Аспекты развертывания политик
В этом разделе рассматриваются различные аспекты, которые возникают при развертывании политик ограниченного использования программ.
Советы и рекомендации
При развертывании политик ограниченного использования программ Вы можете следовать следующим советам и рекомендациям:
Всегда создавайте отдельный объект групповой политики для политик ограниченного использования программ. В этом случае при возникновении экстренной ситуации Вы всегда сможете отключить политики ограниченного использования программ, не затрагивая при этом остальные параметры безопасности.
Никогда не изменяйте используемую по умолчанию доменную политику. Если Вы не будете изменять используемую по умолчанию доменную политику, Вы всегда будете иметь возможность для ее повторного применения.
Никогда не связывайте объекты с политикой ограниченного использования программ другого домена. Связывание с объектом групповой политики другого домена может вызвать снижение производительности.
Проводите всестороннее тестирование новых параметров политики в тестовой среде, прежде чем применять их к Вашему домену. Новые параметры политики могут действовать не так, как Вы изначально ожидали. Тестирование снижает вероятность возникновения проблем при развертывании параметров политики в Вашей сети.
- Вы можете настроить тестовый домен отдельно от домена Вашей организации, и в нем тестировать новые параметры политики.
- Также Вы можете тестировать параметры политики, создав тестовый объект групповой политики и связав его с организационным подразделением Active Directory. Когда Вы полностью протестируете параметры политики на пользователях этого подразделения, Вы сможете связать этот объект групповой политики с Вашим доменом.
- Опечатки или неправильно введенная информация могут привести к тому, что параметры политики не будут работать так, как ожидается. Тестирование новых параметров политики перед их применением может предотвратить такое незапланированное поведение.
- Прежде чем запретить выполнение каких-либо программ или файлов, выясните, к чему это может привести. Ограничения для определенных файлов могут оказать серьезное влияние на функционирование Вашего компьютера или сети.
Обработка групповой политики
При работе с объектами групповой политики необходимо принять во внимание следующую информацию:
Используйте группы безопасности, чтобы задать область действия объектов групповой политики. В дальнейшем, используя группы безопасности Windows 2000, Вы сможете более детально определить, на какие группы пользователей и компьютеров будут действовать различные объекты групповой политики.
- Используйте вкладку Безопасность (Security) на странице свойств выбранного объекта групповой политики, чтобы задать права доступа. С помощью избирательных списков контроля доступа (DACL) Вы можете разрешить или запретить доступ к объекту групповой политики для указанных групп.
Для дополнительной информации о фильтрации объектов групповой политики обратитесь к статье Групповая политика Windows 2000 (Windows 2000 Group Policy) на http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN).
Используйте инструментарий управления Windows (WMI), чтобы задать область действия объекта групповой политики. Клиентские машины под управлением Windows XP поддерживают фильтрацию объектов групповой политики с помощью WMI. Это позволяет исключить обработку объекта групповой политики на клиентской машине, основываясь на предоставленной информации WMI.
- Используйте вкладку Фильтр WMI (WMI Filter) на странице свойств выбранного объекта групповой политики, чтобы добавить фильтр WMI. Например, Вы можете создать фильтр WMI таким образом, что объект групповой политики будет применяться только к компьютерам с определенным пакетом обновлений.
Для дополнительной информации о фильтрации WMI обратитесь к статье Групповая политика Windows 2000 (Windows 2000 Group Policy) на http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN).
Порядок применения групповой политики. По умолчанию групповая политика является наследуемой и накопительной, и воздействует на все компьютеры и на всех пользователей в контейнере Active Directory. Обработка объектов групповой политики происходит следующим образом:
- Применяются объекты локальной групповой политики
- Объекты групповой политики связываются с сайтами
- Объекты групповой политики связываются с доменом
- Объекты групповой политики связываются с организационными подразделениями (в случае вложенных подразделений объекты групповой политики, связанные с родительскими подразделениями, обрабатываются прежде, чем объекты групповой политики, связанные с дочерними подразделениями).
Этот порядок обработки объектов групповой политики (локально > сайт > домен > подразделение) является существенно важным, потому что параметры политики, примененной позже, перекрывают параметры политики, примененной раньше.
Опции Не перекрывать (No Override) и Блокировать наследование политики (Block Policy Inheritance). Вы можете принудительно применить параметры групповой политики определенного объекта GPO ко всем его вложенным объектам, используя опцию Не перекрывать (No Override). Таким образом параметры политики объектов GPO нижних уровней в контейнерах Active Directory не будут перекрывать параметры политики родительского объекта.
Вы можете также блокировать наследование групповой политики от родительских контейнеров Active Directory, используя опцию Блокировать наследование политики (Block Policy Inheritance).
Для дополнительной информации обратитесь к статье Групповая политика Windows 2000 (Windows 2000 Group Policy) на http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN).