Объекты групповой политики, или групповые директивы (Group Policy Objects, GPO), относятся к наиболее эффективным вспомогательным средствам системного управления Windows. Однако, как правило, об их назначении знают мало. В статье описаны возможности их применения и выгода, которую приносит использование групповых директив, а также представлены некоторые инструменты управления.
Назначение групповых директив нередко понимают неправильно: сами по себе они не имеют ничего общего с группами пользователей; скорее, позволяют объединять директивы в легко управляемые блоки. Групповые директивы не требуют обязательного наличия Active Directory (AD) и могут применяться независимо. Реализуемые компанией Microsoft в операционных системах начиная с Windows 2000, они продолжают традиции системных директив NT.
Тем не менее для практических целей групповые директивы были приравнены к сохраняемым в Active Directory учетным записям пользователей и компьютеров. Принципиальное разделение Active Directory и групп пользователей позволяет добиться гибкой трактовки и применения групповых директив — в том числе в тех системных средах, где с Active Directory не работают. На данный момент групповые директивы включают приблизительно 1500 настроек. В одну только ОС Windows Vista добавлено около 500 дополнительных параметров. В основном, групповые директивы параметризуют операционную систему Windows, Internet Explorer и прочие приложения. Назначение групповых директив различно:
- централизованное конфигурирование настроек безопасности для компьютеров и пользователей;
- централизованное предоставление прав для доступа к файлам, папкам и ключам реестра;
- автоматизированная инсталляция и централизованное конфигурирование приложений в управляемых системах;
- определение сценариев создания и удаления учетных записей пользователей;
- задание сценариев, которые выполняются при включении и завершении работы компьютера;
- использование в службах удаленной инсталляции;
- конфигурирование Internet Explorer и прочих приложений вместе с важными URL, настройками proxy-сервера и параметрами безопасности.
Во всех перечисленных случаях речь идет о централизованно управляемых настройках, которые должны передаваться на устройства через определенные промежутки времени и там выполняться. В стандартном режиме групповые директивы на контроллерах доменов обновляются каждые 5 мин, на прочих серверах и рабочих станциях — каждые 90-120 мин. Наряду с этими групповыми директивами на базе Active Directory есть еще сугубо локальные групповые директивы, привязанные к конкретному компьютеру и имеющие намного более ограниченные возможности воздействия.
Различают два вида групповых директив (GPO) — привязанные к компьютеру и к пользователю. Каждая содержит, таким образом, два указанных блока, хотя вместе они могут и не использоваться. Благодаря подобному разделению можно управлять как настройками, специфическими для устройств, так и конфигурациями, ориентированными на пользователей. GPO, связанные с устройствами, применяются при построении сетевых соединений соответствующим компьютером, а установки, относящиеся к пользователю, — при его регистрации.
УПРАВЛЕНИЕ ГРУППОВЫМИ ДИРЕКТИВАМИ
Для создания и управления GPO используются редактор групповых директив (см. Рисунок 1) и консоль управления групповыми директивами (Group Policy Management Console, GPMC). В обоих случаях имеются в виду приложения, интегрируемые в консоль управления Microsoft (Microsoft Management Console, ММС). Редактор GPO входит в комплект поставки по умолчанию, GPMC необходимо загрузить дополнительно (см. Рисунок 2). Существуют инструменты и от третьих производителей. Все они позволяют создавать, изменять и удалять групповые директивы с разной степенью удобства. Окончательная активация происходит путем присваивания групповой директивы службе Active Directory. В качестве параметров организации она различает местоположение, домены и организационный блок (Organisational Unit, OU). Тем не менее групповую директиву можно присвоить не этим структурным элементам, а лишь группам в них.
Из-за наличия уровней вложенности — в особенности OU — возникает многоступенчатая организационная структура. Нередко организационная структура предприятия отображается на Active Directory один к одному, однако в большинстве случаев указанный метод не оптимален, хотя отнимает совсем немного времени. К примеру, на предприятиях, обладающих несколькими филиалами, площадками и доменами, а также обширной организационной структурой с различными сферами деятельности, отделами, группами и т. д., могут быть мобильные пользователи, обладающие доступом по виртуальной частной сети (Virtual Private Network, VPN) или предъявляющие повышенные требования к производительности компьютера в связи с особыми используемыми приложениями. Нередко количество групп пользователей превышает число филиалов и, возможно, доменов, и выгоднее объединить логические группы пользователей и компьютеров. В этом проявляется недостаток строгого иерархического отображения «один к одному».Оптимальная организация иерархии Active Directory может оказать большую помощь как при базовом управлении распределенной средой Windows, так и при создании групповых директив. Необходимо уяснить, что ни слишком плоская, ни слишком детальная и глубокая структура не будут наиболее рациональным решением. Оптимальный результат — «золотая середина» между правилами и зависимостями.
Присваивание групповых директив организационным блокам подготавливает GPO к активации. Директивы активируются в зависимости от времени тиражирования между контроллерами доменов и передачи в систему назначения. Следует помнить, что некоторые директивы проверяются лишь при включении компьютера, регистрации пользователя или запуске приложения. Итак, в любом случае при использовании групповой директивы возникает определенная задержка.
Поэтому для принятия специальных мер — к примеру, ограничения функциональности из соображений безопасности — групповые директивы применимы лишь условно, поскольку немедленная их активация невозможна. Кроме того, они всегда должны передаваться от своего контроллера домена к конечному устройству, что в случае, например, проблем с DNS или сетью не может быть гарантировано. Вместе с тем, даже если групповая директива активируется с определенной задержкой, объявить ее утратившей силу будет не так просто, раз она уже создана и присвоена.
НЕОБХОДИМА БОЛЬШАЯ ОСТОРОЖНОСТЬ
Групповые директивы необходимо создавать с большой осторожностью: из иерархической структуры организации, сохраненной в Active Directory, составляется такая же иерархическая структура групповых директив. При этом вступают в силу правила наследования, отдельные директивы действуют всегда кумулятивно, что чревато возникновением проблем: если, к примеру, предприятие обладает шестиуровневой организационной структурой в Active Directory и одновременно шестиуровневой структурой групповых директив, не всегда понятно, какие права и на каком уровне применяются для компьютера или пользователя. Ситуация усложняется еще и тем, что именно на распределенных предприятиях групповые директивы могут и даже должны создаваться раздельно.
GPO могут быть «неопределенными», «активными» или «неактивными». Администратору разрешается позднее деактивировать директиву, которая была активирована на более высоких уровнях иерархии наследования. Кроме того, при наследовании групповых директив необходимо обращать внимание на управление исключениями. Так, при помощи функции наследования блоков (Block Inheritance) можно объявить утратившим силу наследование на каком-либо уровне, если на это есть права. Однако некоторые правила доменов блокировать нельзя, поскольку в противном случае при помощи функции No Оverride можно было бы отменить принятие исключения и использовать групповую директиву в любом случае — вне зависимости от настроек на расположенных ниже уровнях иерархии. Это отсутствие наглядности при управлении и активации групповых директив ведет к тому, что в данном сегменте работает ряд третьих производителей, иногда предлагающих инструменты, во многом превосходящие редактор GPO или GPMC от Microsoft.
ИНСТРУМЕНТЫ ОТ ТРЕТЬИХ ПРОИЗВОДИТЕЛЕЙ
К таким продуктам относятся, к при-меру, Group Policy Manager компании Quest, Active Administrator от ScriptLogic, а также семейство инструментов PolicyMaker от DesktopStandard. Правда, последняя недавно приобретена Microsoft. К этой же группе производителей принадлежит и NetIQ. Она предлагает три продукта для управления и мониторинга групповых директив: Group Policy Administrator — центральный инструмент управления для создания и применения групповых директив (см. Рисунок 3), Group Policy Guardian — для всеобъемлющего мониторинга, и, наконец, IntelliPolicy for Clients предоставляет средства расширения правил для конечных устройств, в частности в целях блокировки устройств USB. В дальнейшем в качестве примера для пояснения функциональности будут рассматриваться инструменты для работы с групповыми директивами от NetIQ. Однако следует заметить, что подобный набор функций можно встретить и в других инструментах из описываемого сегмента.
К особенностям инструментов NetIQ по сравнению с продуктами Microsoft относится прежде всего то, что они вызывают базу данных для управления групповыми директивами до обращения к Active Directory. Производитель поддерживает любые версии СУБД SQL Server (Standard Edition, Express Edition, MSDE и др.). Все первоочередные действия выполняются в базе данных, поэтому изменения в директивах не оказывают непосредственного и немедленного влияния на активные настройки Active Directory. Изначально базу данных можно заполнить актуальными, сохраненными в Active Directory записями, поскольку все последующие изменения попадают прежде всего в нее. На первый взгляд подобный подход и не представляется чем-то выдающимся, однако предлагает ряд дополнительных возможностей, к примеру полноценное управление изменениями в соответствии с принятыми принципами проверки.
Из-за описанной сложности групповых директив в сочетании с многоуровневой структурой Active Directory полученные результаты могут оказаться неоднозначными, поэтому администратору следует предварительно проверить их в тестовой среде. В противном случае поспешное или необдуманное изменение, затрагивающее, к примеру, весь домен, грозит фатальными последствиями. Подобные действия могут завести настолько далеко, что администратор лишится прав, необходимых для дальнейшего корректного использования системы. Перед развертыванием наиболее важных директив надо обязательно проверить их воздействие — результирующий набор правил (Resulting Set of Policies, RSoP).
Указанную проверку позволяет проводить большая часть инструментов — конечно, с разной степенью удобства. В серии инструментов NetIQ схожий процесс под названием «Анализ групповых директив» (Group Policy Analysis) помимо описанного выше сравнения результатов берет на себя дальнейшую диагностику и сообщает о различиях между предыдущей и последующей версиями групповых директив, предлагая возможность управления версиями GPO и многоступенчатым процессом их одобрения. В таком случае непосредственно перед изменением групповых директив их следует явным образом выгрузить и после изменения загрузить заново. Group Policy Guardian ведет мониторинг и предоставляет информацию с отчетом об изменениях, а также о времени их проведения и лицах, которые их произвели. Кроме того, подобные инструменты включают систему тонкого разграничения прав и полномочий, что упрощает распределенное администрирование групповых директив. В итоге сотрудники отраслевых отделов, наделенные соответствующими полномочиями, хотя и могут создавать групповые директивы, окончательная проверка и одобрение, как и раньше, остаются за специалистом департамента ИТ.
Йоханн Баумайстер — независимый журналист, пишущий на темы ИТ.
© AWi Verlag