Осваиваем Group Policy

Тщательно спланированная и правильно применяемая групповая политика — незаменимый инструмент для управления настольными компьютерами Windows. Однако эффективному использованию Group Policy мешают два обстоятельства. Первое — недостаточно ясное понимание принципов действия Group Policy и методов применения политик. Второе — отсутствие четкого представления о целях использования групповых политик. Немудрено растеряться перед огромным числом параметров Group Policy и разнообразием способов их применения. Но на самом деле освоить Group Policy несложно. Достаточно разобраться в механизме групповой политики, и администратору потребуется лишь некоторая изобретательность, чтобы применить Group Policy на практике. Поэтому вспомним основы Group Policy, а затем рассмотрим 10 способов использования групповой политики для управления настольными компьютерами на предприятии.

Коротко о Group Policy

Group Policy обеспечивает централизованное управление определенными сторонами функционирования настольных компьютеров в домене Windows Server. Оснастка Group Policy консоли управления Microsoft Management Console (MMC) содержит расширения и семь основных узлов. Узлы представляют собой входные точки для каждого расширения.

Administrative Templates (административные шаблоны). Administrative Templates — это политики на базе реестра, с помощью которых можно изменить параметры реестра, управляющие функционированием и внешним видом «рабочего стола», компонентов и приложений. Пять стандартных административных шаблонов загружаются с новым объектом групповой политики Group Policy Object (GPO): System.adm для семейства Windows Server 2003, Windows 2000 и Windows XP; Inetres.adm для параметров Internet Explorer (IE); Wmplayer.adm для Windows Media Player (WMP); Conf.adm для NetMeeting 3.01 и Wuau.adm для Windows Update.

Security Settings (параметры безопасности). Узел Security Settings определяет параметры безопасности локального компьютера, домена и сети.

Software Installation (установка программного обеспечения). Узел Software Installation назначает и публикует программы для пользователей и связывает их с компьютерами.

Scripts (сценарии). Узел Scripts определяет процедуры начального запуска и закрытия компьютера, регистрации и завершения сеанса пользователя. Любой WSH (Windows Script Host)-совместимый язык можно поместить в сценарный объект.

Remote Installation Services (RIS — службы дистанционной установки). Параметры этого узла управляют представлением функции Remote Operating System Installation на клиентских компьютерах.

Internet Explorer Maintenance (обслуживание Internet Explorer). Параметры данного узла используются для управления браузером Internet Explorer (IE) и позволяют настроить его функции.

Folder Redirection (перенаправление папок). Параметры этого узла перенаправляют специальные папки Windows (то есть My Documents, Application Data, Desktop и Start Menu) в альтернативное хранилище в сети.

Администраторы используют редактор Group Policy Editor (GPE) для настройки данных или параметров политики, которые хранятся в GPO. Объекты GPO, в свою очередь, связаны с соответствующими сайтами, доменами и организационными единицами (OU) в Active Directory (AD). Они определяют компьютеры и пользователей, к которым применяются параметры GPO. Большинство GPO используется для управления настольными компьютерами и учетными записями пользователей в организационной единице, содержащей объекты «пользователь» или «компьютер». Можно также задействовать Security Group и фильтрацию Windows Management Instrumentation (WMI) для дальнейшего сужения набора объектов, к которому применяется данная политика. А теперь приступим к использованию возможностей Group Policy для управления настольными компьютерами предприятия.

1 Следует всегда ожидать активизации сетевого соединения при начальной загрузке и регистрации

Данный параметр влияет на механизм Group Policy и определяет синхронный или асинхронный порядок применения GPO. В Windows 2000 объекты GPO применяются синхронно. В XP Professional появился усовершенствованный асинхронный режим обработки для ускорения процедур начальной загрузки и регистрации. Однако, как побочный эффект в XP Pro, параметры Group Policy, используемые для активизации определенного действия в соответствии с членством в группе безопасности, вступают в силу только после двух или даже трех регистраций. Недостатки такого подхода очевидны, особенно при использовании Group Policy как элемента стратегии безопасности предприятия. Но администратор может гарантированно применить целевые политики к приложению в ходе первой загрузки или регистрации, активизировав параметр Always wait for the network at computer startup and logon.

