Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Политика безопасности домена

Групповые политики Active Drirectory

Групповые политики Windows являются неотъемлемой частью администрирования Windows-систем. Рассмотрим примеры работы с этим инструментом на VDS под управлением ОС семейства Windows Server.

Для чего необходимы групповые политики

Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.

Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.

Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.

Компоненты GPO

Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.

Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.

Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.

Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Оснастка управления групповыми политиками

Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:

И нажимаем “OK”.

Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.

1. Открываем диспетчер серверов и выбираем установку ролей и компонентов.

2. На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.

3. Так как установка выполняется для текущего сервера — нажимаем “Далее”.

4. Установку серверных ролей пропускаем нажатием на кнопку “Далее”.

5. На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.

Завершаем установку компонентов как обычно.

Окно оснастки управления групповой политикой выглядит так:

Создание объектов групповой политики

Добавим новый объект групповой политики. В левой части, проследуем по пути: Лес → Домены → → Объекты групповой политики.

В правой части окна, кликаем правой кнопкой мыши в свободном месте. В открывшемся контекстном меню, выбираем “Создать”.

В открывшемся окне, вводим имя новой политики. Нажимаем “OK”.

Добавленный объект появится в общем списке:

Настроим созданный объект

Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.

Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.

В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.

Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.

В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.

Создание объектов можно считать оконченным.

Поиск объектов

В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти…”

В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.

Попробуем найти созданный ранее объект.

В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.

Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.

Удаление объекта групповой политики

Если в объекте GPO пропадает необходимость, будет лучше его удалить. Кликаем по созданному объекту правой кнопкой мыши, в контекстном меню выбираем “Удалить”. Если уверены в своем решении, на вопрос подтверждения отвечаем “Да”.

Безопасность компьютерных сетей. Настройка контроллера домена и управление безопасностью домена. Групповая политика безопасности домена

Доброго времени суток уважаемые читатели моего блога по информационной безопасности. В прошлых статьях я рассказывал, как поднять в сети организации домен на основе службы каталогов MS Active Directory и как управлять службой каталогов, создавать организационные юниты и пользователей, подключать компьютеры в домен. Сегодня я хочу рассказать о том, как управлять политиками безопасности домена и службы каталогов.

Для управления безопасностью домена и службой каталогов, прежде всего вам необходимо обладать правами администратора домена. Поэтому прежде чем притупить к настройкам создайте для себя учетную запись, если вы еще этого не сделали, и включите ее в группу администраторы домена. Я не рекомендую вам пользоваться учетной записью «Администратор», т.к. она обезличена, и если в вашей сети есть несколько сотрудников, которые отвечают за настройку и безопасность сети желательно для каждого из них создать в домене учетные записи и назначить по возможности разные права в зависимости от выполняемых функций. После того как вы причислили свою учетную запись к администраторам домена, желательно на учетную запись «Администратор» сменить пароль, запечатать его в конверт и отдать руководителю на сохранение. Для добавления или удаления пользователя в любую группу, в том числе и группу «Администраторы домена» необходимо через оснастку «Active Directory — Пользователи и компьютеры», найти нужного пользователя и открыть его свойства. В свойствах есть закладка «Член групп», в которой перечислены группы, в которых состоит пользователь.

Для добавления пользователя в группу нажмите кнопку «Добавить…», введите имя группы и нажмите кнопку «Проверить имена». Если вы не помните точное имя группы, то можете ввести хотя бы первые символы в названии группы. В результате будет предложено выбрать одну из нескольких найденных групп соответствующих начальным буквам введенного запроса или если будет найдено точное соответствие, то имя группы в строке запроса будет подчеркнута.

После добавления группы пользователю нажмите «Ок»

Добавлять пользователей в группу безопасности можно и по-другому. Найдите в каталоге домена нужную группу, и в ее свойствах откройте вкладку «Члены группы» и нажмите кнопку «Добавить…». Аналогичным образом введите начальные символы в строке запроса, за исключением того что вам нужно вводить уже не имя группы, а сетевое имя пользователя, например p_petrov. Кстати группа «Администраторы домена» по умолчанию входит в группу «Администраторы», и следовательно пользователям данной группы по умолчанию будут представлены все права доступа и управления. Отличие этих групп состоит в том, что группа безопасности «Администраторы» является локальной по отношению к данному домену, в отличии от группы безопасности «Администраторы домена» которая является глобальной, если у вас в сети несколько доменов объеденных в лес. После того как вы добавили себя в группу «Администраторы домена» зайдите на контроллер домена под своей учетной записью для дальнейшего управления службой каталогов.

