы рассмотрим |
|||||
разницу |
м е ж д у н и м и . Все о с т а л ь н ы е у р о в н и и е р а р х и и аналогично представ- |
||||||
лены |
у з л а м и и л и |
г р у п п а м и |
п а р а м е т р о в |
п о л и т и к и . В н у т р и |
этих узлов |
разме- |
|
щены |
п а р а м е т р ы |
п о л и т и к и . |
Н а рис . 6 - 2 |
в ы б р а н а п о л и т и к а |
Запретить |
доступ |
|
к средствам р е д а к т и р о в а н и я р е е с т р а ( P r e v e n t Access То Registry Editing Tools).
Чтобы о п р е д е л и т ь политику, д в а ж д ы щ |
е л к н и т е |
параметр политики . Откроется |
диалоговое о к н о С в о й с т в а ( P r o p e r t i e s ) |
п а р а м е |
т р а п о л и т и к и (рис. 6-3). |
Рис. 6-3. Диалоговое окно свойств параметра политики
Настройка параметра политики
Параметр п о л и т и к и м о ж е т п р е б ы в а т ь в |
т р е х с о с т о я н и я х : Не задан |
(Not Con- |
||||
figured), В к л ю ч е н |
( E n a b l e d ) и О т к л ю ч е н |
(Disabled) . Как показано на рис. 6-2, |
||||
в новом объекте G P O |
п а р а м е т р ы п о л и т и к и не заданы . Это означает, что объект |
|||||
G P O н е м о д и ф и ц и р у е т |
с у щ е с т в у ю щ у ю |
к о н ф и г у р а ц и ю данного конкретного |
||||
параметра п о л ь з о в а т е л я |
и л и к о м п ь ю т е р а . Е с л и в к л ю ч и т ь или отключить па- |
|||||
раметр п о л и т и к и , |
в к о н ф и г у р а ц и ю п о л ь з о в а т е л е й |
и компьютеров, к которым |
||||
применяется G P O , |
м о ж е т б ы т ь внесено изменение . Результат такого изменения |
|||||
зависит от п а р а м е т р а |
п о л и т и к и . Н а п р и м е р , если в к л ю ч и т ь параметр полити- |
|||||
ки З а п р е т и т ь д о с т у п |
к с р е д с т в а м р е д а к т и р о в а н и я |
реестра ( P r e v e n t |
Access То |
|||
Registry E d i t i n g Tools), |
п о л ь з о в а т е л и не |
з а п у с т я т |
редактор реестра |
Regedit.exe |
||
(Registry Editor) . Е с л и о т к л ю ч и т ь этот п а р а м е т р политики, пользователи смо-
гут запускать Regedit.exe. Т а к и м |
образом, |
о т к л ю ч а я политику, которая запре- |
щает операцию, вы т е м с а м ы м |
р а з р е ш а е т е |
эту операцию . |
232 |
Инфраструктура групповой политики |
Глава 6 |
|
ПРИМЕЧАНИЕ |
Знание и тестирование параметров политики |
|
|
Многие параметры политики довольно сложные, а результат их включения пли отключения проявляется не сразу. Кроме того, некоторые параметры политики влияют только на определенные версии Windows. Поэтому внимательно читайте описание параметра политики на панели сведении GPME (см. рис. 6-2) или на вкладке Объяснение (Explain) диалогового окна свойств параметра политики (см. рис. 6-3). И, наконец, перед развертыванием политики в производственной среде всегда тестируйте результаты применения параметра политики и его взаимодействие с другими параметрами политики.
Некоторые параметры политики связывают несколько настроек конфи - гурации в одну политику и могут требовать дополнительные параметры. Например, чтобы определить, можно ли помещать файлы реестра в систему без предупреждения с помощью команды regedit/s, нужно в к л ю ч и т ь п о л и т и к у ограничения доступа к средствам редактирования реестра (см. рис. 6-3).