Параметр:

Computer Configuration Administrative Templates System Logon Always wait for the network at computer startup and logon

2 Автоматизированная установка операционной системы через RIS

Лучший способ реализовать возможности Group Policy — применить ее непосредственно при развертывании клиентских машин. RIS — факультативный компонент, впервые появившийся в Windows 2000 Server, с помощью которого администраторы могут создавать образы автоматизированной установки для Windows 2003, XP и Windows 2000. Эти образы можно развернуть на клиентах и серверах. Узел Remote Installation Services редактора GPE используется для управления параметрами Choice Screen Options, которые Windows предоставляет клиентам RIS. Экран Choice Options Properties позволяет настроить параметры Automatic Setup, Custom Setup, Restart Setup и Tools для RIS.

Параметр:

User Configuration Windows Settings Remote Installation Services Choice Options

3 Сценарии начальной загрузки, остановки, регистрации и выхода

Утверждение, что сценарии регистрации — вчерашний день в деле управления настольными компьютерами и пользователями, верно лишь отчасти. Group Policy обеспечивает гораздо более тщательный контроль места и времени запуска сценариев. Помимо указания традиционного сценария входа, который запускается при регистрации пользователя в домене, можно выполнять сценарий и при выходе пользователя из системы. Можно также указать отдельные сценарии как при запуске, так и при остановке компьютера. Эти четыре типа сценариев обеспечивают гораздо более гибкий подход к выполнению задач, не вписывающихся в традиционную парадигму сценариев регистрации.

Параметры:

Computer Configuration Windows Settings Scripts (Startup/Shutdown) User Configuration Windows Settings Scripts (Logon/Logoff)

4 Стандартизация параметров, определяющих внешний вид и реакцию операционной системы на действия пользователей

С помощью комбинации параметров Group Policy можно унифицировать работу пользовательских компьютеров. Стандартизация позволяет реализовать единый эффективный подход к обучению сотрудников и обслуживанию клиентских компьютеров. Такой подход позволяет управлять множеством параметров, их невозможно перечислить в данной статье. Однако приведенная ниже информация содержит некоторые полезные указания и может стать отправной точкой для дальнейшей работы.

Параметры:

User Configuration Administrative Templates Start Menu & TaskbarRemove Favorites menu from Start MenuTurn off personalized menus [в Windows 2003 и XP SP2];

Disable Personalized menus [в XP и Win2K Server]

Prevent changes to Taskbar and Start Menu Settings [в Windows 2003 и XP SP2]; Disable changes to Taskbar and Start Menu Settings [в XP и Win2K Server]

User Configuration Administrative Templates Windows Components Windows Explorer Turn on Classic Shell Remove the Folder Options menu item from the Tools menu Remove «Map Network Drive» and «Disconnect Network Drive» No «Entire Network» in My Network Places User Configuration Administrative Templates Desktop Hide and disable all items on the desktop Hide My Network Places icon on desktop Remove the Desktop Cleanup Wizard User Configuration Administrative Templates Control Panel Show only specified Control Panel applets User Configuration Administrative Templates Control Panel Add or Remove Programs Hide Change or Remove Programs page User Configuration Administrative Templates Control Panel Display Desktop Themes Remove Theme option Load a specific visual style file or force Windows Classic

5 Настройка параметров Windows Firewall для систем XP

Подавляющее большинство параметров для управления Windows Firewall появилось лишь недавно, в XP Service Pack 2 (SP2). Но прежде чем подробно рассмотреть эти параметры, следует отметить, что у администратора есть возможность управления брандмауэром Internet Connection Firewall в первоначальной версии XP через параметр Prohibit use of Internet Connection Firewall в сетевом домене DNS; параметр находится в разделе Computer ConfigurationAdministrative TemplatesNetworkNetwork Connections.