По умолчанию в новом созданном домене есть уже одна политика безопасности которая применяется ко всему домену. Открыть для редактирования ее можно путем открытия свойств домена и перехода на вкладку «Групповая политика».

Данная политика имеет имя «Default Domain Policy» и распространяет свое действие на весь домен, все его объекты, пользователей, компьютеры, серверы. Обычно в данной групповой политике безопасности определяют такие параметры как аудит событий безопасности, политику паролей, общие права доступа пользователей и другие политики безопасности. Частные политики и настройки касающиеся отдельных процессов и задач решаемых пользователями создаются отдельными групповыми политиками и применяются для отдельных организационных юнитов и даже для отдельных групп пользователей, но об этом по порядку.

Читать еще:  Настройка доменных политик

Для редактирования данной политики нажмите на данной вкладке кнопку «Изменить». При этом откроется оснастка редактора объекта групповой политики.

Любая групповая политика имеет два раздела — «Конфигурация компьютера» и «Конфигурация пользователя». Отличаются они, кроме составом параметров, еще и тем что политики «Настройка компьютера» применяется к настройкам связанным с настройкой операционной системы и применяется при загрузке операционной системы на компьютере добавленному в домен, еще до момента ввода пользователем пароля и логина. Групповая политика пользователя применяется к настройкам пользователя после прохождения им аутентификации в сети. Таким образом для разных пользователей, даже работающих на одном компьютере могут быть централизовано настроены разные политики. При создании частных политик безопасности для отдельных организационных юнитов в групповой политике компьютера можно, например, определить к каким папкам на компьютере будут иметь доступ пользователи, к какому центру обновлений операционной системы будет подключен данный компьютер, какие программы должны стоять на данном компьютере, и т.п. В групповой политике пользователя обычно настраивают параметры обозревателя Internet Explorer, параметры рабочего стола, разграничивать доступ пользователей к различным ресурсам операционной системы и т.п. Также с помощью групповой политики можно удаленно запускать на компьютере пользователя в момент загрузки операционной системы и аутентификации пользователей различные Java и VB скрипты. Обо всех данных настройках я буду рассказывать в своих последующих статьях, а сейчас давайте рассмотрим поподробней что можно сделать с групповой политикой домена «Default Domain Policy».

Итак, любая политика как я уже говорил, состоит из «Конфигурации компьютера» и «Конфигурации пользователя», которые в свою очередь делятся на три группы — Конфигурация программ, Конфигурация Windows и Административные шаблоны. Конфигурация программ позволяет устанавливать на компьютеры пользователей типовые программы. Данную настройку можно произвести и в данной политике домена, например, настроить установку программного обеспечения которое должно стоять на всех компьютерах пользователей включенных в домен (например, антивирус) но желательно такие настройки все-таки применять к отдельным организационным юнитам, т.к. в домен входят еще и сервера или сторонние компьютеры на которые установка должна проводится выборочно и вручную. Об установке программ на компьютеры пользователей с использованием групповой политики я расскажу в отдельной своей статье. Административные шаблоны в настройках компьютера и пользователя обычно влияют на определенные ветки реестра, влияющие на настройки операционной системы, и применять их на уровне домена также нецелесообразно по той же причине что и установка программ. Оставшаяся политика «Конфигурация Windows» содержит такие настройки как «Параметры безопасности», которые как раз стоит определить на уровне домена. На это есть ряд причин одними из которых является то что некоторые параметры безопасности применяются только на уровне домена (например политика паролей), и то что политика безопасности должна быть одной для всех.

В данных параметрах безопасности, прежде всего, стоит определить политику паролей, блокировки учетных записей, назначение прав пользователя и параметры безопасности.

