То, что значительное число ИТ-специалистов ощущает определенную беспомощность в отношении Group Policy, хотя и пользуется этой технологией, удивило представителей NetIQ — поставщика решений Group Policy. Эта компания провела опрос среди ИТ-специалистов, чтобы получить представление об особенностях их работы с Group Policy. ИТ-специалистов, испытывающих затруднения при работе с Group Policy, оказалось 22%. По словам старшего менеджера по маркетингу продуктов в NetIQ Саши Дауэс, этот показатель свидетельствует об отсутствии собственных доступных инструментов управления Group Policy, в частности о нехватке средств управления изменениями.
В беседе с журналистами Windows IT Pro осенью 2007 г. Дауэс отметила, что 58% участников рассказали о непредвиденных простоях в работе, связанных с изменениями Group Policy, и о том, что в таких случаях диагностика неисправностей занимала от 45 минут до 6 часов. Более половины опрошенных указали на отсутствие системной настройки для оповещения о проблемах Group Policy — их «стратегия» заключается просто в ожидании очередного инцидента.
Специалисты, поставщики решений и пользователи Group Policy единодушны в том, что эта технология может создавать массу проблем, если ее применять не так, как нужно. Их мнения не всегда совпадают, когда речь идет о роли Microsoft в управлении этой технологией, а также о том, кто из поставщиков решений способен заполнить существующие пробелы. Также высказывались различные точки зрения по поводу ожидаемого влияния Group Policy Preferences (итог приобретения Microsoft компании DesktopStandard) на рынок инструментальных средств Group Policy.
Однако большинство участников опроса единодушно считают, что даже те, кто еще не использует Group Policy, будут работать с этой технологией. Вспомним вкратце историю развития Group Policy и посмотрим, каким образом Microsoft и сторонние поставщики стремятся облегчить обнаруженные затруднения.
Group Policy — прошлое и настоящее
Group Policy — это инструмент Windows, позволяющий управлять компьютерами и работой мобильных пользователей в среде Active Directory (AD). Эту технологию активно используют в крупных компаниях и более мелких организациях, например в школах и библиотеках, где она позволяет ограничивать действия пользователей и повышать уровень безопасности.
Работа с Group Policy предполагает задание настроек и их сохранение в объектах групповой политики — GPO. Объекты GPO создаются и редактируются с помощью двух инструментов — редактора Group Policy Object Editor (GPE), который позволяет создавать и редактировать одну настройку за раз, и консоли Group Policy Management Console (GPMC), позволяющей создавать и редактировать несколько настроек одновременно. Созданный объект GPO привязывается к сайту AD, домену или, что более типично, к организационному блоку (OU). Затем клиент Group Policy извлекает список GPO, соответствующий данному компьютеру или зарегистрированному пользователю, и применяет эти объекты. Объекты GPO обеспечивают применение настроек и ограничений системы безопасности в данной организации и предотвращают их нарушение пользователями.
В ходе проведенного компанией NetIQ опроса выяснилось, что неожиданно большое число ИТ-отделов использует Group Policy как способ сократить объем написания сценариев. Однако более распространено применение этой технологии для управления конфигурацией и реализации серверной политики безопасности и защиты на клиентском уровне. Польза Group Policy очевидна; что же тогда так затрудняет освоение этой технологии?
Заметим, что развитие Group Policy началось в Windows 2000 с 500 настроек. По словам ведущего руководителя программы Group Policy Кевина Салливана, здесь можно изрядно поломать голову. «С Windows XP Service Pack 2 (SP2) появилось 800 дополнительных настроек. С Vista — уже 3000. И еще гораздо больше ожидается в 2008 г.», — рассказывает он.
Даррен Мар-Элиа из компании SDM Software поясняет: «Создатели Group Policy построили механизм и сформировали структуру, но не установили стандарт. Поэтому каждая группа по разработке продуктов действовала по-своему». Салливан излагает точку зрения Microsoft: «Группа Group Policy не решает, чем необходимо управлять, например, в Windows Media Player, но мы помогаем этим группам и исследуем опыт применения Group Policy».
С приобретением компании DesktopStandard в 2006 г. Microsoft, по крайней мере, упростила саму технологию в части Group Policy. Продукт GPOVault Enterprise от DesktopStandard под новым названием Advanced Group Policy Management (AGPM) выпущен в составе пакета Microsoft Desktop Optimization Pack (MDOP) для Software Assurance (SA) в июле 2007 г. AGPM позволяет управлять объектами GPO и предусматривает функции управления изменениями (например, возможность загрузки измененных объектов GPO и их извлечения для редактирования), способность сравнивать две версии GPO и ролевое делегирование функций. Microsoft осуществляет интеграцию технологий PolicyMaker Standard Edition, Share Manager и Registry Extension от DesktopStandard в GPMC под новым названием Group Policy Preferences. Эти технологии планируется включить в Windows Server 2008, они будут доступны для загрузки в Windows Vista SP1 как часть набора инструментов для администрирования удаленного сервера — Remote Server Administration Toolkit (RSAT).
Два производителя, чьи продукты не пересекаются с предложениями Microsoft, относящимися к Group Policy, положительно оценивают выпуск новых инструментов. По словам СЕО и основателя компании Special Operations Software (Specops) Торбьорна Сьоволда, Microsoft более чем удвоила число расширений политики групп с выпуском Group Policy Preference Extensions (GPPE). «Это хороший показатель, свидетельствующий о том, что Microsoft верит в Group Policy и сохраняет приверженность этой технологии», — комментирует он. Джон Мойер, СЕО компании BeyondTrust, добавляет: «Возможности, предлагаемые Microsoft в Group Policy Preferences, сделают технологию Group Policy полезной для более широкого круга потребителей и будут способствовать стандартизации настольных систем».
По словам Салливана, Group Policy Preferences позволяет достичь большей гибкости. Администратор может создавать образ и разворачивать его на системах пользователей, а те в свою очередь могут менять некоторые привилегии, если администратор позволяет это делать. Салливан отмечает практичность возможности помечать GPO с помощью содержащих комментарии настроек. Еще одна возможность Group Policy Preferences — так называемые «стартовые GPO». Имеется в виду архитектура, поддерживающая базовое приложение. Можно создать стартовый GPO с заранее заготовленными настройками, которые могут использоваться другим администратором в качестве отправной точки для построения нового GPO.
Старший менеджер продуктов Windows Client Manageability в Microsoft Джейсон Лезнек добавляет: «Еще одна возможность Group Policy Preferences — усовершенствованные средства целевого ориентирования. Можно установить фильтр инструментария управления Windows (Windows Management Instrumentation, WMI) в среде графического интерфейса. Можно использовать флаговые кнопки; задавать ситуации для настроек и предусматривать несколько настроек для одного GPO.
Как утверждает Салливан, Microsoft пошла на функциональные изменения исходя из интересов потребителей и при этом не задевая интересов партнеров. «Group Policy Preferences расширяет прикладные возможности, — отмечает Салливан. — Партнеры могут присоединяться и вносить свои дополнения и усовершенствования вплоть до ядра».
Сторонние решения
Предложения сторонних производителей можно разделить на две группы — те, что расширяют возможности Group Policy, и те, что облегчают управление ими.
Инструменты, расширяющие возможности Group Policy. В эту категорию попадают инструменты, предоставляющие дополнительные функции политики групп, например функции развертывания программных продуктов и учета ресурсов. В этой группе фигурируют два поставщика — BeyondTrust и Specops.
BeyondTrust, используя концепцию наименьшей привилегии, облегчает администраторам настройку приложений для работы на настольных системах. «Мы получаем приложения, требующие административных привилегий для выполнения на настольных системах, где административные привилегии отсутствуют», — сказал Джон Мойер, отмечая влияние недавнего указания Административно-бюджетного управления США. «Федеральные ведомства должны переходить на стандартные конфигурации для Vista и XP, что означает отказ от локальных административных учетных записей, — считает он. — Локальная административная учетная запись подрывает все настройки и портит результаты работы администраторов с применением Group Policy. Очевидна необходимость применения этой концепции при разработке новых продуктов и версий».
Компания Specops, бывший стратегический партнер DesktopStandard по Group Policy, предлагает продукты, не пересекающиеся ни с предложениями DesktopStandard, ни с предложениями Microsoft. Торбьорн Сьоволд утверждает, что, помимо DesktopStandard, компания Specops — фактически единственный фигурант среди независимых поставщиков расширений групповой политики в том, что касается предложения Microsoft — Group Policy Preferences.