Область действия
Конфигурация определяется параметрами в объектах групповой политики . Однако изменения конфигурации в G P O не влияют на компьютеры или пользователей предприятия, если к ним не применяется объект G P O . Эта концепция называется областью действия объекта групповой политики. Область действия G P O представляет собой коллекцию пользователей и компьютеров, к которым применяются параметры GPO.
Для управления областью действия G P O используется несколько методов. Основной метод состоит в связывании GPO . Объекты G P O можно связать с сайтами, доменами и подразделениями в Active Directory. После этого сайт, доиен ИЛИ подразделение определяют пределы области действия G P O . Параметры политики, определенные в GPO, будут влиять на все компьютеры и пользователей внутри узла, домена или подразделения, включая дочерние подразделения. Один объект GPO можно привязать к множеству сайтов или подразделений.
Затем область действия GPO можно ограничить дополнительно с помощью фильтров безопасности, указывающих на глобальные группы безопасности, к которым должен применяться или не применяться объект G P O , или фильтров инструментария управления Windows (Windows Management Instrumentation), указывающих область действия с помощью таких характеристик системы, как номер версии или свободное дисковое пространство.
Область действия объектов GPO подробно описана на занятии 2.
Результирующая политика
Компьютеры и пользователи в области действия объекта G P O будут применять параметры политики, указанные в этом GPO . Отдельный пользователь или компьютер может подпадать под область действия множества объектов GPO, привязанных к сайтам, домену или подразделениями, где расположен пользователь или компьютер. Таким образом, в случае применения множества объектов GPO параметры политики могут конфигурироваться иначе. Поэтому нужно
Занятие 1 |
Реализация групповой политики |
2 3 3 |
оценить Результирующую политику RSoP (Resultant Set of Policy), определяющую параметры, которые будут применены к клиенту в случае использования множества объектов G P O . Результирующая политика RSoP рассматривается на занятии 3.
Обновление групповой политики
Параметры политики в узле Конфигурация компьютера (Computer Configuration) применяются при запуске системы, а также каждые 90-120 мин. Параметры политики Конфигурация пользователя (User Configuration) применяются во время входа пользователя и каждые 9 0 - 1 2 0 мин. Приложение политики называется обновлением групповой политики.
Обновление групповой политики вручную с помощью команды GPUpdate
Если во время экспериментирования или устранения неполадок групповой политики необходимо вручную инициировать ее обновление, чтобы не ждать следующего фонового обновления, выполняется команда Gpupdate.exe, посредством которой запускается обработка групповой политики, аналогичная фоновому обновлению. Обновляются оба набора политик компьютера и пользователя. С помощью параметров /targeticomputer и /target:user обновление компьютера можно ограничить соответственно параметрами компьютера и пользователя. В фоновом обновлении параметры применяются только в том случае, если использовался объект групповой политики (GPO). Переключатель /force дает указание системе заново применить все параметры во всех объектах GPO, под область действия которых подпадает пользователь или компьютер. Чтобы некоторые параметры политики вступили в силу, необходимо выйти из системы или перезагрузиться. Переключатели /logoff и /boot команды Gpupdate.exe указывают соответственно выход или перезагрузку. В Windows 2000 для обновления политики использовалась команда Secedit.exe, так что на сертификационном экзамене вы можете встретить упоминания о ней.
Клиент групповой политики и расширения клиентской стороны
Каким образом применяются параметры политики? В начале процесса обновления групповой п о л и т и к и служба, запущенная во всех системах Windows (в Windows Vista и Windows Server 2008 она называется клиентом групповой политики), определяет объекты G P O , применяемые к компьютеру или пользователю. Она загружает все объекты GPO, которые еще не кэшированы. Затем набор процессов, которые называются расширениями клиентской стороны CSE (Client-Side Extension), интерпретирует параметры в G P O и вносит соответствующие изменения в конфигурацию локального компьютера или текущего вошедшего пользователя. Расширения CSE существуют для всех основных категорий параметров политики. Например, одно расширение CSE применяет изменения безопасности, другое выполняет сценарии запуска и входа в систему, третье вносит изменения в ключи и значения реестра. Каждая версия Windows добавляет расширения CSE для наращивания функциональности групповой политики. Несколько десятков расширений CSE имеются и в Windows Server 2008. Одна из самых важных концепций групповой политики заключается
234 |
Инфраструктура групповой политики |
Глава 6 |
в том, что она реально управляет клиентом. Клиент групповой политики извлекает объекты GPO из домена, включая расширения C S E для локального применения параметров.