При двойном щелчке на любом из параметров безопасности открываются его настройки. На вкладке «Описание данного параметра» выводится подробное описание, для чего он служит и на что влияет его включение и отключение.

В таких параметрах безопасности как «Назначение прав пользователя» можно установить права доступа пользователям на определенные виды выполнения задач.

В «Параметрах безопасности» можно настроит общие параметры безопасности компьютера, например, переименовать и отключить системные учетные записи.

Кстати установленные параметры в групповой политике уровня домена можно перекрыть (переопределить) другой политикой, которая применяется к определенному организационному юниту. Например, политику паролей, определенную к домену и соответственно к контроллеру домена, на котором аутентифицируются пользователи, можно переопределить для локальных учетных записей персональных компьютеров пользователей, применив ее к организационному юниту в котором находятся объекты службы каталогов «Компьютеры»

Для того чтобы создать политику необходимо также открыть свойства домена или организационного юнита и перейти на вкладку «Групповая политика». В открывшемся окне можно создать новую, нажав соответствующую кнопку, или выбрать уже существующую, нажав кнопку «Добавить…» и выбрать уже созданную политику в другом организационном юните.

При создании политики, система предложит ввести ее имя. Имена желательно вводить понятными и осмысленными, дабы потом не запутаться в них.

После создания политики можно перейти к ее редактированию путем двойного нажатия кнопкой мышки по ней или нажав кнопку изменить. При этом откроется оснастка редактора только что созданной групповой политики. Стоит отметить, если вы создаете групповую политику для организационного юнита в котором находятся только учетные записи пользователей, то и политику следует настраивать в части «Конфигурация пользователей», и наоборот по отношению к компьютерам.

В заключение сегодняшней статьи хочется сказать о безопасности самой групповой политики безопасности. Открыв свойства групповой политики безопасности, кроме просмотра ее параметров можно изменить параметры безопасности. Основным параметром безопасности, а именно разграничением доступа является, конечно «Чтение» политики и ее применение «Применение групповой политики». По умолчанию политика читается и применяется соответственно всеми кто прошел проверку в домене, т.е. компьютеры, сервера и пользователи, зарегистрированные в домене — встроенный участник безопасности «Прошедшие проверку» в которую входят все объекты службы каталогов.

Это разграничение доступа можно изменить, а именно применение групповой политики безопасности можно ограничить группой компьютеров или группой пользователей. Редактирование политики (запись) по умолчанию разрешено только администраторам. Это правило тоже можно изменить, назначить какого-то отдельно выделенного сотрудника и предоставить ему доступ на запись групповой политики.

На сегодня это все о чем я хотел рассказать. В следующих статьях я постараюсь более подробно останавливаться и рассказывать, на что влияют те или иные параметры групповой политики безопасности.

Windows Server 2012 R2 групповая политика

Здравствуйте, данная статья расскажет вам о групповой политике Windows Server 2012. Group Police — это мощный инструмент который позволяет управлять пользователями, системой, различными настройками централизованно.

Управление и настройки Group Police происходит через Active Directory а именно настройками для пользователей и ПК которые входят в домен.

Развитие групповых политик производится в рамках домена и здесь же же реплицируются, в основном они нужны для настройки конфигурации нескольких компьютеров в том числе, здесь расположено и настройки безопасности, установка программного обеспечения, различные сценарии, переадресации папок и предпочтения!

Настройки которые создаются в групповой политики расположены в объектах групповых политик.

Существуют два типа ГП а именно: локальный и не локальный.

Не локальные объекты ГП находятся на контроллере домена и иметь к ним доступ возможно только в среде AD, они могут быть использованы только к пользователям и компьютерам в web-сайте, доменах или подразделениях.

Локальные объекты ГП хранятся на локальном ПК и причем на компьютере будет существовать только 1 локальный объект ГП и он будет содержать набор различных параметров доступных вне локальном объекте.

В случае конфликта локального объекта будут перезаписаны в не локальный, или параметры будут применены совместно.
Каждый объект ГП состоит из контейнера GP и шаблона GP.

В системе присутствует два объекта Group Police по умолчанию, это политика домена по дефолту и контроллера домена.

