Новые возможности групповых политик в Windows Server

ГЛАВА 13
Групповые политики
Механизм групповых политик (group policy) является важнейшим средством
для конфигурирования параметров безопасности системы, управления пользовательской средой и приложениями. В первую очередь их эффективность
проявляется в доменах Active Directory, где групповые политики позволяют
реализовать концепцию централизованного администрирования систем и
пользователей.
В этой главе рассматриваются особенности реализации и принципы работы с
групповыми политиками в системах Windows Server 2008, использующихся автономно (в составе рабочих групп) или входящих в домены Active Directory.
Новые возможности групповых политик
в Windows Server 2008
В плане реализации механизма групповых политик системы Windows Server
2008 имеют много общего с Windows Vista, поскольку ядро систем разрабатывалось в рамках одного проекта. Усилия разработчиков были направлены
на расширение возможностей групповых политик по управлению системными компонентами и приложениями, а также на упрощение использования политик в многоязыковой среде.
В системах Windows Server 2008 свыше 3000 групповых политик (почти в
два раза больше, чем в предыдущих серверных версиях Windows). Бóльшая
часть новых политик (около 80%) относится к области безопасности.
Перечислим далее основные принципиально новые возможности групповых
политик в Windows Vista/Windows Server 2008 и в первую очередь те, которые интересны при использовании компьютеров в доменной среде. Некото-
214
Часть II. Использование системных приложений и служб
рые средства групповых политик были реализованы уже в предыдущих версиях Windows, однако в Windows
Vista/Windows Server 2008 они заметно модернизированы и расширены.
Новый формат и возможности файлов административных шаблонов
(ADMX)
В системах Windows более ранних версий, чем Windows Vista/Windows Server 2008, описания регистровых групповых политик хранятся в текстовых файлах административных шаблонов, которые называются ADM-файлами.
В системах Windows Vista/Windows Server 2008 для хранения описаний политик используется новый формат шаблонов — Administrative Template Files, ADMX, который базируется на спецификации XML.
ADMX-файлы делятся на две группы: не зависящие от языка, используемого в системе, и зависимые от языка. Этот
подход позволяет администраторам легко выбирать язык, используемый в работе, и одни и те же параметры групповых политик могут без проблем редактироваться на различных языках.
В доменах ADMX-файлы не хранятся на томе SYSVOL. Это позволяет уменьшить трафик репликации содержимого тома за счет уменьшения размера объектов групповой политики (GPO).
Средства администрирования групповых политик позволяют работать как со старыми ADM-файлами, так и с новым форматом ADMX. Это обеспечивает гибкость при работе администратора в разных версиях Windows. Однако для администрирования политик, использующих ADMX, необходим компьютер с операционной системой не
ниже Windows Vista.
Дополнительные области
контролируемых параметров
Помимо предпочтений (preferences), появились новые группы параметров, которыми можно управлять с помощью "традиционных" групповых политик. Среди них отметим следующие функции и средства (управление некоторыми из них было возможно и в предыдущих версиях Windows, но в Windows Vista/Windows Server 2008 появились дополнительные политики):
антивирусная защита;
управление электропитанием;
установка устройств (таких как USB-накопители, CD- и DVD-приводы и другие сменные носители);
встроенный брандмауэр Windows (Windows Firewall);
новые возможности браузера Internet Explorer 7.0;
назначение принтеров с учетом местоположения;
установка драйверов устройств (делегирование рядовым пользователям возможности установки драйверов
для принтеров);
Глава 13. Групповые политики
215
средства защиты доступа к сети (Network Access Control (NAP) и др.);
беспроводные сети;
доступ к панелям инструментов, панели задач, меню Start (Пуск) и т. д.;
службы терминалов (Terminal Services);
Рис. 13.1. Новые области действия групповых политик систем
Windows Vista и Windows Server 2008
планшетные компьютеры (Tablet PC);
управление учетными записями (User Account Control, UAC);
средства диагностики и решения проблем.
Некоторые новые области групповых политик можно видеть на рис. 13.1.
216
Часть II. Использование системных приложений и служб
Гибкость при работе в разных сетях (NLA)
Механизм Network Location Awareness (NLA) позволяет групповым политикам гибко реагировать на изменение
сетевой конфигурации компьютера и доступности ресурсов, что особенно важно для мобильных пользователей.
Благодаря механизму NLA групповые политики могут точно определить момент готовности сети или сетевого
адаптера и изменять свое поведение. Это касается и наличия или отсутствия связи с контроллерами домена. Применение групповых политик возможно даже при блокировке протокола ICMP брандмауэром или корпоративным
сетевым экраном.
Служба Group Policy Client
В системах Windows Vista и Windows Server 2008 механизм групповых политик полностью изолирован от службы Winlogon, что обеспечивает более надежную работу и самой системы, и групповых политик. Для этого появилась новая служба — Group Policy Client (Клиент групповой политики, сервис gpsvc). Новый подход дает некоторые дополнительные преимущества:
в системе могут устанавливаться новые файлы групповых политик, при этом не требуется перезагрузка опера-
ционной системы;
работа групповых политик более эффективна, поскольку расходуется меньше ресурсов, используемых в фоно-
вом режиме;
уменьшается размер занятой памяти и повышается общая производительность.