Поведение клиентских расширений CSE можно отконфигурировать с помощью тон же групповой политики. Большинство р а с ш и р е н и й C S E будут применять параметры в объекте GPO только в случае изменения G P O . Такое поведение повышает общую скорость обработки политики, исключая ненужное применение одних и тех же параметров. Большинство политик применяется таким образом, чтобы стандартные пользователи не смогли изменить параметр в своей системе, то есть этот параметр всегда будет субъектом конфигурации групповой политики. Однако стандартные пользователи, особенно администраторы в своих системах, могут изменить некоторые параметры. Если пользователи в производственной среде являются администраторами своих компьютеров, клиентские расширения CSE можно отконфигурировать для повторного применения параметров политики, даже если объект G P O не был изменен. Таким образом, если административный пользователь меняет конфигурацию в обход политики, конфигурация будет сброшена в соответствующее состояние при следующем обновлении групповой политики.
ПРИМЕЧАНИЕ Настройка расширений CSE для повторного применения параметров групповой политики, которые не изменялись в GPO
Расширения CSE можно отконфигурировать для повторного применения параметров политики в фоновом режиме, даже если объект GPO не был изменен. Для этого необходимо отконфигурировать объект GPO, под область действия которого подпадают компьютеры, и определить параметры в узле Конфигурация компыотера\ Политнкн\Административные шаблоны\Система\Групповая политика (Computer Configuration\Policies\Adininistrative Templates\System\Group Policy). Для каждого расширения следует открыть соответствующий параметр политики — например, Обработка политики реестра (Registry Policy Refreshing) для CSE-расширения Реестр (Registry), выбрать опцию Включен (Enabled) и установить флажок Обрабатывать, даже если объекты групповой политики не изменились (Process Even If The Group Policy Objects Have Not Changed).
Важным исключением параметров обработки политики по умолчанию являются параметры, управляемые CSE-расширением Безопасность (Security). Параметры безопасности применяются каждые 16 ч, даже если объект групповой политики не был изменен.
ПРИМЕЧАНИЕ |
Параметр политики Всегда ждать сеть при запуске и входе в систему |
Строго рекомендуется включить параметр Всегда ждать сеть при запуске и входе в систему (Always Wait For Network At Startup And Logon) для всех клиентов Windows XP и Windows Vista. Без этого параметра по умолчанию клиенты Windows ХР и Windows Vista выполняют только фоновые обновления, то есть клиент может загрузиться и пользователь может войти в домен, не получив из него последние политики. Этот параметр находится в узле Конфигурация компьютерах Полнтнки\Административные шаблоны\Система\Вход в систему (Computer Configuration\Policies\Administrative Templates\System\Logon). Обязательно прочитайте описание этого параметра политики.
Занятие 1 |
Реализация групповой политики |
235 |
Медленные подключения и о т к л ю ч е н н ы е системы
Одна из задач, которую можно автоматизировать и контролировать с помощью групповой политики, — установка программного обеспечения. Клиентское расширение CSE для нее поддерживает установку программного обеспечения групповой политики G P S I (Group Policy Software Installation). Объект GPO можно отконфигурировать д л я установки одного или нескольких пакетов программного обеспечения. Однако представим, что пользователь подключился к сети через медленное соединение; передача больших программных пакетов в таком случае может снизить общую производительность.
Клиент групповой политики решает эту проблему, идентифицируя скорость подключения к домену и определяя, следует ли интерпретировать это подключение как медленное. Затем это определение используется каждым клиентским р а с ш и р е н и е м CSE, когда принимается решение о применении параметров. Например, CSE-расширение Установка программ (Software Installation) отконфигурировано для обработки политики отказа, чтобы программное обеспечение не устанавливалось в случае медленного подключения (по умолчанию подключение считается медленным, если его скорость составляет менее 500 кбит/с) .