Default Domain Controller Police – эта политика создана в Server 2012 по умолчанию если выполнено условие развертывания сервер-доменных служб AD, и она содержит настройки которые применены только к контроллеру домена.

Default Domain Police (политика домена по дефолту) – создается так же при развертывании роли сервера-доменных служб AD и содержит настройки которые применены ко всем рабочим станциям и пользователям домена.

Можно создавать свои объекты но при создании нужно всегда осознавать целесообразность этих действий, каждый объект состоит из параметров в которых можно выделить две папки:

Computer Configuration – данная папка будет содержать настройки, которые будут применяться к ПК и неважно кто из пользователей заходят в систему.

User Configuration – папка содержит настройки, которые будут использованы для применения к пользователям Microsoft и не важно какую рабочую станцию они ,будут использовать.

Данные параметры будут иметь существенные полномочия, которые в последствии будут решать судьбу пользователей в целом.

В папках Computer Configuration и User Configuration наблюдаем две подпапки это папка Policies (параметр политики) – в которой расположена конфигурация политики однозначно применяющиеся к GP, а папка Preferences (параметры предпочтений) – содержит различные преимущества которые возможно использовать для редактирования почти каждых параметров реестра, файла, папки или любого элемента, с помощью данной папки можно настроить программы которые не зависят от ГП.

В процессе изменения настроек Group Police вы столкнетесь с различными вариантами, но в общем случае вам потребуется выбрать из трех вариантов, которые приводят к результатам показанных ниже:

Enabled — запись в реестр включения

Disabled – это противоположный алгоритм Enabled, который будет записан со значением выключения

Not Configured — это политика не будет записывать в реестр, соответственно она не оказывает какого-либо влияния

Важно знать когда применяются Group Police, если вы изменили параметр относящиеся к настройкам компьютера, то обновления вступят в силу при запуске, если применяем к пользователям то при следующем входе в систему.

Читать еще:  Альбомная страница в word

Разумеется не всегда удобно и выгодно ждать когда же компьютер будет перезагружен или пользователь заново войдет в систему, поэтому по дефолту изменение в конфигурации политики происходят каждые 90 минут, это время вы можете изменить. Если хотим запустим политику сразу, запускаем команду: gpupdate.

Если у вас имеются подразделения и в них будут присутствовать какие-то дочерние подразделения, то изначально в приоритете стоит сначала дочернее подразделение после подразделения и только после домен и т.д

Хочу отметить что этот инструмент очень сложный и очень большой, и вместо того что бы еще больше рассуждать о теории мы перейдем непосредственно к настройке

Настройка GPO Server 2012:

Для того что бы начать работу откройте «Панель управления»

Далее перейдите во вкладку «Администрирование»

В открывшимся окне щелкните по пункту «Управление ГП»

В объектах групповой политике вы увидите две политике по дефолту, именно их и будем редактировать. Для внесения изменений жмем ПКМ по «Default Domain Policy» и кликнем «Изменить»

Если мы развернем в конфигурации ПК папку Политики то увидим три подпапки это: конфигурация программ, конфигурация windows, административные шаблоны.

Одним из показательных примеров того как изменять политику касающегося пользователя является изменения касающихся с акаунтом. Переходим: «ПолитикиКонфигурация WindowsПараметры безопасностиПолитика учетных записей» и видим здесь три раздела для изменений, давайте пока что внесем изменения скажем в Политику паролей выставим значения как показано на рисунке ниже, все значения вы выставляете как посчитаете нужным:
Заходим в «Максимальный срок действия пароля» и убираем галочку с «Определить следующий параметр политики» после чего применяем изменения, данная функция необходима для того что бы у пользователя был постоянно один и тот же пароль

В свойствах «Минимальной длины пароля» вновь уберем переключатель и применим изменения

И наконец то самый интересный пункт «Пароль должен отвечать требованиям сложности» ставим «Отключено» и применяем изменения, после отключения данной политике пользователю не нужно будет вводит пароль который бы отвечал требованиям безопасности, но это еще не окончательные настройки, что бы полный алгоритм отключения сложных паролей читайте данную статью.