Системные события и журналы
Благодаря наличию новой самостоятельной службы Group Policy Client (Клиент групповой политики) упрощается регистрация событий, связанных с применением групповых политик. Это позволяет упростить локализацию
ошибок и повысить информационную ценность записей в журнале событий.
Возможность создания нескольких локальных объектов групповой
политики
В системах Windows Vista/Windows Server 2008 может существовать несколько локальных объектов групповых
политик — это уникальная для систем Windows возможность, которая упрощает управление средой в тех случаях, когда компьютер используется несколькими пользователями. Отдельные политики могут назначаться разным
локальным пользователям или встроенным группам. Например, для рядовых пользователей компьютеров и для
администраторов можно установить различные групповые политики. Администраторы систем могут вообще отключить применение параметров локальных групповых политик для своих учетных записей. Использование этой
возможности будет описано далее.
Глава 13. Групповые политики
217
Улучшенное управление браузером
Internet Explorer
Новая версия браузера Internet Explorer 7.0, включенная в состав Windows Vista/Windows Server 2008 и устанавливаемая в предыдущих версиях Windows, полностью управляется с помощью групповых политик (в особенности это касается всех новых возможностей браузера) (рис. 13.2). Теперь параметрами браузера можно управлять
централизованно, без необходимости установки расширения Internet Explorer Maintenance (IEM) или пакета
Internet Explorer Administration Kit (IEAK).
Оснастка Group Policy Management
Оснастка Group Policy Management1 (Управление групповой политикой, gpmc.msc) (рис. 13.3) позволяет централизованно управлять объектами групповых политик в многодоменных лесах Active Directory, упрощая многие
рутинные операции, а также сохранять, восстанавливать и переносить GPO-объекты. Ранее эту оснастку можно
было скачать дополнительно с веб-сайта Microsoft, теперь она является штатным компонентом систем Windows
Server 2008. Ее возможности можно использовать из административных сценариев. Новая версия оснастки позволяет работать с новым форматом описания политик — ADMX-файлами.
1
Она также называлась Group Policy Management Console.
Часть II. Использование системных приложений и служб
218
Рис. 13.2. Политики, управляющие работой браузера Internet Explorer
Среди самых важных операций, которые можно выполнять с помощью оснастки Group Policy Management
(Управление групповой политикой), отметим следующие:
создание, привязка (управление связями, links) и удаление GPO-объектов, а также выбор объекта для редакти-
рования;
просмотр значений параметров GPO-объектов;
управление наследованием, блокировкой и запретом переопределения GPO-объектов;
определение результирующей политики (RSoP-данных) в режиме ведения журнала (logging mode) и в режи-
ме планирования (planning mode);
документирование свойств GPO-объектов и значений заданных в них политик;
создание архивных копий GPO-объектов, восстановление объектов из архивов, а также их копирование;
Рис. 13.3. Окно оснастки Group Policy Management
импорт групповых политик в указанный GPO-объект;
управление разрешениями на GPO-объекты и определение групп безопасности, к которым применяется GPO-
объект (фильтрация групп);
Глава 13. Групповые политики
219
управление WMI-фильтрами;
создание сценариев, позволяющих управлять GPO-объектами.
В системах Windows Server 2008 оснастка Group Policy Management (Управление групповой политикой) является единственным инструментом для манипулирования доменными объектами групповой политики (если не считать оснастки Group Policy Object Editor (Редактор объектов групповой политики), позволяющей редактировать
параметры конкретного выбранного GPO-объекта). Отсутствует возможность, как в Windows Server 2003, работать с политиками в окне оснастки Active Directory Users and Computers (Active Directory — пользователи и
компьютеры) — вызывать редактор групповых политик, управлять блокировкой, наследованием и т. п. — теперь
соответствующая вкладка в свойствах объектов доменов и подразделений отсутствует.
Оснастка Group Policy Management (Управление групповой политикой) может устанавливаться как компонент
на любом сервере (для этого нужно воспользоваться оснасткой Server Manager (Диспетчер сервера) — см. главу 3);
она запускается из меню Administrative Tools (Администрирование), а также появляется в списке компонентов в
окне оснастки Server Manager (Диспетчер сервера). На контроллерах домена оснастка устанавливается автоматически, при повышении роли сервера.
В окне оснастки Group Policy Management (Управление групповой политикой) представлены все контейнеры
(домены, подразделения, сайты), существующие в лесу доменов, и имеются следующие папки:
Domains (Домены). Здесь содержатся имена всех доменов (видимостью которых можно управлять с помощью
команды Show Domains (Показать домены)) и всех подразделений, входящих в домен (непосредственно в
этой папке можно создавать и новые подразделения). (В качестве дочерних объектов каждое подразделение
имеет список привязанных к нему GPO-объектов.) Кроме того, имеется папка Group Policy Objects (Объекты
групповой политики), в которой перечислены все GPO-объекты, созданные в конкретном домене, а также папка WMI Filters (Фильтры WMI), где можно видеть описания всех имеющихся в домене фильтров;
Sites (Сайты). Вполне очевидно, что здесь находится список сайтов и привязанных к ним GPO-объектов (если
таковые имеются);
Group Policy Modeling (Моделирование групповой политики). В эту папку помещаются все результаты
запросов RSoP-данных, полученные в режиме планирования (planning mode);
Group Policy Results (Результаты групповой политики). В эту папку помещаются результаты запросов RSoP-
данных, полученные в режиме ведения журнала (logging mode).
Все команды, имеющиеся для некоторой выбранной папки или для GPO-объекта, можно видеть в контекстном
меню или в меню Action (Действие).
Если выбрать некоторое подразделение, то в правой половине окна оснастки на вкладке Linked Group Policy
Objects (Связанные объекты групповой политики) указаны GPO-объекты, непосредственно привязанные к этому
подразделению, а на вкладке Group Policy Inheritance (Наследование групповой политики) хорошо видна
иерархия GPO-объектов: т. е. список всех объектов, действие которых — согласно принципу наследования —
распространяется на выбранное подразделение. GPO-объект с наименьшим номером будет самым приоритетным
(т. е. его параметры могут переопределить параметры политик, заданные во всех других GPO-объектах).
Часть II. Использование системных приложений и служб
220
Начальные объекты групповой политики
(Starter GPO)
Начальные, или стартовые, объекты групповой политики (Starter GPO) являются "шаблонами", которые можно
использовать впоследствии при создании новых GPO-объектов. Они содержат только политики для компьютера и пользователей, входящие в состав узла Administrative Templates (Административные шаблоны) (см.
далее). Если в окне оснастки выбрать узел Starter GPOs (Начальные объекты групповой политики), то вначале
содержимое узла отсутствует, и отображается кнопка Create Starter GPOs Folder, нажав которую, можно создать папку для хранения начальных GPO-объектов (рис. 13.4).
Рис. 13.4. Панель запуска операции по созданию начального GPO
Все операции по работе с начальными GPO-объектами — редактирование, архивация и восстановление — не отличаются от обычных манипуляций с GPO-объектами (невозможна лишь привязка GPO-объекта к контейнерам
каталога Active Directory). При создании нового GPO-объекта можно указать, какой начальный объект берется за
основу (рис. 13.5) — все заданные в нем параметры сразу будут перенесены в новый GPO-объект.
Глава 13. Групповые политики
221
Рис. 13.5. Выбор начального GPO-объекта
при создании нового объекта групповой политики
Предпочтения (Preferences)
В доменах Active Directory на базе серверов Windows Server 2008 имеются расширения обычных групповых политик, названные предпочтениями (preferences) (рис. 13.6). (Предпочтения имеются только в доменных GPOобъектах!) С помощью предпочтений можно конфигурировать рабочую среду клиентских компьютеров, причем
имеются механизмы фильтрации, позволяющие точно указывать, на какие системы будут распространяться действия политик (в Windows Server 2003 аналогичные действия могут выполнять WMI-фильтры).
Предпочтения (а их около двух десятков — см. примеры на рис. 13.6) могут действовать по отношению к
компьютерам и/или пользователям и распространяются на клиентские компьютеры, работающие под управлением систем Windows XP Service Pack 2, Windows Server 2003 Service Pack 1 и более поздних.
ПРИМЕЧАНИЕ
Действия, выполняемые с помощью предпочтений, можно реализовать с помощью административных сценариев,
подключаемых к GPO-объектам. Однако предпочтения использовать намного удобнее, а также проще контролировать набор заданных действий.
Назначение и способы использования предпочтений проще всего понять на примерах. Рассмотрим два случая.
Часть II. Использование системных приложений и служб
222
Рис. 13.6. Папки предпочтений в доменном GPO-объекте
Создание ярлыка для элемента оболочки
Мы хотим, чтобы у всех пользователей, подпадающих под действие некоторого доменного GPO-объекта (в нашем примере выбрана политика всего домена), на рабочем столе отображался ярлык для программы Windows
Defender.
Для этого нужно выполнить следующие действия:
1. Открыть GPO-объект для редактирования.
2. В конфигурации пользователя открыть папку Preferences | Windows Settings | Shortcuts (Настройка | Конфигура-
ция Windows | Ярлыки) (см. рис. 13.7).
3. В правом окне щелкнуть правой кнопкой мыши и выполнить команду New | Shortcut (Создать | Ярлык).
4. В окне параметров предпочтения задать нужные параметры (рис. 13.7). Как минимум, необходимо указать
имя предпочтения (поле Name), тип объекта (раскрывающийся список Target type), местоположение ярлыка
(список Location; в нашем примере выбран рабочий стол) и целевой объект (поле Target object; для выбора
объекта1 нужно нажать кнопку справа от поля). Также можно указать значок для ярлыка (поле Icon file path).
1
Выбирать всегда можно только те объекты, которые имеются на компьютере, где запущена оснастка.