Если пользователь отключился от сети, параметры, ранее примененные групповой политикой, будут действовать и далее, так что в этом отношении для пользователя нет разницы, в сети он или вне нее. Существуют исключения из этого правила — в частности, сценарии запуска, входа, выхода и завершения работы не будут запускаться в случае отключения пользователя.
Если удаленный пользователь подключается к сети в системе Windows Vista или Windows Server 2008, клиент групповой политики ожидает и определяет, было ли пропущено обновление групповой политики. Если это так, пропущенное обновление групповой политики выполняется для получения последних объектов G P O из домена. На основе своих параметров обработки политики клиентские расширения CSE определяют применение параметров в этих объектах G P O .
Объекты групповой политики
Далее мы более детально обсудим все компоненты групповой политики. В этом подразделе рассмотрим объекты G P O . Они создаются для управления конфигурацией компьютеров и пользователей и содержат необходимые параметры политики. В локальной системе каждого компьютера хранится несколько объектов G P O — так называемые локальные объекты групповой политики. Кроме того, компьютер может подпадать под область действия любого количества объектов G P O домена.
Локальные объекты групповой политики
Каждый компьютер Windows 2000, Windows ХР и Microsoft Windows Server 2003 содержит по одному локальному объекту G P O , который управляет конфигурацией системы. Локальный объект G P O существует независимо от членства компьютера в домене, рабочей группе или вне сетевой среды. Он хранится в папке %SystemRoot%\System32\GroupPolicy. Политики в локальном объекте
236 |
Инфраструктура групповой политики |
Глава 6 |
GPO влияют только на компьютер, где хранится G P O . По умолчанию в локальном объекте GPO системы отконфигурированы только п о л и т и к и Параметры безопасности (Security Settings). Все остальные п о л и т и к и не заданы (Not Configured).
Если компьютер не принадлежит домену, локальная политика используется для настройки и внедрения конфигурации данного компьютера. Однако в домене Active Directory параметры объектов GPO, привязанные к сайту, домену или подразделениям, заменяют параметры локального объекта G P O . Кроме того, ими проще управлять, чем объектами G P O на отдельных компьютерах.
Системы Windows Vista и Windows Server 2008 содержат множество локальных объектов GPO. Объект GPO Локальный компьютер (Local Computer) не отличается от объекта GPO в предыдущих версиях Windows. В узле Конфигурация компьютера (Computer Configuration) отконфигурируйте все параметры, в узле Конфигурация пользователя (User Configuration) — параметры, которые хотите применить для всех пользователей компьютера. Параметры пользователей в объекте GPO локального компьютера м о д и ф и ц и р у ю т с я с помощью пользовательских параметров в двух новых локальных объектах GP0: Администраторы (Administrators) и Не администраторы (Non-Administrators). Эти два объекта GPO применяют пользовательские параметры к вошедшему в систему пользователю, который является членом локальной группы администраторов или стандартным пользователем. Параметры пользователя корректируются с помощью локального объекта GPO, применяемого к конкретной учетной записи пользователя. Локальные объекты G P O пользователей связайы с локальными (не доменными) учетными записями пользователей. J
Для параметров компьютера легко определить результирующую политику RSop, поскольку объект GPO Локальный компьютер (Local Computer) — единственный локальный объект GPO, применяющий параметры компьютера. Параметры пользователя и GPO пользователей заменят конфликтующие параметры в объектах GPO для администраторов и не администраторов, которые сами заменяют параметры в GPO локального компьютера. К о н ц е п ц и я довольно простая: чем специфичнее локальный объект GPO, тем выше приоритет его параметров.
Для того чтобы создать и отредактировать локальный объект G P O , щелкните кнопку Пуск (Start) и в поле Начать поиск (Start Search) введите ттс.ехе, чтобы открыть пустую консоль М М С (Microsoft Management Console). Щелкните меню Консоль (File) и выполните команду Добавить или удалить оснастку (Add/Remove Snap-in). Выберите Редактор объектов групповой политики (Group Policy Object Editor) и щелкните кнопку Добавить (Add) . Откроется диалоговое окно, в котором по умолчанию выбран G P O Л о к а л ь н ы й компьютер (Local Computer). Чтобы отредактировать еще один л о к а л ь н ы й объект GPO, щелкните кнопку Обзор (Browse). На вкладке Пользователи (Users) расположены объекты GPO Администраторы (Administrators) и Не администраторы (Non-Administrators), а также по одному G P O для каждого локального пользователя. Выберите объект GPO и щелкните ОК . Далее щелкните кнопку Готово (Finish), а затем ОК, чтобы закрыть все диалоговые окна. Добавлений" редактор объектов групповой политики будет сфокусирован на выбранной объекте GPO. •
Занятие 1 |
Реализация групповой политики |
2 3 7 |
Помните, что л о к а л ь н ы е объекты G P O можно конфигурировать на домашнем компьютере, поскольку они не предназначены для доменных сред. В доменной среде параметры объектов G P O домена заменяют конфликтующие параметры в л о к а л ь н ы х объектах G P O , поэтому управление конфигурацией в домене лучше всего осуществлять с помощью доменных объектов GPO .
Доменные объекты GPO
Доменные объекты G P O , предназначенные для централизованного управления конфигурацией пользователей и компьютеров в домене, создаются в Active Directory и х р а н я т с я на контроллерах домена. В оставшейся части данного руководства мы будем обсуждать преимущественно доменные объекты групповой политики ( G P O ) , а не локальные G P O .
При установке AD DS создаются два объекта G P O по умолчанию.
•Default Domain Policy Этот объект G P O привязывается к домену и не
располагает группой безопасности1 или фильтрами W M I . Поэтому он влияет на всех пользователей и компьютеры в домене (включая компьютеры, я в л я ю щ и е с я к о н т р о л л е р а м и домена). Содержит параметры, назначающие политики паролей, блокировки учетных записей и Kerberos. Существующие
параметры |
м о д и ф и ц и р у ю т с я |
и приводятся в соответствие с политиками |
б л о к и р о в к и |
у ч е т н ы х записей |
и паролей на предприятии, однако несвя- |
занные параметры политики, как правило, не добавляются. Чтобы отконфигурировать и п р и м е н я т ь на уровне домена другие параметры, следует создавать д о п о л н и т е л ь н ы е объекты G P O и привязывать их к домену.
• Default Domain Controllers Policy Данный объект G P O привязан к подразделению Domain Controllers. Поскольку учетные записи контроллеров доменов х р а н я т с я только в подразделении Domain Controllers, а учетные записи других компьютеров д о л ж н ы храниться в других подразделениях, этот объект G P O влияет только на контроллеры домена. Объект групповой политики Default Domain Controllers следует модифицировать, чтобы реализовать политики аудита (об этом речь идет в главах 7 и 8) и предоставить
•необходимые на контроллерах домена пользовательские права.
Создание, связывание и редактирование объектов GPO
Для того чтобы создать объект G P O , щелкните правой кнопкой мыши контейнер Объекты групповой политики (Group Policy Objects) и выполните команду Создать (New). Д л я создания G P O в контейнере Объекты групповой политики нужны соответствующие разрешения .
По умолчанию разрешение на создание объектов G P O делегируется группам Администраторы домена (Domain Admins) и Владельцы — создатели групповой политики ( G r o u p Policy Creator Owners). Чтобы делегировать разрешение другим группам, в дереве консоли редактора управления групповыми политиками G P M E выберите контейнер Объекты групповой политики (Group Policy Objects) и на панели сведений консоли перейдите на вкладку Делегирование (Delegation).
После создания G P O укажите начальную область действия, привязав его к сайту, домену и л и подразделению . Щ е л к н и т е контейнер правой кнопкой