Но предупреждаю, как только вы внесете изменения в политику паролей Server 2012, безопасность вашей системы ухудшится, поэтому решайте сами!

Приведу еще один пример, допустим мы хотим запретить пользователю слушать любые аудио дорожки, за это будет отвечать служба «Windows Audio» которая находится в папке «Системные службы»

Но для начала откроем список локальных служб у пользователя, и сможем увидеть, что данная служба у него пока что запущена по умолчанию

Мы возвращаемся на контроллер домена и меняем параметр «Windows Audio» для этого кликаем по ней ПКМ и переходим в «Свойства»

Прежде всего включаем чекбокс «Определись следующий параметр политики» в режиме запуска ставим «Запрещен» далее «Применить»

Когда пользователь вновь войдет в систему то служба уже будет отключена и звук функционировать у него не будет.

На этом я заканчиваю рассказ о Group Police, возникающие вопросы по теме пишите в комментарии и не забываем подписываться на новости!

Политика безопасности домена

Администраторам ЛВС предприятия, особенно когда компьютеры входят в корпоративную доменную сеть, приходится сталкиваться с ситуацией, когда ПК некоторое время стоял без работы, отключенным от сети. Соответственно и пользователь работавший за этим компьютером уже работает за другой ПЭВМ или же уволен по разным причинам. Пылившийся в серверной компьютер находит своего нового владельца и его необходимо настроить, но групповые политики все еще действуют, поскольку они не исчезают после отключения от СПД. Проверить, какие политики действуют на ПК можно следующей командой, выполненной из командной строки:

В результате в корне диска “С” будет создан файл gpreport.html в котором удобно просмотреть все действующие политики.
Поскольку требуется привести комп в состояние близкое к первоначальному без переустановки операционной системы Windows, нужно воспользоваться полномочиями более высокими чем у рядового пользователя.

К примеру, очень неудобно вводить каждый раз пароль администратора для запуска той или иной программы (например деинсталлятора) или переименования ПК, а таких операций необходимо будет сделать много.
Для начала необходимо удостовериться в наличии доступа к учетной записи администратора ОС.
Если пароль не известен, то придется воспользоваться какой-либо утилитой сброса пароля. Такая например входит в состав всем известного HirensBootCD..
Будем считать, что пароль вы сбросили.
Сброс пароля администратора может потребоваться и в том случае, если действующая доменная политика накладывает ограничения на структуру пароля и нет возможности поставить пустой, но если пароль администратора известен, то выполнение команды приведенной ниже избавит Вас от необходимости сброса сторонними программами.
Прежде чем перейти к командам избавления от действий доменных групповых политик, следует сказать как они попадают в систему и почему действуют при отключении от сети.
Параметры групповых политик хранятся в специальном файле “registry.pol“. Он расположен, как правило, в каталоге “C:Windowssystem32GroupPolicy”. Политики действующие на компьютер в целом, вне зависимости от учетной записи пользователя, размещаются в подкаталоге “Machine”, а политики учетной записи в подкаталоге “User”.
Редактировать файл “registry.pol” вручную не стоит, для этого есть специальная оснастка, но она скорее всего будет недоступна по правилам той же GroupPolicy.
Как правило, политики задаются из домена при входе в систему, перезаписью файлов “MachineRegistry.pol” и “UserRegistry.pol”, которые операционная система импортирует в соответсвующий раздел реестра.
Эти ветки реестра могут быть недоступны для редактирования, даже если ваша учетная запись является локальным администратором на ПК.
Решение проблемы:

1 способ.
Нужно удалить файлы Registry.pol в каталоге GroupPolicy. Для этого запустите командную строку от учетной записи администратора и выполните следующую последовательность команд.

Последняя команда обновляет настройки политик (в данном случае будет выполнен сброс на состояние “по умолчанию”).
Первая строка может не выполнится, если в вашей ОС нет такого каталога.

