Иллюстрированный самоучитель по Microsoft Windows 2000

Групповые политики

  • Что такое групповые политики?

    Эффективное функционирование ни одной многопользовательской операционной системы невозможно без четкого разграничения доступа к ресурсам. Одним из средств, позволяющих настраивать параметры безопасной работы пользователей в сети в операционных системах Windows, являются политики безопасности.
  • Объекты групповой политики (GPO). Оснастка Групповая политика (Group Policy).

    При создании, настройке и хранении параметров групповых политик применяется подход, позволяющий работать с GPO как с документами. | После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей, находящихся в этом контейнере.
  • Схема именования GPO и его структура. Узел Конфигурация компьютера (Computer Configuration). Узел Конфигурация пользователя (User Configuration).

    При запуске оснастка Групповая политика загружает корневой узел, представляющий собой GPO, присоединенный к определенному контейнеру.
  • Расширения оснастки Групповая политика

    Ниже родительских узлов Конфигурация компьютера и Конфигурация пользователя находятся дочерние узлы, каждый из которых является полноценным расширением оснастки Групповая политика. Они могут находиться в обоих родительских узлах, хотя и с различными параметрами, или индивидуально расширять узлы Конфигурация компьютера или Конфигурация пользователя.
  • Административные шаблоны (Administrative Templates)

    С помощью расширения Административные шаблоны администратор системы может настроить целый набор параметров реестра, задающих режим функционирования компонентов операционной системы и приложений. | Задать конкретные параметры, доступные для модификации с помощью интерфейса пользователя оснастки Групповая политика, можно с помощью специальных административных шаблонов.
  • Параметры безопасности (Secyrity Settings)

    С помощью расширения Параметры безопасности в GPO можно определить параметры политики безопасности, определяющие различные аспекты работы системы безопасности Windows 2000. Созданная в объекте групповой политики конфигурация воздействует на все компьютеры, находящиеся в контейнере, к которому присоединен данный GPO.
  • Установка программ (Software Installation)

    Оснастка Установка программ предназначена для организации централизованного управления установкой программного обеспечения на компьютеры сети Windows 2000. Она позволяет настроить два режима установки ПО на группу компьютеров, или для группы пользователей – назначение (assignment) и публикация (publishing).
  • Сценарии (Scripts)

    С помощью этого расширения можно задать сценарии, которые должны выполняться на компьютере при загрузке и завершении работы операционной системы, а также при регистрации пользователя в системе и окончании сеанса работы.
  • Перенаправление папки (Folder Redirection)

    Оснастка Перенаправление папки позволяет перенаправить некоторые папки профиля пользователя в другое место (как правило, на общий ресурс сети). Перенаправление возможно для следующих папок: | Application Data | Мои рисунки (My Pictures) | Рабочий стол (Desktop) | Главное меню (Start Menu)
  • Расширения оснастки групповая политика на стороне клиента

    Некоторым расширениям оснастки Групповая политика, находящимся на сервере, соответствуют расширения, работающие у клиента. Они предназначены, для отработки настроек групповых политик на клиентских компьютерах. Расширения, работающие на стороне клиента, представляют собой модули DLL (табл.
  • Хранение GPO. Объекты GPO и Active Directory. Локальные GPO.

    GPO хранит информацию о настройках групповых политик в двух структурах – контейнере групповых политик (Group Policy Container, GPC) и шаблоне групповых политик (Group Policy Template, GPT).
  • Подкаталоги шаблона групповых политик

    Внутри папки шаблона групповых политик имеются следующие подкаталоги. | Adm (если компьютер входит в домен). | Здесь находятся все файлы *.adm для данного шаблона групповых политик. | Machine. | Здесь хранится файл Registry.pol со значениями параметров реестра, устанавливаемыми для компьютера.
  • Порядок применения групповых политик

    Применение групповых политик происходит в последовательности, соответствующей иерархии GPO: сначала объект групповой политики сайта, затем домена, затем GPO, связанные с подразделениями в соответствии с их вложенностью, Порядок выполнения групповых политик можно изменить с помощью настроек, блокирующих определенные групповые политики или заставляющих их выполняться принудительно.
  • Применение групповых политик на клиентской стороне. Настройка групповых политик на автономном компьютере.

    Периодичность применения групповых политик на клиентской стороне во многом определяется пропускной способностью канала, по которому клиент обменивается информацией с серверами сети. При работе по медленному каналу администратор может увеличить период применения групповых политик.
  • Блокирование локальных учетных записей

    После нескольких неудачных попыток регистрации в системе учетная запись пользователя должна быть заблокирована. Вы можете установить допустимое максимальное количество неудачных попыток. Следует заметить, что разблокировать учетную запись может только администратор.
  • Настройка безопасности для раздела реестра

    Ниже показано, как можно настроить безопасность для раздела реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT. Администраторы получат полный контроль, а все остальные аутентифицированные пользователи будут иметь доступ только на чтение.
  • Настройка безопасности для всего диска С:

    С помощью политик безопасности вы можете установить различные права доступа к устройству для разных пользователей (например, полный контроль для администраторов и права на чтение и создание подкаталогов, а также полный контроль над создаваемыми файлами – для пользователей)!
  • Настройка групповых политик компьютера в домене. Создание объектов политики безопасности в Active Directory.

