Проектирование политики ограниченного использования программ
Первоначальные действия
При редактировании политики в первый раз Вы увидите сообщение, показанное на Рисунке 7. Это сообщение предупреждает о том, что создание политики установит значения по умолчанию, которые переопределят значения, унаследованные от политик ограниченного использования программ родительских объектов.
Рисунок 7 – Предупреждающее сообщение во время создания новой политики
Для создания политики:
- Выберите команду Новые политики ограниченного использования программ (Create New Policies) в меню Действие (Action).
Применение политики ограниченного использования программ к группе пользователей
Политика ограниченного использования программ распространяется через групповую политику на сайт, домен или подразделение. Тем не менее, администратор может столкнуться с необходимостью применить политику ограниченного использования программ к группе пользователей внутри домена. Для этого администратор может использовать фильтрацию объектов групповой политики.
Для получения более подробной информации о фильтрации объектов групповой политики обратитесь к статье Групповая политика Windows 2000 http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN)
Серверы терминалов
Политики ограниченного использования программ являются неотъемлемой частью системы защиты сервера терминалов Windows Server 2003. Администраторы серверов терминалов могут теперь полностью заблокировать доступ программного обеспечения к серверу терминалов. Применение политик ограниченного использования программ является исключительно важным именно на серверах терминалов ввиду потенциально большого количества пользователей на одном компьютере. На однопользовательском клиентском компьютере под управлением Windows XP выполнение нестабильного приложения может помешать только одному пользователю, в то время как выполнение такого приложения на сервере терминалов может доставить неудобства более чем 100 пользователям. Политики ограниченного использования программ предотвращают эту проблему. Эта служба также избавляет от необходимости использования программ, таких как appsec.exe, для ограничения выполнения приложений на сервере терминалов Windows Server 2003.
В дополнение к этому корпорация Microsoft рекомендует ознакомиться с документом 278295 Как заблокировать сессию сервера терминалов Windows 2000 (How to Lock Down a Windows 2000 Terminal Server Session)
В некоторых случаях на нескольких серверах терминалов установлено одинаковое программное обеспечение, но администраторы этих серверов хотят предоставить доступ разным группам пользователей к разному программному обеспечению. Часть приложений при этом может быть общей для нескольких групп. Рассмотрим пример, когда юридическая фирма размещает приложения на ферме серверов терминалов. На серверах установлено одинаковое программное обеспечение. Правила доступа к программному обеспечению выглядят следующим образом:
- Любой сотрудник может использовать Microsoft Office и Internet Explorer. Все сотрудники являются членами группы AllEmployees.
- Любой сотрудник бухгалтерии может использовать приложения из папки Accounting Software. Сотрудники бухгалтерии являются членами группы AccountingEmployees.
- Любой юрист может использовать приложения из папки Law Research software. Юристы являются членами группы Lawyers.
- Любой сотрудник внутренней почтовой службы может использовать приложения из папки Mail Room Processing software. Сотрудники внутренней почтовой службы являются членами группы MailRoomEmployees.
- Руководители могут использовать любое программное обеспечение, доступное для других сотрудников. Руководители являются членами группы Executives.
- Объекты групповой политики не применяются к администраторам.
Чтобы разграничить доступ к программному обеспечению, администратор создает пять объектов групповой политики с персонально настроенными политиками ограниченного использования программ. Каждый объект групповой политики фильтруется так, чтобы он применялся только к пользователям одной из групп AllEmployees, AccountingEmployees, Lawyers, MailRoomEmployees или Executives (в зависимости от того, для какой группы он предназначен).