2 способ.
На мой взгляд более универсальный. Опять же необходимо запустить CMD от имени админитратора и выполнить одну из приведенных ниже команд. Для Win 7 и выше:

Для Win XP:

Теперь необходимо выполнить перезагрузку ПК.
Все. Доменные политики прекратили свое действие.
Следует учесть, что если учетная запись администартора которую вы использовали была создана из домена, то и политики еще существования были не локальными, а доменными, и следовательна она станет отключенной и Вы ей не сможете воспользоваться, поэтому рекомендую создать дополнительную админскую учетку до использования командной строки с целью избавления от политик.

Можно конечно приведенные команды сложить в один пакетный файл, но это, надеюсь, Вы сможете сделать и без моей помощи.

PS: Не забудьте поделиться статьей кнопкой соцсети справа от записи.

Групповые политики в доменах AD

Александр Емельянов

Групповые политики в доменах AD

Администратору локальной сети надеяться на сознательность пользователей при работе в сети предприятия не приходится, поэтому работы по созданию эффективной и безопасной рабочей среды, как правило, дело непростое. На помощь в этом случае приходят групповые политики, использование которых как нельзя лучше подходит для выполнения административных задач.

Постараемся обобщить информацию по технологии разворачивания и применения групповых политик (ГП) в службе каталогов. В частности:

  • в чем выгода для администратора при использовании ГП;
  • сущность объектов ГП и их место в каталоге AD;
  • отличие ГП домена от локальных политик рабочих станций;
  • как создаются, назначаются и применяются ГП в домене;
  • наследование и приоритеты для ГП;
  • утилиты gpupdate, gpresult и RSoP;
  • другие утилиты для управления и диагностики неисправностей в применении ГП;
  • будущее ГП – что нового в плане групповых политик в Windows Vista.

Для чего нужны групповые политики в домене

В предыдущей статье [1] я говорил об управлении пользователями в среде Active Directory. Cлужба каталогов облегчает работу IT-подразделения по администрированию информационных ресурсов предприятия. Технологии Intellimirror и CCM (Change and Configuration Management – управление изменениями и конфигурациями) позволяют управлять рабочими местами, используя перемещаемые профили и перенаправление каталогов, автономные папки и распространение программ. Многие из этих задач легко выполняются при помощи групповых политик, обеспечивая при этом централизованное управление, а также гибкий механизм настройки и отладки. Групповые политики позволяют:

  • назначать сценарии запуска, входа и выхода;
  • распространять программное обеспечение в сети при помощи публикации или назначения;
  • однозначно определять набор настроек безопасности для удаленных машин;
  • определять политики паролей для пользователей домена;
  • конфигурировать параметры Internet Explorer (даже несмотря на всю его «дырявость», по разным источникам от 60 до 80% пользователей во всем мире используют для просмотра веб-страниц именно этот браузер);
  • настраивать перенаправление определенных папок из профиля пользователя;
  • накладывать ограничения на рабочий стол;
  • определять настройки таких категорий, как автономные папки, дисковые квоты и др., не исключением являются настройки самих групповых политик.

Все настройки администратор может сделать при помощи редактора системного реестра, но интуитивно понятный интерфейс редактора объектов групповой политики во многом упрощает эту задачу.

Читать еще:  Word 2020 альбомная ориентация

Структура объектов групповой политики и их место в службе каталогов

Объект групповой политики (GPO, Group Policy Object) состоит из двух частей: конфигурация компьютера (Computer Configuration) и конфигурация пользователя (User Configuration) (см. рис. 1). Он является контейнером для групп политик, применяемых соответственно к машинам и пользователям сети.

Рисунок 1. Редактор групповых политик gpedit.msc

В «Конфигурации компьютера» администратор может настроить параметры безопасности, политики паролей пользователей, параметры аудита, использование групп с ограниченным доступом (Restricted Groups), параметры реестра и так далее.

В разделе «Конфигурация пользователя» настраиваются параметры рабочего окружения пользователя (настройки рабочего стола, вид и ограничения для панели задач и меню «Пуск»), перенаправление папок, а также параметры Internet Explorer. Каждый объект GPO создается с помощью редактора групповых политик (Group Policy Object Editor). Запустить его можно из вкладки Group Policy свойств контейнера.