    Каждый домен по умолчанию обладает ассоциированной с ним групповой политикой. Объект групповой политики (Group Policy Object, GPO) автоматически создается при создании домена. Впоследствии этот объект можно отредактировать.
  • Работа с групповыми политиками домена

    Ниже приведен ряд примеров, демонстрирующих работу с групповыми политиками домена. | Создание объекта групповой политики | Для создания самостоятельного, изолированного GPO: | Запустите консоль управления Microsoft (MMC).
  • Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию

    Определить, какой контроллер домена (Domain Controller, DC) выбирается по умолчанию оснасткой Групповая политика при работе с GPO, можно двумя способами: указать это в самой оснастке Групповая политика или установить политику выбора контроллера домена (см. следующий раздел).
  • Настройка политики выбора контроллера домена. Использование групп безопасности.

    Можно сконфигурировать групповую политику, определяющую, какой контроллер домена будет выбираться по умолчанию при запуске оснастки Групповая политика. | Для этого: | Запустите оснастку Групповая политика для групповой политики контроллера домена или для политики всего домена.
  • Ограничение влияния настроек групповой политики

    Как уже говорилось, все компьютеры и пользователи, находящиеся в определенном контейнере, подпадают под влияние групповых политик, настройки которых находятся в GPO, связанном с данным контейнером. | Для более тонкой настройки влияния определенного объекта груп повой политики на группы пользователей и компьютеров применяют группы безопасности.
  • Делегирование управления объектами групповой политики

    С помощью инструментов управления Active Directory администратор может делегировать другим пользователям и группам право управления частью каталога. | Это в полной мере относится и к объектам групповой политики, в отношении которых могут быть, в частности, делегированы следующие права.
  • Инструменты настройки безопасности

    Обеспечение эффективной безопасности системы имеет несколько аспектов. | Во-первых, операционная система должна соответствовать базовым требованиям к безопасности. Например, требования к системе, соответствующей уровню безопасности С2, включают защиту памяти, дискреционное управление доступом и наличие средств аудита.
  • Оснастка Шаблоны безопасности (Security Templates)

    Редактор шаблонов безопасности реализован в виде оснастки ММС. Он предназначен для создания и редактирования текстовых файлов конфигурации безопасности операционной системы Windows 2000. Такие файлы значительно легче переносятся с одной системы на другую, чем соответствующие им базы данных безопасности.
  • Загрузка оснастки Шаблоны безопасности

    Для работы с оснасткой Шаблоны безопасности необходимо запустить консоль управления Microsoft и подключить к ней оснастку. Для знакомства с шаблонами в окне оснастки откройте, например, узел Шаблоны безопасности, щелчком выберите шаблон безопасности securews и просмотрите его папку Политика паролей (рис. 27.8). | Как показано на рис.
  • Просмотр и редактирование шаблона безопасности

    Щелкните на одном из стандартных шаблонов безопасности, которые вы видите в окне оснастки Шаблоны безопасности. Если вы хотите модифицировать какую-либо настройку безопасности, дважды щелкните на ней и отредактируйте значения параметров.
  • Утилита командной строки secedit

    Утилиту secedit.exe можно использовать из командной строки или с Диспетчером задач для активизации и анализа некоторой конфигурации безопасности. Secedit.exe загружает в локальную базу данных настройки безопасности, определенные в шаблоне.
  • Оснастка Анализ и настройка безопасности (Security Configuration and Analysis)

    Здесь мы поговорим об использовании оснастки Анализ и настройка безопасности для анализа различных аспектов безопасности систем Windows 2000. | Эту оснастку, как и утилиту командной строки secedit, можно применять для интерактивного сбора анализируемых данных в системе или для выполнения периодического сбора информации с помощью сценария, запускаемого в соответствии с заданным расписанием.
  • Создание личной базы данных и анализ компьютера. Просмотр результатов анализа.

    База данных, с помощью которой выполняется анализ безопасности системы, задается следующим образом: | Запустите оснастку Анализ и настройка безопасности и нажмите правую кнопку мыши на корне структуры. | В появившемся контекстном меню выберите команду Открыть базу данных (Open Database).
  • Установка новой политики безопасности системы с помощью шаблона

    Процесс установки новой политики безопасности состоит из нескольких описанных ниже этапов. | Импорт конфигурации безопасности в базу данных системной политики безопасности. Чтобы импортировать некоторую конфигурацию: | Выберите папку Анализ и настройка безопасности и нажмите правую кнопку мыши.
  • Анализ нарушений политики безопасности системы

    Пусть политика безопасности системы предполагает, что в группу Администраторы могут быть включены только администраторы системы, а в группу Опытные пользователи – только определенные пользователи. Если членом этих групп станет другой пользователь, произойдет нарушение политики безопасности.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.