В XP SP2 с брандмауэром Windows Firewall связан набор управляемых параметров Group Policy. С помощью параметров групповой политики для Windows Firewall администратор может настроить две конфигурации брандмауэра, известные как профили. Профиль Domain используется, когда клиент подключен к сети, в которой расположены контроллеры домена клиента. Профиль Standard применяется, если клиент подключен через другую сеть. Если компьютеры не защищены корпоративным брандмауэром, можно подготовить набор параметров с более строгими ограничениями. А в профиле Domain можно назначить исключения, которые обеспечивают соединения из инструментов управления, размещенных на внутренних компьютерах. Для этих и других параметров XP SP2 необходимо активизировать XP SP2 Administrative Templates, как объясняется в статье Microsoft TechNet «Deploying Windows XP Service Pack 2 in Enterprise Environments» (http://www.microsoft.com/technet/ prodtechnol/winxppro/ deploy/sp2entdp.mspx).

Параметры:

Computer Configuration Administrative Templates Network/Network Connections Windows Firewall Domain Profile Computer Configuration Administrative Templates Network/Network Connections Windows Firewall Standard Profile

6 Повышение уровня защиты настольных компьютеров

К защите настольных клиентов следует применять комплексный подход, и Group Policy помогает построить целостный, стабильный фундамент для стратегии безопасности. Group Policy обеспечивает централизованное управление и позволяет применить разнообразный набор параметров и политик для настольных компьютеров и пользователей. Усилия по защите можно сосредоточить в четырех основных областях: параметры безопасности, политики IP Security (IPSec), политики программных ограничений и политики для беспроводных сетей. Прежде чем применять эти политики в производственной среде, необходимо ясно осознать возможные последствия и произвести множество экспериментальных проверок, поэтому в данной статье подробности настройки не рассматриваются. Информацию о настройке параметров можно найти по адресу http://www.microsoft.com/resources/documentation/ WindowsServ/2003/all/deployguide/enus/Default.asp?url=/resources/documentation/windowsserv/2003/all/ deployguide/enus/dmebg_dsp_djor.asp.

Параметры безопасности используются для настройки таких механизмов защиты операционной системы, как файловые и реестровые списки ACL, политики аудита, политики паролей, протоколирование событий и режимы запуска служб. Шаблон безопасности можно импортировать в GPO, который позволяет организовать параметры безопасности в единое, легкоуправляемое целое. Стандартные шаблоны размещены в каталоге %systemroot%SecurityTemplates и имеют расширение .inf.

Параметр:

Computer Configuration Windows Settings Security Settings

IPSec — сравнительно сложный механизм безопасности для фильтрации, аутентификации и шифрования сетевого трафика. Для доступа к обширному списку учебных ресурсов, связанных с IPSec, следует обратиться на сервер Microsoft Windows Server 2003 IPSec Technology Center по адресу http://www.microsoft.com/windowsserver2003/ technologies/networking/ipsec/default.mspx.

Параметр:

Computer Configuration Windows Settings Security Settings IP Security Policies on Active Directory

Политики программных ограничений в дополнительных пояснениях не нуждаются. С их помощью можно указать приложения, работу с которыми можно разрешать или запрещать для отдельных пользователей или компьютеров.

Параметры:

Computer Configuration Windows Settings Security Settings Software Restriction Policies

User Configuration Windows Settings Security Settings Software Restriction Policies

С помощью политик для беспроводных сетей можно назначить параметры, управляющие службой Wireless Configuration Service в XP через Wireless Network Policies Extension в среде Windows 2003.

Параметр:

Computer Configuration Windows Settings Security Settings Wireless Network (IEEE 802.11) Policies

7 Управление Windows Update и Automatic Updates

В целом Windows Update и Automatic Updates операционной системы XP — превосходные службы. Однако в корпоративной среде существуют веские основания для ограничения их доступности и управления поведением служб. Администратор может блокировать Automatic Updates и запретить доступ пользователя к Windows Update через Group Policy. Как правило, это делается только при наличии централизованного механизма дистрибуции, такого как Software Update Services (SUS) или Windows Update Services (WUS), который придет ему на смену. И SUS, и WUS управляются через Group Policy, но для их работы может потребоваться обновленная версия административного шаблона Wuau.adm. Параметры для встроенных инструментов модернизации ориентированы на отдельных пользователей. Параметры SUS и WUS предназначены для компьютеров.