Как уже говорилось, GPO содержит в себе два узла, в которых определяются специфичные для компьютеров и пользователей настройки. Однако бывает, что существуют идентичные настройки для компьютеров и пользователей. Как система «разруливает» их применение, будет рассказано далее.

Каждая политика в объекте GPO может быть сконфигурирована и нет. В первом случае она воздействует на объект и может быть в состоянии включено/отключено, а также принимать значения с указанием дополнительных параметров. Во втором – политика на объект не воздействует.

Объекты групповых политик хранятся двумя частями: контейнер групповой политики (GPC, Group Policy Container) и шаблон групповой политики (GPT, Group Policy Template). Контейнер хранится непосредственно в службе каталогов и содержит информацию о свойствах, версии, статусе и список компонентов. Шаблоны GPT находятся в каталоге WindowsSYSVOLsysvolDomain_NamePoliciesGUID (см. рис. 2), где GUID – глобальный уникальный идентификатор объекта GPO. В этой папке содержатся административные шаблоны (ADM – файлы), настройки безопасности, информация о доступных приложениях и имена сценариев с командными строками.

Рисунок 2. Папка, содержащая шаблоны групповых политик на контроллере домена

Локальные политики рабочей станции

Каждая рабочая станция под управлением операционных систем семейства Windows 2000 имеет свои локальные политики, и администратор домена имеет возможность редактировать их. Они схожи с групповыми политиками домена, но применяются для всех локальных пользователей компьютера без исключения. Также невозможно настроить ряд установок, таких, например, как перенаправление каталогов и установка приложений. Несмотря на это, структура объекта локальных групповых политик такая же, как и GPO домена. Размещается он в папке Windowssystem32GroupPolicy.

При помощи команды gpedit.msc вы можете редактировать локальные политики рабочей станции. Синтаксис строки для запуска gpedit.msc для просмотра локальной политики удаленной машины будет выглядеть следующим образом:

Gpedit.msc /gpcomputer: Имя_Компьютера

Однако стоить заметить, что вы не сможете посмотреть локальные настройки безопасности удаленной машины (видимо, Microsoft сделала это из-за соображений безопасности).

Групповые политики по умолчанию

После создания первого контроллера домена формируются политики по умолчанию: Default Domain Controller Policy (привязывается к контейнеру Domain Controllers, применяется исключительно для контроллеров домена и содержит настройки безопасности) и Default Domain Policy (политика безопасности для домена, привязывается к контейнеру домена и распространяется на весь домен). Вы легко их можете заменить своими политиками, либо использовать в сочетании с другими. Еще один нюанс, который стоит отметить – если вы попытаетесь открыть Default Domain Controller Policy из меню «Администрирование», вам будут доступны только настройки безопасности. Полностью увидеть и изменить все настройки этого GPO можно из оснастки Active Directory – Users and Computers (DSA.MSC) в свойствах контейнера Domain Controllers.

Создание объектов GPO

Несмотря на название, GPO не имеют ничего общего с группами. Объекты групповых политик могут быть связаны с контейнерами сайта, домена и OU (организационной единицы). Таким образом, для создания объекта GPO мы можем воспользоваться консолями Active Directory – Users and Computers или Active Directory Sites and Services, все зависит от того, для какого контейнера мы создаем GPO. Итак, запускаем DSA.MSC либо DSSITE.MSC. Далее заходим в свойства контейнера и открываем вкладку «Групповая политика» (Group Policy), как это показано на рис. 3. Здесь мы можем создать или изменить GPO, а также добавить и привязать к объекту уже существующий GPO. В этих настройках можно удалить как ссылку на GPO, и тогда пропадет всего лишь привязка GPO к контейнеру, так и сам объект групповой политики.

Рисунок 3. Открытие редактора групповых политик в DSA.MSC

В параметрах (Options) устанавливается, разрешено ли перекрытие для этого объекта. При включенной опции «Не перекрывать» (No Override) другие политики не могут наложить свои настройки на установки данной. Если включена опция «Отключить» (Disabled), это значит, что GPO не будет применяться на этом уровне (к этому контейнеру). При установленном флажке «Блокировать наследование политики» (Block Inheritance) политики верхних уровней иерархии службы каталогов применяться не будут. Однако, если для политики более высокого уровня включена опция «No Override», блокировать наследование не удастся.

