Операционная система Windows Vista позволяет централизованно управлять большим количеством компонентов и функциональных возможностей по сравнению с Windows Server 2003. Количество параметров групповой политики возросло примерно с 1800 в Windows Server 2003 SP1 до 2500 в Windows Vista и Windows Server 2008. Теперь в Вашем распоряжении свыше 700 новых политик, помогающих контролировать рабочие станции, обеспечивать их безопасность и управлять прочими аспектами корпоративной сети. Этот документ поможет Вам разобраться в новых и обновленных параметрах групповой политики Windows Vista. Вы также найдете в нем рекомендации по развертыванию групповой политики.
Использование групповой политики повышает эффективность работы, поскольку появляется возможность централизованного управления рабочими станциями. В свою очередь централизованное управление снижает совокупную стоимость владения компьютерами в организации (Total Cost of Ownership, TCO). В распределенной вычислительной среде одной из основных составляющих TCO является снижение производительности труда конечных пользователей. Негативное влияние на производительность труда оказывают следующие факторы:
Используя групповую политику, Вы можете повысить производительность труда за счет определения действий, разрешенных пользователям и компьютерам. В совокупности параметры политики позволяют настроить рабочую станцию в соответствии с обязанностями пользователя и его навыками владения компьютером. Применять групповую политику можно не только к пользователям и компьютерам, но и к рядовым серверам, контроллерам домена и любым другим компьютерам с установленной ОС Windows в пределах области управления. Групповая политика, применяемая к домену (т. е. применяемая ко всем объектам, расположенным ниже узла Active Directory – пользователи и компьютеры одноименной оснастки), по умолчанию применяется ко всем пользователям и компьютерам, входящим в домен. В оснастке Active Directory – пользователи и компьютеры имеется встроенное организационное подразделение Domain controllers. Если Вы используете его для хранения учетных записей контроллера домена, Вы можете управлять ими отдельно от других компьютеров, задействовав объект групповой политики Default Domain Controllers Policy. Будучи построена на фундаменте, заложенном в Windows Server 2003 и Windows XP, групповая политика в Windows Vista улучшилась за счет большего количества расширений и параметров, более надежного взаимодействия с сетью и упростившегося администрирования.
С помощью параметров групповой политики Вы можете определять необходимые конфигурации для групп пользователей и компьютеров. Эти параметры указываются в редакторе объектов групповой политики (также известном как GPEdit) и содержатся в объекте групповой политики, который, в свою очередь, связывается с такими контейнерами службы каталогов Active Directory, как сайты, домены и организационные подразделения. В результате параметры групповой политики применяются к пользователям и компьютерам, содержащихся в этих контейнерах Active Directory. Достаточно сконфигурировать пользовательскую среду один раз, и в дальнейшем система автоматически будет поддерживать и контролировать ее надлежащее состояние. Такой подход обеспечивается за счет применения параметров групповой политики к пользователям и компьютерам в вышеуказанных контейнерах службы каталогов Active Directory. Единожды сконфигурировав пользовательскую среду, можно доверить операционной системе Windows Vista контроль над соблюдением заданных Вами политик.
Определяя параметры групповой политики, Вы контролируете поведение Windows и обеспечиваете безопасность пользователей и компьютеров. В следующих разделах Вы найдете описание основных возможностей групповой политики.
Хранение параметров в системном реестре является наиболее распространенной формой применения групповой политики в Windows. Для операционной системы и приложений такие параметры можно задать при помощи редактора объектов групповой политики. Например, в Windows Vista Вы можете определить параметр, добавляющий всем пользователям пункт Выполнить в меню Пуск.
При помощи групповой политики Вы можете задать параметры безопасности для пользователей и компьютеров, на которые распространяются параметры определенного объекта групповой политики. Параметры безопасности можно задать на уровне локального компьютера, домена или сети. Для дополнительной защиты Вы можете применять политики ограниченного использования программ, контролирующие запуск файлов в зависимости от пути, зоны URL, хэша и правил для сертификатов. Для стандартного уровня безопасности можно делать исключения, создавая правила для конкретных программ.
В Windows Vista имеются новые политики ограниченного использования программ, помогающие защитить компьютеры, работающие под управлением Windows XP и Windows Server 2003, от вирусов, нежелательных приложений и атак. Теперь Вы можете идентифицировать работающие в домене программы и контролировать их запуск.
При помощи Windows Vista Вы можете управлять установкой программ и обновлений, а также их удалением с компьютеров пользователей. Поскольку организации могут развертывать собственные конфигурации рабочих станций и управлять ими в дальнейшем, снижаются финансовые затраты на индивидуальную поддержку пользователей. Программное обеспечение может быть либо назначено пользователям и компьютерам (при этом происходит обязательная установка программ), либо опубликовано для пользователей (в этом случае пользователь самостоятельно принимает решение об установке, которая проводится при помощи элемента панели управления Установка и удаление программ). Таким образом, пользователи могут сосредоточиться непосредственно на выполнении своих рабочих обязанностей, не отвлекаясь на настройку операционной системы. Групповую политику можно использовать для развертывания проверенных пакетов. Например, если в строго контролируемой среде пользователи не имеют прав на установку программ, ее может выполнять от их имени установщик Windows. Дополнительным удобством в таких условиях является способность установщика Windows взаимодействовать с политиками ограниченного использования программ, определяющими список приложений, разрешенных к установке.
Вы можете применять сценарии для автоматизации задач, выполняемых при включении и выключении компьютера, а также при входе и выходе пользователя из системы. В сценариях допустимо использование любых языков программирования, поддерживаемых сервером сценариев Windows — VBScript, JavaScript, PERL, а также пакетных файлов (.bat и .cmd).
Политики перенаправления папок позволяют выполнить перенаправление на сервер таких важных пользовательских папок, как Documents и Users. Перенаправленными папками можно централизованно управлять и с легкостью осуществлять их резервное копирование и восстановление в случае необходимости.
На компьютерах, поддерживающих групповую политику, Вы можете управлять конфигурацией обозревателя Microsoft Internet Explorer. В редакторе объектов групповой политики имеется узел Настройка Internet Explorer, где Вы можете конфигурировать зоны безопасности, параметры конфиденциальности и прочие компоненты обозревателя, работающего в Windows 2000 или более новой операционной системе.
В Windows Vista произошли значительные улучшения групповой политики, включая усовершенствования возможностей планирования, подготовки, развертывания, управления, устранения неполадок и ведения отчета о внедрении групповой политики. В этом разделе описаны основные нововведения.
Консоль управления групповой политикой (Group Policy Management Console, GMPC) является оснасткой MMC, поддерживающей сценарии. Консоль служит единым административным средством для управления групповой политикой в организации. Изначально консоль управления групповой политикой предлагалась к загрузке в качестве дополнительного компонента Windows XP и Windows Server 2003. Теперь она встроена в операционную систему и является стандартным средством управления групповой политикой наряду с редактором объектов групповой политики.
Все параметры управления электропитанием теперь можно контролировать с помощью групповой политики, что предоставляет организациям возможность сэкономить значительные финансовые средства. Вы можете сконфигурировать отдельные параметры электропитания или подготовить целый план управления электропитанием для развертывания в организации при помощи групповой политики. Ограничение доступа к устройствам Вы можете централизованно ограничивать установку устройств в организации. Теперь у Вас имеется возможность использовать параметры, контролирующие доступ к приводам CD-RW и DVD-RW, USB дискам и другим съемным носителям.
Параметры групповой политики для брандмауэра Windows и протокола IPSec объединены в оснастка Брандмауэр Windows в режиме повышенной безопасности. Это позволяет Вам задействовать преимущества обеих технологий, избегая создания и сопровождения дублирующих друг друга компонентов. Некоторые сценарии, поддерживаемые объединенными параметрами брандмауэра Windows и протокола IPSec, обеспечивают защищенный обмен данными между серверами через Интернет. При этом ограничение доступа к ресурсам домена осуществляется на основе доверительных отношений или степени защищенности компьютера, а защита обмена данными с определенным сервером – за счет соблюдения особых требований к безопасности и конфиденциальности данных. Улучшенное управление параметрами Internet Explorer Вы можете открывать и редактировать параметры групповой политики обозревателя Internet Explorer, не опасаясь того, что эти параметры будут случайно заимствованы с административной рабочей станции. Это изменение продиктовано тем, что раньше некоторые политики Internet Explorer применялись в зависимости от параметров, заданных на административной рабочей станции – компьютере, используемом для просмотра политик.
Нововведением в Windows Vista является возможность назначать принтеры в зависимости от местоположения пользователей в организации или их географического расположения. Когда мобильные пользователи перемещаются в новое местоположение, групповая политика обеспечивает соответствующее обновление списка доступных принтеров. Вернувшись в основное местоположение, мобильные пользователи вновь видят привычные принтеры, используемые в стандартной конфигурации
Теперь при помощи групповой политики Вы можете делегировать пользователям права на установку драйверов принтера. Эта функциональная возможность помогает обеспечивать безопасность, поскольку происходит лишь ограниченная передача административных привилегий.
Таблицу с обзором новых и расширенных параметров групповой политики Вы можете найти по адресу http://go.microsoft.com/fwlink/?LinkId=54020.
Редактор объектов групповой политики – это оснастка консоли управления Microsoft (MMC), используемая для настройки параметров групповой политики в пределах отдельно взятого объекта групповой политики. В каждом выпуске Windows Vista имеется один или несколько объектов локальной групповой политики (Local Group Policy objects, LGPOs). К таким объектам применение параметров осуществляется вручную при помощи редактора объектов групповой политики или посредством сценариев. В этих объектах содержится меньше параметров, чем в доменных объектах (в частности, это касается параметров безопасности). Если объекты локальной групповой политики сконфигурированы для работы в качестве изолированных клиентских компьютеров, они не будут поддерживать службы удаленной установки, перенаправление папок и установку программного обеспечения посредством групповой политики. Тем не менее, такие объекты можно успешно использовать для обеспечения безопасной вычислительной среды на изолированных компьютерах. Администраторам также требуется возможность быстрого изменения параметров групповой политики для множества пользователей и компьютеров корпоративной сети. В редакторе объектов групповой политики имеется древовидная структура для настройки параметров объекта групповой политики. После настройки объекта его можно связать с сайтами, доменами и подразделениями, содержащими объекты пользователей или компьютеров (смотрите Рисунок 1).
Рисунок 1 – Редактор объектов групповой политики Редактор объектов групповой политики содержит два основных раздела: Конфигурация компьютера и Конфигурация пользователя. Помимо периодического обновления параметров обоих разделов в фоновом режиме параметры раздела Конфигурация компьютера всегда применяются при запуске компьютера, а параметры раздела Конфигурация пользователя — при входе пользователя в систему. Каждые раздел содержит вложенные разделы, объединяющие различные группы политик, такие как Административные шаблоны, Параметры безопасности и Перенаправление папок. Для эффективной работы Вам, безусловно, понадобится удобный доступ к информации о предназначении каждого параметра политики. Для параметров, входящих в административные шаблоны, такая информация предоставляется непосредственно в редакторе объектов групповой политики. Она отображается в расширенном режиме просмотра в качестве описания к параметру. В описании приводятся требования к операционной системе, предназначение параметра, а также подробная информация о том, какой эффект имеет каждое из его состояний: «Не задан», «Включен» и «Отключен».
Консоль управления групповой политикой (Group Policy Management Console, GMPC) входит в состав Windows Vista и является универсальным административным инструментом для управления групповой политикой. Теперь в консоль управления групповой политикой интегрирована функциональность диалоговых окон, имеющихся в административных средствах службы каталогов Active Directory. Результатом этого улучшения стала единая консоль, предназначенная для выполнения задач по администрированию групповой политики. Возможности консоли управления групповой политикой расширились также и за счет ряда других новшеств. Для управления Active Directory Вы продолжите использовать средства администрирования службы каталогов, однако управление групповой политикой теперь полностью сосредоточено в консоли (смотрите Рисунок 2).
Рисунок 2 – Консоль управления групповой политикой
Примечание. Существует две версии консоли управления групповой политикой. |
Важно! Не пытайтесь загрузить и использовать старую версию (1.0) в Windows Vista, поскольку она несовместима с этой операционной системой. |
В Windows Vista для определения параметров политики, хранящихся в системном реестре, используется новый формат. Хранящимся в реестре параметрам политик соответствует раздел «Административные шаблоны» редактора объектов групповой политики. Такие параметры задаются при помощи ADMX-файлов, представленных в стандартизированном формате XML. Эти ADMX-файлы пришли на смену ADM-файлам, использовавшим собственный язык разметки. Одним из основных преимуществ ADMX-файлов является поддержка многоязычной среды, которую не так просто реализовать при помощи ADM-файлов. Инструменты работы с групповой политикой (редактор объектов групповой политики и консоль управления групповой политикой) в целом не изменились, однако теперь они обладают способностью работать с ADMX-файлами. Поэтому в большинстве случаев при выполнении повседневных административных задач Вам не придется работать с ADMX-файлами напрямую. В некоторых ситуациях необходимо понимание структуры ADMX-файлов и знание того, где они хранятся. Инструменты работы с групповой политикой, входящие в состав Windows Vista и Windows Server 2008, способны распознавать ADMX- и ADM-файлы. Аналогичные инструменты Windows Server 2003 и более ранних операционных систем способны распознавать только ADM-файлы. В отличие от ADM-файлов, ADMX-файлы не хранятся в индивидуальных объектах групповой политики. В доменной среде существует возможность создания центрального хранилища ADMX-файлов, доступ к которому предоставляется тем, у кого имеются разрешения на создание или редактирование объектов групповой политики. Инструменты работы с групповой политикой продолжат распознавать ADM-файлы, связанные с существующими объектами групповой политики. Однако будут проигнорированы все ADM-файлы, замещаемые ADMX-файлами: System.adm, Inetres.adm, Conf.adm, Wmplayer.adm и Wuau.adm. Редактор объектов групповой политики автоматически считывает и отображает параметры административных шаблонов, которые основаны на ADMX-файлах, размещенных локально или в необязательном центральном хранилище. Редактор также автоматически отображает параметры административных шаблонов, которые определенны в пользовательских ADM-файлах, размещенных в объекте групповой политики. Кроме того, Вы можете добавлять и удалять собственные ADM-файлы в объект групповой политики, воспользовавшись пунктом контекстного меню Добавление или удаление шаблонов. Все параметры групповой политики, которые в настоящее время имеются в ADM-файлах, поставляемых с операционными системами Windows Server 2003, Windows XP и Windows 2000, будут также доступны и Windows Server 2008.
Если Вы администрируете смешанную вычислительную среду, в которой компьютеры работают под управлением Windows Vista, Windows XP и Windows 2000, Вам необходимо помнить о новых параметрах групповой политики Windows Vista – они работают только в этой операционной системе и игнорируются в более ранних.
В предыдущих операционных системах при создании объекта групповой политики все исходные административные шаблоны (ADM-файлы) размещались непосредственно в объекте, занимая около 4 Мб. По этой причине репликационная сетевая активность резко возрастала во время событий, приводящих к одновременному изменению всех объектов групповой политики. Примером такого события может служить изменение разрешений для всех объектов групповой политики во время обновления домена Windows Server 2000 до Windows Server 2003. В таком случае происходила одновременная репликация всех ADM-файлов объекта групповой политики, что могло негативно сказаться на пропускной способности сети и, как следствие, ее доступности. Этот процесс полностью изменился в операционных системах Windows Vista и Windows Server 2008, использующих центральное хранилище в папке «Sysvol», в котором содержатся все ADMX-файлы. В отличие от объектов групповой политики предыдущих версий Windows, объекты, созданные из Windows Vista, не содержат ADMX-файлов. Это изменение способствует снижению объемов данных, перемещаемых посредством службы репликации DFS. Если все администраторы групповой политики будут использовать компьютер с установленной Windows Vista, в новых объектах групповой политики не будут содержаться ADM- или ADMX-файлы. Результатом этого изменения будет являться экономия 4 Мб занимаемого дискового пространства на каждый объект групповой политики. После обновления администрируемой инфраструктуры для использования новой службы DFS, содержащиеся в объекте групповой политики данные копируются с помощью службы репликации DFS. Эта служба реплицирует только изменения, произошедшие в объекте групповой политики. Два этих нововведения значительно снижают требования к количеству дискового пространства и объему сетевого трафика, генерируемого после внесения администратором изменений в объект групповой политики. Таблица 1 – Сравнение загружаемой версии консоли управления групповой политикой с версией, входящей в состав Windows Vista
Поведение | Версия консоли Windows Vista | Загружаемая версия консоли |
Может управлять операционными системами Windows Server 2003, Windows XP и Windows 2000 | Да | Да |
Может управлять операционными системами Windows Vista и Windows Server 2008 | Да | Нет |
Поддерживает многоязычную среду | Да | Нет |
Распознает пользовательские ADM-файлы | Да | Да |
Стандартное расположение файлов | Локальное | Объект групповой политики |
Может использовать центральное хранилище | Да | Нет |
Создает дубликаты файлов в объекте групповой политики (увеличивает размер папки «Sysvol») | Нет | Да |
Может добавлять шаблоны к объекту групповой политики (пункт контекстного меню Добавление или удаление шаблонов) | Только ADM-файлы | Только ADM-файлы |
Использует для сравнения файлов | Номер версии | Штамп времени |
Операционная система Windows Vista привносит в среду Windows свыше 800 новых параметров групповой политики. В этом разделе приводится информация о развертывании групповой политики с помощью Windows Vista, описание основных концепций администрирования, а также советы по управлению политикой безопасности.
Центральное хранилище – это структура папок, создаваемая внутри папки «Sysvol» контроллера каждого домена в Вашей организации. Для каждого домена необходимо только один раз создать центральное хранилище на одном из его контроллеров. Позже с помощью службы репликации файлов центральное хранилище будет развернуто на всех контроллерах домена. Рекомендуется создавать центральное хранилище на основном контроллере домена, поскольку консоль управления групповой политикой и редактор объектов групповой политики по умолчанию соединяются с основным контроллером домена. Центральное хранилище состоит из корневой папки, содержащей все независимые от языка локализации ADMX-файлы, и вложенных папок, содержащих зависимые от языка файлы ресурсов ADMX.
Примечание. Если центральное хранилище отсутствует, редактор объектов групповой политики считывает локальные версии ADMX-файлов, используемые локальным объектом групповой политики на Вашем административном компьютере, работающем под управлением Windows Vista. Для выполнения этого действия Вы должны входить в группу администраторов домена службы каталогов Active Directory. |
Для создания центрального хранилища выполните следующие действия:
В операционной системе Windows Vista отсутствует графический интерфейс для помещения файлов в центральное хранилище. Ниже описано, как это можно осуществить из командной строки, запущенной на контроллере домена. Для добавления ADMX-файлов в центральное хранилище выполните следующие действия:
Чтобы скопировать ориентированные на русский язык файлы шаблонов (файлы с расширением .adml) с административной рабочей станции под управлением Windows Vista в центральное хранилище на Вашем контроллере домена, наберите в окне командной строки следующую команду (команду нужно вводить в одной строке, а после символа «*» должен стоять пробел):
Рисунок 3 – Центральное хранилище, открытое в проводнике Windows
Windows Vista обладает рядом усовершенствований проводных и беспроводных конфигураций, настраиваемых при помощи параметров групповой политики, которые в свою очередь поддерживаются контроллерами домена, работающими под управлением Windows Server 2008. В среде службы каталогов Active Directory, состоящей из контроллеров домена с установленной ОС Windows Server 2003 или Windows Server 2003 R2, необходимо произвести расширение схемы Active Directory. По адресу http://go.microsoft.com/fwlink/?LinkId=70195 Вы найдете необходимую информацию о расширениях схемы Active Directory, позволяющих настраивать новые возможности при помощи групповой политики.
Примечание. Расширение схемы необходимо только в том случае, если Вы хотите использовать групповую политику для настройки новых возможностей проводных и беспроводных конфигураций или параметры BitLocker. |
Информацию об изменении схемы для BitLocker Вы можете найти на Microsoft Technet по адресу http://technet2.microsoft.com/WindowsVista/en/library/3dbad515-5a32-4330-ad6f-d1fb6dfcdd411033.mspx?mfr=true.
Прежде чем приступить к развертыванию параметров групповой политики Windows Vista, прочтите приведенные ниже руководства и документы, чтобы получить четкое представление о параметрах групповой политики.
В консоль управления групповой политикой входит набор интерфейсов для выполнения сценариев автоматизации множества распространенных задач по управлению объектами групповой политики. Эти интерфейсы помогают управлять средой групповой политики, позволяя выполнять такие действия над ее объектами, как генерирование отчетов о параметрах, создание и копирование объектов, а также поиск несвязанных объектов. Примечание. Сценарии не входят в состав Windows Vista. Дополнительную информацию о сценариях консоли управления групповой политикой Вы можете найти по адресу http://go.microsoft.com/fwlink/?linkid=31191.
В Windows Vista параметры административных шаблонов Vista поделены на две группы, доступные всем администраторам групповой политики: лока
лизованные ресурсы для определенного языка (имеют расширение .adml) и ресурсы, не зависящие от конкретного языка (имеют расширение .admx). Это разделение позволяет настраивать пользовательский интерфейс инструментов групповой политики в соответствии с выбранным администратором языком операционной системы. Добавление нового языка достигается путем указания доступного файла ресурса для данного языка. Например, возможна следующая ситуация. Администратор групповой политики работает в Лондоне на компьютере, где установлена Windows Vista с английским интерфейсом. Администратор создает объект групповой политики и связывает его с доменом, физически расположенным за границей. Его коллега в Москве открывает этот домен в консоли управления групповой политикой и выбирает вышеупомянутый объект. Имея в своем распоряжении компьютер, работающий под управлением русскоязычной Windows Vista, он может просматривать и редактировать параметры политик на русском языке. Администратор, создавший объект групповой политики, продолжает видеть все параметры на английском языке, включая изменения, внесенные российским администратором.
После перехода на Windows Vista или обновления до этой операционной системы групповая политика применяется заново, как это бы произошло при чистой установке. К входящим в домен клиентским компьютерам групповая политика применяется точно так же, как это происходит в случае первого присоединения компьютера к домену или первого входа пользователя в систему. Параметры политик каждого расширения либо переносятся, либо вступают в силу в рамках первого применения групповой политики к домену. После обновления операционной системы механизм групповой политики обрабатывает параметры точно так же, как и в случае чистой установки, воссоздает все данные результирующей политики (RSoP) и восстанавливает все кэшированные значения. В следующей таблице содержится подробная информация о поведении компонентов групповой политики после перехода на Windows Vista или обновления до этой ОС. Примечание переводчика. Под переходом на Windows Vista подразумевается установка этой операционной системы на новый компьютер и последующий перенос пользовательских файлов и настроек с компьютера, работающего под управлением Windows XP Professional или Windows XP Home Edition, при помощи программы «Средство переноса данных Windows» (Windows User State Migration Tool, USMT) или программы Windows Easy Transfer, входящей в состав Windows Vista. Дополнительную информацию Вы можете найти в статье Пошаговое руководство по переходу на Windows Vista
Компонент | Поведение при обновлении до Windows Vista | Поведение при переходе на Windows Vista |
Механизм групповой политики | Переносятся параметры реестра и их значения, определяющие пользовательские предпочтения относительно работы основного механизма групповой политики (например, параметр «Настроить режим медленного подключения» ). | Не переносится. |
Результирующая политика (RSoP) | В переносе данных RSoP после обновления ОС необходимости нет, поскольку все параметры политики применяются заново после первой перезагрузки компьютера. | Не переносится. |
Локальный объект групповой политики |
Примечание. Данные объектов MLGPO переносятся при обновлении одного выпуска Windows Vista до другого. |
|
Клиентские расширения | Клиентские расширения сохраняют данные в системном реестре. Параметры расширений хранятся в реестре в разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions Примечание. Каждое клиентское расширение обновляет собственную информацию. | Не переносятся. |
Административные шаблоны в виде ADM-файлов |
|
Не переносятся. |
Параметры политики, хранящиеся в реестре |
|
Не переносятся. |
Установка ПО |
|
Не переносится. |
Консоль управления групповой политикой и редактор объектов групповой политики |
|
Не переносятся. |
Примечание. Список параметров реестра, которые переносятся при переходе на Windows Vista, Вы можете найти в Приложении Б. |
Проверка параметров групповой политики с помощью результирующей политики (RSoP) Вся информация, относящаяся к обработке групповой политики, собирается и хранится на локальном компьютере в базе данных управления объектами общей информационной модели (Common Information Model Object Management, CIMOM). К этой информации, включающей в себя список, содержимое и протоколирование обработки для каждого объекта групповой политики, можно обратиться посредством инструментария управления Windows (WMI). В режиме входа (Group Policy Results) результирующая политика опрашивает базу данных CIMOM на целевом компьютере, получает информацию о политиках и отображает их в консоли управления групповой политикой. В режиме планирования (Group Policy Modeling) результирующая политика имитирует применение политики, используя службу доступа к данным групповой политики (Group Policy Data Access Service, GPDAS) на контроллере домена. Прежде чем информация передается для отображения в консоли управления групповой политикой, результаты имитации сохраняются в локальной базе данных на контроллере домена.
Администраторы используют консоль управления групповой политикой в среде службы каталогов Active Directory. Консоль наглядно отображает окружение групповой политики в корпоративной сети, включая объекты групповой политики, их связи, сайты, домены и организационные подразделения в выбранном лесу. С помощью консоли управления групповой политикой администратор может выполнять любые задачи, которые раньше были доступны только на вкладке Групповая политика административных инструментов службы каталогов Active Directory. Консоль управления групповой политикой также можно использовать для генерации данных результирующей политики (RSoP), которые либо предсказывают общий эффект, получаемый при применении объектов групповой политики в сети, либо предоставляют отчет о результатах применения объектов групповой политики к определенному пользователю или компьютеру. Кроме того, администраторы могут использовать консоль для выполнения таких операций над объектами групповой политики, которые невозможно было произвести раньше. Теперь можно выполнять резервное копирование и восстановление объектов, а также их копирование и даже перенос в другой лес. Используя сценарии WMI, можно также генерировать отчеты о параметрах объекта групповой политики в формате HTML или XML. При работе с консолью управления групповой политикой существует ряд ограничений. В частности, невозможно получить результирующую политику для объектов MLGPO. Также в отчетах консоли не отображаются сведения о параметрах брандмауэра Windows в режиме повышенной безопасности. Примечание переводчика. Дополнительную информацию об упомянутых в этом абзаце компонентах Windows Vista Вы можете найти в статьях Пошаговое руководство по использованию технологии нескольких объектов локальной групповой политики и Приступая к работе с брандмауэром Windows в режиме повышенной безопасности.
Результирующая политика (RSoP.msc) является оснасткой консоли управления Microsoft. Эта оснастка традиционно используется для получения отчетов и планирования результирующего эффекта, оказываемого объектами групповой политики. Хотя Вы можете продолжать использовать оснастку для этих целей, большинство ее функциональных возможностей теперь имеется в консоли управления групповой политикой, пользоваться которой намного удобнее. Оснастка Результирующая политика имеет ряд ограничений, поскольку она не выдает отчетов обо всех параметрах групповой политики (в частности, за кадром остаются многие параметры Windows Vista). Кроме того, с помощью оснастки невозможно получить результирующую политику, применяющуюся к удаленному компьютеру. В силу описанных выше причин использование оснастки Результирующая политика не рекомендуется, хотя она входит в состав Windows Vista для получения результирующих данных от сторонних расширений групповой политики. Для определения того, применяются ли политики к пользователю или компьютеру, рекомендуется использовать возможности генерации отчетов консоли управления групповой политикой. Однако консоль не работает с объектами MLGPO. И хотя Вы не можете использовать консоль для получения отчетов о применении объектов MLGPO, Вы можете найти эту информацию в операционном журнале групповой политики.
Главной задачей механизма контроля учетных записей (User Account Control, UAC) является сокращение поверхности атаки и снижение степени уязвимости операционной системы. Это реализуется за счет того, что все пользователи работают с правами обычного пользователя. Такое ограничение сводит к минимуму возможности пользователей для внесения изменений, которые могут дестабилизировать операционную систему или непреднамеренно открыть вирусам доступ к сети через заразившее компьютер и вовремя не обнаруженное вредоносное программное обеспечение. Используя механизм контроля учетных записей, Вы можете запускать большинство приложений, компонентов и процессов с ограниченными правами, сохраняя при этом возможность повышения прав для выполнения особых административных задач или функций приложений. В Windows Vista это достигается за счет использования двух маркеров доступа, предоставляемых каждому пользователю – маркера администратора и маркера обычного пользователя. Маркеры доступа идентифицируют пользователя, а также его права и группы, к которым он принадлежит. Операционная система использует маркеры для контроля доступа к объектам, а также для контроля возможностей пользователя выполнять на локальном компьютере различные системные задачи.
Такой подход позволяет Windows отличать обычного пользователя от пользователя, наделенного административными правами, сохраняя при этом возможность повышения прав. В стандартной конфигурации все входящие в систему пользователи задействуют полный набор прав для обработки групповой политики и выполнения сценариев. Однако загрузка рабочего стола и всех последующих процессов происходит с правами обычного пользователя. Для учетной записи, не входящей в группу «Администраторы», маркер обычного пользователя практически идентичен маркеру администратора с точки зрения прав и групп. Поэтому процесс, запущенный из-под такой учетной записи с правами обычного пользователя, может видеть процессы, запущенные из этой же учетной записи с правами администратора. Это происходит потому, что в Windows приложению не требуется повышения прав для того чтобы видеть процесс, запущенный с правами администратора. Аналогичным образом Windows обрабатывает локальный вход учетной записи, входящей в группу «Администраторы». Групповая политика и сценарии входа всегда обрабатываются с использованием прав администратора, а загрузка рабочего стола и всех последующих процессов происходит с правами обычного пользователя. Однако между правами администратора и обычного пользователя имеются различия. Поэтому процессы, запущенные в Windows с правами обычного пользователя, лишены возможности делиться информацией с процессами, запущенными с правами администратора. Работа сценариев входа групповой политики может выглядеть неправильно из-за механизма контроля учетных записей. Предположим, например, что в доменной среде имеется объект групповой политики, содержащий сценарий подключения сетевых дисков и обычный пользователь выполняет вход в домен с компьютера, работающего под управлением Windows Vista. После загрузки рабочего стола обычный пользователь запускает проводник Windows и видит подключенные сетевые диски. Однако если те же самые действия выполнит пользователь, наделенный правами администратора, он не увидит подключенных сетевых дисков. Когда администратор выполняет вход в систему, Windows запускает все сценарии входа с полными правами. На самом деле сценарий срабатывает и сетевой диск подключается. Однако Windows Vista блокирует отображение подключенных сетевых дисков, поскольку рабочий стол запущен с правами обычного пользователя, а сетевые диски подключались с правами администратора. Для решения этой проблемы администраторы должны подключать сетевые диски с правами обычного пользователя. Такое подключение можно осуществить при помощи планировщика задач и сценария launchapp.wsf, приведенного в Приложении А. Будучи запущенным в контексте обычного пользователя, планировщик задач выполняет сценарий с правами администратора, тем самым позволяя видеть подключенные диски проводнику Windows и другим процессами, запущенным как с правами обычного пользователя, так и с правами администратора. Для конфигурирования сценария launchapp.wsf с целью отложить выполнение сценария входа в систему выполните следующие действия:
Рисунок 4 – Конфигурирование сценария входа в систему
В Windows Vista групповая политика выведена из процесса Winlogon и работает в качестве отдельной службы. Клиент групповой политики отвечает за применение параметров, сконфигурированных администратором для пользователей и компьютеров при помощи инструментов управления групповой политикой. В оснастке Службы (services.msc) отсутствует возможность остановить, запустить, приостановить и возобновить работу клиента групповой политики. Это сделано потому, что если клиентскую службу остановить или отключить, параметры не будут применены, а приложениями и компонентами невозможно будет управлять посредством групповой политики. Любые компоненты или приложения, зависящие от групповой политики, могут не сработать, если клиентская служба остановлена или выключена.
В этом разделе перечислены параметры групповой политики, хранящиеся в реестре и требующие перезагрузки или входа в систему для вступления изменений в силу. В представленном ниже списке за названием параметра следует его краткое описание. Требуется выполнить вход в систему
Требуется перезагрузка
Windows Vista обладает рядом преимуществ, проявляющихся при использовании перемещаемых профилей пользователей и перенаправлении папок. Перенаправление пользовательских данных на центральный сетевой ресурс снижает размер профиля пользователя, улучшает доступность пользовательских данных, а также способствует более быстрому входу и выходу пользователя из системы за счет снижения объемов передаваемых данных. Совместное использование перенаправления папок и перемещаемых профилей пользователей позволяет сделать перемещаемые данные общими для Windows Vista и Windows XP. Компьютеры, работающие под управлением Windows Vista, не распознают перемещаемые профили пользователей, созданные в Windows XP. Это создает препятствие для тех пользователей, которые имеют перемещаемый профиль и попеременно используют в работе операционные системы Windows Vista и Windows XP. Перенаправление папок в Windows Vista позволяет справиться с этой задачей. С помощью перенаправления папок Вы сможете перенаправить все основные папки, входящие в состав профиля пользователя Windows Vista. Эта функциональная возможность позволяет сделать папку профиля общей для Windows XP и Windows Vista. Например, папка «Избранное» может являться общей для двух операционных систем. Это достигается путем перенаправления папки «Избранное» Windows Vista в то же местоположение, где Windows XP синхронизирует папку «Избранное» перемещаемого профиля пользователя. timberland black Следуя Сценарию 3 технического документа, находящегося по адресу http://go.microsoft.com/fwlink/?LinkId=73435, Вы можете создать одну или несколько политик перенаправления папок, позволяющих сделать перемещаемые данные общими для Windows Vista и Windows XP. В контексте указанного документа под термином «share path» подразумевается путь к перемещаемой папке профиля.
Защита сетевого доступа (Network Access Protection, NAP) представляет собой платформу контроля над выполнением политик в Windows Vista, Windows Server 2008 и Windows XP, которая позволит Вам улучшить защиту сетевых ресурсов. Защита реализуется путем осуществления контроля над соблюдением требований к степени защищенности операционной системы (например, проверяется наличие на клиентском компьютере последних обновлений операционной системы и антивирусного программного обеспечения). Используя защиту сетевого доступа, Вы можете создавать собственные политики, проверяющие состояние компьютера перед тем, как разрешить ему доступ к сети или обмен данными. Вы также можете создавать политики, обеспечивающие автоматическое обновление компьютеров с целью поддержания их в актуальном состоянии, и выделять не соответствующие требованиям компьютеры в ограниченную сеть до тех пор, пока они не будут приведены к требуемому состоянию. Когда клиентский компьютер пытается получить доступ к сети, от него требуется представить отчет о состоянии операционной системы. Если компьютер не может доказать свое соответствие требованиям политики, ему предоставляется доступ к ограниченному сегменту сети, в котором имеются все необходимые серверные ресурсы для исправления ситуации. После установки обновлений клиентский компьютер вновь запрашивает доступ к сети. Если все требования соблюдены, компьютеру предоставляется неограниченный доступ. Примите к сведению, что защита сетевого доступа не является мерой безопасности. Эта технология помогает предотвратить подключения к сети компьютеров с небезопасной конфигурацией, но не защищает сеть от злоумышленников, имеющих правильные учетные данные, или от компьютеров, которые соответствуют требованиям, предъявляемых к степени защищенности системы. Функционируя на стороне клиента, служба сетевого расположения (Network Location Awareness, NLA) позволяет системе получать уведомления о том, что с контроллером домена установлено соединение. Получив уведомление, служба «Групповая политика» определяет, должны ли применяться параметры политики при наступлении этого события. Однако служба сетевого расположения не распознает переход в общую сеть из карантина — ограниченного с помощью NAP сегмента сети. Как следствие, служба сетевого расположения не уведомляет службу «Групповая политика», когда компьютер выходит из карантина. Решить проблему с отсутствием уведомлений службы NLA при выходе из ограниченного сегмента сети можно следующим образом. Компонент защиты сетевого доступа делает запись в журнале событий. Администратору необходимо написать сценарий, обнаруживающий эту запись и вызывающий утилиту gpupdate для обновления групповой политики при осуществлении успешного VPN-подключения. Наличие службы сетевого расположения не только дает возможность Windows Vista быстрее реагировать на происходящие в сети изменения, но и позволяет обойтись без доходившей до 90 минут задержки в обновлении групповой политики. Если в предыдущий цикл применения параметров был пропущен или не сработал, повторная попытка производится при установлении подключения к контроллеру домена. Это является усовершенствованием по сравнению с предыдущими версиями, поскольку теперь отсутствует зависимость групповой политики от ICMP.
Windows Vista обладает большим количеством новых функциональных возможностей, которыми можно управлять с помощью групповой политики. В их число входят управление электропитанием, параметры безопасности, а также установка и использование устройств. Ниже приводится список пошаговых руководств, которые помогут Вам сконфигурировать эти компоненты Windows Vista.
В электронной таблице, размещенной по адресу http://go.microsoft.com/fwlink/?linkid=54020, Вы можете найти список параметров политики для конфигураций пользователя и компьютера. Эти параметры входят в состав административных шаблонов (ADM- и ADMX-файлов), поставляемых с Windows Vista. В электронной таблице представлены параметры политики для ОС Windows Vista, Microsoft Windows Server 2003, Windows XP Professional и Windows 2000. Эти файлы используются для отображения параметров в редакторе объектов групповой политики.
Для устранения неполадок в работе групповой политики Вам понадобится понимание того, каким образом происходит взаимодействие групповой политики с поддерживающими ее технологиями — службой каталогов Active Directory и службой репликации файлов. Кроме того, необходимо знать о том, как происходит управление, развертывание и применение объектов групповой политики. nike kobe 9 Обладая этими знаниями, Вы сможете использовать конкретные инструменты для получения сведений, помогающих в определении проблем и их решений. В Windows Vista групповая политика претерпела значительные изменения. Обработка групповой политики больше не являются частью процесса Winlogon, а является самостоятельной службой. Кроме того, механизм групповой политики больше не опирается на протоколирование силами библиотеки userenv.dll, и поэтому файл журнала userenv.log больше не используется. В предыдущих версиях Windows при диагностировании групповой политики в основном приходилось полагаться на протоколирование, которое велось с помощью библиотеки userenv.dll. Его результатом являлся журнал отладки пользовательского окружения – файл userenv.log, сохраняемый в папке «%WINDIR%\Debug\Usermode». В файле содержались трассировочные операторы функции и сопутствующие данные. Кроме того, в этот же файл записывались сведения о загрузке и выгрузке профиля, что иногда затрудняло диагностику групповой политики. Этот файл, используемый совместно с результирующей политикой, являлся основным инструментом диагностики и устранения проблем в работе групповой политики. В Windows Vista групповая политика функционирует в качестве самостоятельного компонента – новой службы «Групповая политика», работающей в составе процесса svchost с целью считывания и применения параметров политики. С новой службой связаны также изменения в отчетах о событиях. Раньше сообщения о событиях групповой политики регистрировались в журнале приложений, а теперь они заносятся в журнал системы; при этом источником событий теперь является Microsoft-Windows-GroupPolicy. Операционный журнал групповой политики заменил протоколирование userenv, использовавшееся раньше. В операционный журнал теперь заносятся более подробные сообщения о событиях, связанных с обработкой групповой политики. Советы по устранению неполадок в работе групповой политики в Windows Vista Вы можете найти в статье Устранение неполадок групповой политики с помощью журналов событий.
После перехода на Windows Vista или обновления до этой операционной системы групповая политика применяется заново, как это бы произошло при чистой установке. К входящим в домен клиентским компьютерам групповая политика применяется точно так же, как это происходит в случае первого присоединения компьютера к домену или первого входа пользователя в систему. Параметры политик каждого расширения либо переносятся, либо вступают в силу в рамках первого применения групповой политики к домену. После обновления операционной системы механизм групповой политики обрабатывает параметры точно так же, как и в случае чистой установки, воссоздает все данные результирующей политики (RSoP) и восстанавливает все кэшированные значения. Ниже приводится список параметров реестра, которые переносятся при переходе на Windows Vista.
Tags: dns, domain, mac, ppp, quote, vpn, Windows Vista, Windows XP