Параметры:

User Configuration Administrative Templates System Windows Automatic Updates

User Configuration Administrative Templates System Windows Update

Computer Configuration Administrative Templates Windows Components Windows Update

8 Перенаправление папок

С помощью параметра Folder Redirection путь для специальной папки, такой как My Documents, Desktop и Application Data, перенаправляется на сетевой диск. На файл-сервере эти папки и информация в них лучше защищены благодаря мощным аппаратным средствам серверного класса; кроме того, данные доступны пользователям многих рабочих станций. Отдельная, но вспомогательная технология — Offline Files операционной системы XP, которая автоматически обеспечивает автономный доступ к файлам при их перенаправлении в специальную папку.

Параметры:

User Configuration Windows Settings

Folder Redirection

User Configuration Network Offline Files

9 Стандартизация и защита IE

IE — одна из наиболее широко применяемых программ; к сожалению, она часто используется неправильно. Кроме того, через IE в компьютер часто проникают вредоносные программы и другие нарушители информационной безопасности. Несмотря на отсутствие абсолютно надежной защиты браузера, повысить безопасность и улучшить управление IE можно с помощью параметров Group Policy. С помощью редактора GPE можно настроить параметры IE и установить ограничения для отдельных компьютеров и пользователей в разделах User Configuration и Computer Configuration (большинство настраиваемых параметров находится в разделе User Configuration). Вот далеко не полный список настроек:

  • изменение внешнего вида интерфейса браузера;
  • назначение специальных URL для избранных страниц, поисковой страницы и домашней страницы;
  • выбор стандартных программ для таких задач, как электронная почта и работа в тематических конференциях;
  • управление зонами безопасности и рейтингом контента;
  • настройка соединений для локальной сети и коммутируемого доступа.

Можно также ограничить доступ пользователей к определенным параметрам IE, элементам меню и страницам настройки для унификации и повышения безопасности. Полезно уделять время чтению вкладки Explain для настраиваемых параметров, чтобы избежать недоразумений при их отключении или активизации. В XP SP2 значительно увеличено число параметров безопасности IE, управляемых через Group Policy. Среди новшеств — анализ MIME в реальном времени (sniffing), повышение зонального уровня безопасности, ограничения установки элементов ActiveX и загрузки файлов, управление модулями расширения.

Параметры:

Computer Configuration Administrative Templates Windows Components Internet Explorer

User Configuration Administrative Templates Windows Components Internet Explorer

10 Software Installation Policy для автоматизированного развертывания приложений.

Установка и обслуживание программного обеспечения — часть функциональности IntelliMirror компании Microsoft, и управлять обеими процедурами можно через Group Policy. Настраивая параметры в редакторе GPE, администратор может опубликовать или связать приложение с пользователями или компьютерами. Функции установки и обслуживания программного обеспечения работают с программами, в которых используется технология Windows Installer (то есть файлы .msi). Конечно, технология Windows Installer используется для установки таких приложений Microsoft, как Office. Это значит, что администратор может связать Office с группой пользователей или компьютеров, и приложение будет развернуто автоматически. С помощью msi-трансформаций можно подготовить специальные процедуры установки и отсортировать группы безопасности, чтобы применить специальную установку к определенным категориям пользователей. Конечно, с помощью функций установки и обслуживания программ можно развернуть XP SP2. Файл Update.msi XP SP2 можно назначать только компьютерам, но не пользователям. Более подробная информация приведена в статье Microsoft «Best Practices for Using Update.msi to deploy Service Packs», http://www.support.microsoft.com/?kbid=278503.

Параметры:

User Configuration Software Installation

Computer Configuration Software Installation

Правильная политика

Если одни политики достаточно просты, то для применения других, например Folder Redirection, требуются подготовка и тестирование. Создавать политики лучше всего в ходе решения конкретной задачи или подготовки конкретной службы. При этом нужно определить параметры, относящиеся к поставленной задаче. Рекомендую прочесть описание на вкладке Explain при просмотре свойств параметра в редакторе GPE, чтобы полностью понять влияние параметра на поведение системы после его активизации. И наконец, перед применением политики в производственной среде необходимо выполнить исчерпывающее тестирование как результатов изменения параметра в GPO, так и способов выбора целевых компьютеров и пользователей.


Pедактор Windows IT Pro. С ним можно связаться по адресу: eroth@winnetmag.com