В свойствах групповых политик можно увидеть дату создания, последнего изменения объекта GPO, его версию, GUID (Globally Unique Identifier, глобальный уникальный идентификатор) и домен, в котором располагается объект GPO. Здесь же есть возможность отключить настройки конфигурации компьютера или пользователя. На вкладке «Связи» (Links) можно посмотреть, с какими объектами службы каталогов GPO имеет связь. В настройках безопасности указывается, каким группам пользователей предоставляются права на чтение политики, изменение, применение и т. д. Напомню, что связывание и наследование объектов GPO происходит на уровне контейнеров. Но администратор может явно указать, будет ли той или иной группе пользователей, принадлежащих какому-либо контейнеру, разрешено чтение и применение групповых политик из объекта GPO, связанного с этим контейнером. Таким образом, при использовании ACL (Access Control List, список контроля доступа), определяются области действия политики на основе групп. На вкладке «Фильтр WMI» (WMI Filter) вы можете выбрать, будет ли применяться к объекту политик фильтр WMI (Windows Management Instrumentation), и если да, то какой.

При создании объект групповой политики привязывается к контейнеру, для которого вы его создали. Этот GPO будет храниться в Active Directory и может быть применен к другим контейнерам – сайтам, доменам и организационным единицам. Одновременно с этим вы можете удалить привязку GPO к контейнеру, не удаляя сам объект GPO. Групповые политики данного GPO к этому контейнеру применяться не будут, но сам объект все еще будет существовать в службе каталогов. Таким образом, может возникнуть ситуация, когда какой-либо объект групповой политики не будет связан ни с одним контейнером, но он все еще будет существовать в службе каталогов, и вы в любой момент сможете привязать его к сайту, домену или OU.

Каждый контейнер может иметь связь с несколькими GPO, которые будут отображены в списке на вкладке «Групповая политики». И, чем выше политика, тем выше ее приоритетность. Выигрывающей является самая верхняя в списке политика. Изменить приоритетность вы можете, передвигая объекты вверх-вниз и меняя тем самым очередность. Важно понимать, что применение параметров при воздействии многих политик происходит снизу вверх, и, если политика в объекте GPO не сконфигурирована, она не будет воздействовать на параметр. Таким образом, для параметра будет установлено значение, определенное самым верхним в списке объектом GPO, в котором политика сконфигурирована.

Порядок применения групповых политик

При загрузке компьютер получает от контроллера домена своего сайта список групповых политик в том порядке, в котором он должен их применить. Аналогично при входе пользователя в систему происходит запрос групповых политик, определенных для контейнера, которому этот пользователь принадлежит, и дальнейшее их применение. Далее в процессе работы групповые политики обновляются в фоновом режиме каждые X минут, где X – величина, лежащая в интервале 60-120 минут. Эту величину можно изменить при помощи групповых политик, но не рекомендуется делать ее очень маленькой, потому что это повлечет за собой затраты системных ресурсов из-за постоянного обращения к контроллеру домена. Для контроллеров домена групповые политики обновляются каждые 5 минут.

За обработку групповых политик на компьютерах клиентов отвечает набор динамических библиотек – клиентских расширений групповых политик. И, к слову говоря, если на локальной машине не будет файла scecli.dll (на компьютерах часто можно видеть событие с источником SceCli и описанием «Политика безопасности в объектах групповой политики успешно применена»), то групповые политики на нем и вовсе выполняться не будут.

Применение групповых политик пользователя и компьютера в системах Windows NT 5 происходит по-разному. В таблице показано, как это происходит в различных системах по умолчанию. Попросту говоря, в системе Windows XP политики применяются после того, как пользователь уже видит экран входа в систему. При входе в систему он сразу же видит рабочий стол, не дожидаясь применения всех политик. Для повышения безопасности такое поведение можно изменить с помощью параметра Computer Configuration/Administrative Templates/System/Logon/Always wait for the network at computer startup and logon.

Применение групповых политик пользователя и компьютера в системах Windows NT 5

Ссылка на основную публикацию
Adblock
detector