Инструменты, расширяющие возможности Group Policy:
-
BeyondTrust Privilege Manager — дает администраторам возможность использовать Group Policy для настройки приложений, что позволяет осуществлять их запуск без административных привилегий. Этот инструмент предусматривает возможность работы как с включенной, так и с выключенной функцией User Account Control (UAC).
-
FullArmor Endpoint Policy Manager — используя существующую в организации инфраструктуру Group Policy, обеспечивает управление в реальном времени и применение настроек параметров конечных устройств, доставляя настройки Group Policy на клиентские компьютеры, часто не имеющие связи с доменом; кроме того, этот инструмент обеспечивает контроль соответствия требованиям и отчетность.
-
FullArmor GPAnywhere — позволяет администраторам создавать правила для мобильных устройств на базе настроек Group Policy и настроек, выполняемых инструментом IntelliPolicy for Clients, что обеспечивает применение правил для устройств за пределами AD.
-
Specops Command — объединяет Windows PowerShell с Group Policy, что позволяет выполнять сценарии PowerShell на любом числе компьютеров.
-
Specops Deploy — использует клиентское расширение (CSE) Group Policy, замещающее встроенную функцию развертывания программ Group Policy (GPSI) в Windows.
-
Specops Inventory — использует Group Policy для получения подробных данных, позволяющих отслеживать информационные ресурсы Windows.
-
Specops Password Policy — устраняет ограничение, связанное с единственной политикой паролей на один домен в Group Policy.
Инструменты управления Group Policy. К этой категории относятся инструменты, ориентированные на определенные функции управления, например диагностику неисправностей, отчетность и защиту, и инструменты, обеспечивающие выполнение множества функций управления всестороннего характера. Дарен Мар-Элиа применительно к Group Policy представляет свои продукты распределенными по трем категориям: диагностика неисправностей, управление и отчетность. «Первое, что необходимо, — это инструмент диагностики неисправностей», — считает он. Второй продукт воплотил идею, задуманную уже давно. Для редактирования GPO был необходим Group Policy Editor (GPE); Microsoft предложила консоль управления Group Policy Management Console (GPMC) с некоторыми возможностями разработки сценариев, но с ориентацией на GPO. Мар-Элиа решил создать комплект Group Policy Software Development Kit (SDK) и раскрыть настройки. В результате был создан пакет разработки сценариев.
Мар-Элиа назвал два готовых к выпуску дополнительных продукта. Один из них — Group Policy Backup and Recovery. «Консоль GPMC предусматривает резервное копирование и восстановление данных как второстепенное дополнение. Мы хотим создать решение, ориентированное на обеспечение корпоративной прочности, с привязкой к резервному копированию и восстановлению», — рассказывает он. Другой продукт — Desktop Policy Manager на основе пакета разработки сценариев. С его помощью предприятия малого и среднего бизнеса могут управлять политикой групп через Web-интерфейс, который обеспечивает пользователю руководство в процессе задания настроек и профильное представление. По словам Мар-Элиа, это скрывает процесс компоновки связей: «Вместо нескольких тысяч настроек пользователь видит лишь дюжину. Ни к чему видеть сложность GPMC — мы ограждаем пользователей от этого».
По словам технического директора компании NetPro Джила Киркпатрика, небольшие организации лишь начинают экспериментировать с Group Policy. Из беседы с представителями малого и среднего бизнеса на тему резервного копирования и восстановления данных AD выяснилось, что лишь очень немногие используют Group Policy, поскольку эта технология кажется слишком сложной. Однако Киркпатрик считает, что малые предприятия будут осваивать Group Policy. По его словам, в прошлом разработчики инструментов управления не ориентировались на малый и средний бизнес и не были интуитивно понятными. «Microsoft создала качественные службы платформы, после чего сделала плохой интерфейс и предоставила его независимым поставщикам программного обеспечения на доработку», — говорит он. Инструменты NetPro распространяются на сферу AD и включают специальные средства управления Group Policy, такие как GPOADmin. Пока предприятиям еще нельзя полностью полагаться на продукты NetPro, хотя дополнительные предложения ожидаются.
Работа с Group Policy, по словам Киркпатрика, должна быть управляемой и стандартизированной. «Кроме того, необходимо иметь возможность делегировать функции создания и настройки Group Policy. Собственные инструменты не позволяют делегировать возможности управления Group Policy», — считает он.
Относительно недавно выпущенной Microsoft версии продукта DesktopStandard Киркпатрик сказал следующее: «Мы только что выпустили GPOADmin, составлявший конкуренцию продукту DesktopStandard, но Microsoft делит этот продукт надвое». В его понимании это предложение Microsoft мало помогает в отношении управления, но все же имеет хороший пользовательский интерфейс. «Не похоже, чтобы Microsoft решила проблему управления для Group Policy. Независимым поставщикам придется проявить больше новаторства», — заметил он.
Инструменты, облегчающие управление Group Policy:
-
NetIQ Group Policy Administrator — обеспечивает средства управления изменениями GPO, включая автономное управление, управление версиями, управление рабочим потоком и делегирование функций, тиражирование GPO, контроль и отчетность.
-
NetIQ Group Policy Guardian — оповещение администраторов об определенных изменениях Group Policy, детализация и документирование изменений Group Policy, отслеживание изменений.
-
NetPro ChangeAuditor — добавление функции визуализации контроля, помимо собственных регистрационных журналов, с охватом GPO и вложенных групп, в дополнение к средствам контроля в реальном времени и отчетности по изменениям AD, файловой системы и Exchange.
-
NetPro GPOADmin — позволяет автоматизировать задачи управления изменениями путем настройки процессов разрешения рабочих процессов, включая возможности автономного редактирования GPO, снабжения GPO комментариями, отслеживания, управления версиями, резервного копирования, планирования и контроля изменений.
-
Quest Software Quest Group Policy Extensions for Desktops — позволяет использовать Group Policy для осуществления и применения правил безопасности на конечных устройствах и включает инструменты, расширяющие возможности Group Policy по управлению настольными системами, в том числе средства настройки приложений Microsoft Office и дистанционного управления Microsoft Outlook.
-
Quest Software Quest Group Policy Manager — обеспечивает добавление функций управления версиями и нового пользовательского интерфейса к существующему инструменту управления изменениями GPO, включая архивирование и возврат к предыдущему состоянию, многоуровневый процесс разрешения изменений и использование PowerShell для автоматизации заданий управления Group Policy.
-
GPExpert Backup Manager for Group Policy — позволяет управлять резервным копированием и восстановлением GPO и связей GPO в среде AD.
-
SDM Software GPExpert Scripting Toolkit for PowerShell — позволяет автоматизировать управление Group Policy с использованием Power-Shell.
-
SDM Software GPExpert Status Monitor — позволяет администраторам справочной службы поддержки быстро получать информацию о нерабочем состоянии Group Policy путем обращения к журналам регистрации событий настольных систем, где фиксируются успешные и неудачные выполнения обработки Group Policy.
-
SDM Software GPExpert Troubleshooting Pak — облегчает процесс диагностики неисправностей и устранения проблем в работе Group Policy.
Перспективы Group Policy
С приобретением DesktopStandard и с появившимися в результате новыми предложениями, имеющими отношение к Group Policy, Microsoft больше внимания уделяет трудностям конфигурации и управления, досаждающим пользователям Group Policy. По мере того как сторонние поставщики начинают встраивать все больше функций в свои продукты Group Policy, эти инструменты будут способствовать дальнейшему развитию результатов, достигнутых Microsoft.
По словам Сьоволда из компании Specops, возобновленная ориентация Microsoft на Group Policy должна послужить стимулом для привлечения все большего числа независимых поставщиков программного обеспечения к созданию решений поверх Group Policy. С этим согласен и Петер Борегар из компании BeyondTrust: «Мы наблюдаем за деятельностью Microsoft, и это вдохновляет нас в отношении Group Policy». Мар-Элиа из SDM Software также видит пространство для роста: «Существует масса неиспользованного потенциала, т. е. области, где Group Policy могут работать лучше — механизм мог бы быть более устойчивым, отчетность — более надежной и можно еще добавить возможность аварийного переключения на другой ресурс».
Каролин Марвиц - Помощник редактора в Windows IT Pro и SQL Server Magazine. cmarwitz@windowsitpro.com