Иллюстрированный самоучитель по администрированию Windows 2000/2003

Пошаговое руководство по проектированию политики ограниченного использования программ

В этом разделе описаны шаги, которые необходимо выполнить в процессе проектирования политики ограниченного использования программ.

Вопросы для рассмотрения

При проектировании политики необходимо определиться со следующими аспектами:

  • Объект групповой политики или локальная политика безопасности
  • Политика пользователя или политика компьютера
  • Уровень безопасности по умолчанию
  • Дополнительные правила
  • Опции политики
  • Связывание политики с сайтом, доменом или подразделением

Пошаговое выполнение процесса

Шаг 1. Объект групповой политики или локальная политика безопасности.

Должна ли политика применяться ко многим компьютерам или пользователям домена или подразделения, или же она должна применяться только к локальному компьютеру?

  • Если политика должна применяться к многим компьютерам или пользователям домена или к какому-либо другому контейнеру Active Directory, используйте объект групповой политики.
  • Если Ваша политика должна применяться только к локальному компьютеру, используйте локальную политику безопасности.

Шаг 2. Политика пользователя или политика компьютера.

Должна ли политика применяться к пользователям независимо от того, на какой компьютер они входят, или наоборот – к компьютеру независимо от того, кто осуществляет вход?

  • Если Вы хотите, чтобы политика применялась к определенной группе пользователей, например, к доменной группе Отдел маркетинга, Вам следует использовать политику пользователя.
  • Если Вы хотите, чтобы политика применялась к определенной группе компьютеров и ко всем пользователям, которые входят в систему на этих компьютерах, Вам следует использовать политику компьютера.

Шаг 3. Уровень безопасности по умолчанию.

Известно ли Вам все программное обеспечение, с которым будут работать пользователи, или они могут устанавливать любое программное обеспечение на свой выбор?

  • Если Вам известно все программное обеспечение, с которым будут работать пользователи, Вы должны задать уровень безопасности по умолчанию Не разрешено (Disallowed).
  • Если пользователи могут устанавливать любое программное обеспечение, которое захотят, задайте уровень безопасности по умолчанию Неограниченный (Unrestricted).

Шаг 4. Дополнительные правила.

Идентифицируйте выбранные разрешенные или запрещенные приложения, используя четыре типа правил, рассмотренные выше в разделе Архитектура политики ограниченного использования программ.

  • Чтобы посмотреть, какие правила подходят для Вашей политики, обратитесь к Таблице 1 (В каких случаях использовать каждое правило), рассмотренной выше в том же разделе.
  • Чтобы создать дополнительные правила, обратитесь к пошаговому руководству по созданию дополнительных правил, которое будет рассмотрено ниже.

Шаг 5. Опции политики.

Существует несколько опций политики:

  • Если Вы используете локальную политику безопасности и не хотите, чтобы она применялась к администраторам на локальном компьютере, включите опцию предотвращения применения политики ограниченного использования программ к локальным администраторам (Skip Administrators).
  • Если Вы хотите проверять библиотеки DLL в дополнение к исполняемым файлам и сценариям, включите опцию проверки библиотек DLL (DLL checking).
  • Если Вы хотите задать правила для типов файлов, которые по умолчанию не входят в список назначенных типов файлов, считающимися исполняемыми, добавьте дополнительные типы файлов.
  • Если Вы хотите определить, кто может принимать решения о загрузке управляющих элементов ActiveX и другого подписанного содержимого, установите требуемые опции в окне Свойства:Доверенные издатели (Trusted Publishers).

Шаг 6. Связывание политики с сайтом, доменом или подразделением.

Чтобы связать объект групповой политики с сайтом.

  1. Используйте оснастку Active Directory – сайты и службы(Active Directory Sites and Services).
  2. Щелкните правой кнопкой мыши на сайте, домене или подразделении, с которым Вы хотите связать объект групповой политики и выберите Свойства (Properties).
  3. Выберите вкладку Групповая политика (Group Policy) для создания, редактирования или управления объектами групповой политики.

Чтобы связать объект групповой политики с доменом или подразделением.

  1. Используйте оснастку Active Directory – пользователи и компьютеры (Active DirectoryUsers and Computers).
  2. Щелкните правой кнопкой мыши на сайте, домене или подразделении, с которым Вы хотите связать объект групповой политики и выберите Свойства (Properties).
  3. Выберите вкладку Групповая политика (Group Policy) для создания, редактирования или управления объектами групповой политики.

Фильтрация

На этом этапе может быть осуществлена фильтрация объектов групповой политики. Путем фильтрации, основанной на членстве в группах, Вы можете определить часть организационного подразделения Active Directory (Organizational Unit, OU), на которую будет действовать объект групповой политики. Вы также можете производить фильтрацию на основе запросов инструментария управления Windows (WMI).

Тестирование политики

Если Вы не хотите ждать следующего интервала обновления групповой политики, а хотите протестировать Вашу политику немедленно, запустите программу gpupdate.exe и выполните повторный вход в систему. После этого Вы можете приступать к тестированию Вашей политики.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.