|
|
- Что такое групповые политики? Эффективное
функционирование ни одной многопользовательской операционной системы
невозможно без четкого разграничения доступа к ресурсам. Одним из средств,
позволяющих настраивать параметры безопасной работы пользователей в
сети в операционных системах Windows, являются политики безопасности.
В предыдущих версиях Windows NT Server политика безопасности домена
хранилась в базе данных Диспетчера учетных записей безопасности
SAM (Security Accounts Manager). Политика состояла из дескриптора
безопасности, предоставляющего доступ к выполнению операции (таких,
например, как создание учетной записи и просмотр учетных записей) и
свойств, описывающих политики в отношении паролей и блокировки
учетных записей пользователей. Локальная политика хранилась
в базе данных политик и состояла из информации о привилегиях пользователей
и конфигурации аудита. Она реплицировалась между контроллерами домена,
поэтому все контроллеры получали одинаковые настройки аудита и привилегий.
Политика домена действовала в отношении всего домена, но не могла быть
общей для нескольких доменов. Дополнительное управление политиками могло
быть осуществлено с помощью членства пользователей в группах.
- Объекты групповой политики (GPO)
- Оснастка Групповая политика (Group Policy)
- Схема именования GPO и его структура
- Узел Конфигурация компьютера (Computer
Configuration)
- Узел Конфигурация пользователя (User
Configuration)
- Расширения оснастки Групповая политика
- Административные шаблоны (Administrative
Templates)
- Параметры безопасности (Security Settings)
С помощью расширения Параметры безопасности в GPO можно
определить параметры политики безопасности, определяющие различные аспекты
работы системы безопасности Windows 2000. Созданная в объекте групповой
политики конфигурация воздействует на все компьютеры, находящиеся в
контейнере, к которому присоединен данный GPO.
- Установка программ (Software Installation)
Оснастка Установка программ предназначена для организации
централизованного управления установкой программного обеспечения на
компьютеры сети Windows 2000. Она позволяет настроить два режима установки
ПО на группу компьютеров , или для группы пользователей — назначение
(assignment) и публикация (publishing). Назначение ПО
группе пользователей или компьютеров предполагает, что все пользователи,
которым необходима данная программа, будут автоматически получать ее
без привлечения администраторов или технического персонала. Если для
приложения установлен принудительный режим, ярлык, соответствующий данной
программе, появляется в меню Пуск, а в реестр заносится информация о
данном приложении, включая местоположение пакета и других файлов, необходимых
для установки данного ПО. При первом обращении пользователя к ярлыку
соответствующее программное обеспечение устанавливается и запускается.
- Сценарии (Scripts)
- Перенаправление папки (Folder Redirection)
- Расширения остнастки Групповая политика
на стороне клиента Некоторым расширениям оснастки Групповая
политика, находящимся на сервере, соответствуют расширения, работающие
у клиента. Они предназначены, для отработки настроек групповых политик
на клиентских компьютерах. Расширения, работающие на стороне клиента,
представляют собой модули DLL (табл. 27.1), загружаемые в операционной
системе клиентского компьютера по требованию в процессе отработки настроек
групповых политик. При загрузке операционная система запрашивает список
доступных объектов групповой политики. Затем последовательно просматриваются
существующие расширения на стороне клиента и определяется, имеют ли
они какие-либо данные в доступных GPO. Если расширение на стороне клиента
имеет данные в каком-нибудь из доступных объектов групповой политики,
оно вызывается с параметром — списком объектов групповой политики, которые
необходимо обработать.
- Хранение GPO
- Обьекты GPO и Active Directory
- Локальные GPO
- Подкаталоги шаблона групповых политик
- Порядок применения групповых политик
- Применение групповых политик на клиентской стороне
Периодичность применения групповых политик на клиентской
стороне во многом определяется пропускной способностью канала, по которому
клиент обменивается информацией с серверами сети. При работе по медленному
каналу администратор может увеличить период применения групповых политик.
Если система обнаружила, что клиент присоединен по низкоскоростной линии,
устанавливаются соответствующие флаги, влияющие на применение групповых
политик. По умолчанию при наличии медленного канала загружаются только
настройки узлов Административные шаблоны и Параметры безопасности.
Однако с помощью специальных настроек можно регулировать работу
расширений оснастки Групповая политика на клиентской стороне.
- Настройка групповых политик на автономном компьютере
- Блокирование локальных учетных записей
- Настройка безопасности для раздела реестра
- Настройка безопасности для всего диска С:
- Настройка групповых политик компьютера в домене
- Создание объектов политики безопасности в Active
Directory
- Работа с групповыми политиками домена
- Указание контроллера домена, выбираемого оснасткой
Групповая политика по умолчанию
Определить, какой контроллер домена (Domain Controller, DC)
выбирается по умолчанию оснасткой Групповая политика при работе
с GPO, можно двумя способами: указать это в самой оснастке Групповая
политика или установить политику выбора контроллера домена (см. следующий
раздел). В первом случае необходимые установки выполняются с помощью
команды DC Options.
- Настройка политики выбора контроллера домена
- Использование групп безопасности
- Ограничение влияния настроек групповой политики
- Делегирование управления объектами групповой
политики
- Инструменты настройки безопасности
- Оснастка Шаблоны безопасности (Security
Templates) Редактор
шаблонов безопасности реализован в виде оснастки ММС. Он предназначен
для создания и редактирования текстовых файлов конфигурации безопасности
операционной системы Windows 2000. Такие файлы значительно легче переносятся
с одной системы на другую, чем соответствующие им базы данных безопасности.
Созданные при помощи оснастки Шаблоны безопасности текстовые
файлы хранятся на жестком диске и при необходимости могут быть импортированы
в базу данных безопасности. В этом случае все хранимые настройки безопасности
начнут действовать.
- Загрузка оснастки Шаблоны безопасности
- Просмотр и редактирование шаблона безопасности
- Утилита командной строки secedilt Утилиту
secedit.exe можно использовать из командной строки или с Диспетчером
задач для активизации и анализа некоторой конфигурации безопасности.
Secedit.exe загружает в локальную базу данных настройки безопасности,
определенные в шаблоне.
- Oснастка Анализ и настройка безопасности
(Security Configuration and Analysis)
- Создание личной базы данных и анализ компьютера
- Просмотр результатов анализа
- Установка новой политики безопасности системы
с помощью шаблона
- Анализ нарушений политики безопасности системы
|