Sunday, July 22nd, 2018

Изменения в групповой политике Vista

Published on Февраль 3, 2009 by   ·   Комментариев нет

В этой статье мы рассмотрим новые особенности групповой политики в Vista

Поскольку Microsoft является самым полноценным профессионалом (MVP) в области групповой политики, то всегда приятно видеть ее нововведения, улучшения и новинки, имеющие отношение к групповой политике. В связи с предстоящим выходом на рынок новейшей операционной системы от Microsoft под названием Vista, компания готовится представить несколько более радикальных и удивительных изменений в групповой политике. Для меня, как инструктора и консультанта по службе активного каталога и групповой политике на протяжении 6 лет, данные изменения являются долгожданным дополнением. Потому что мне больше не придется огорчать людей (или указывать им на сторонние решения, расширяющие групповую политику), когда они спрашивают меня: может ли групповая политика решить проблемы, связанные с параметрами электропитания, управлением принтерами и другими устройствами. Из других новых особенностей групповой политики, включенной в Vista, следует отметить осведомленность об обнаружении сети и новый подход к ADM-шаблонам.

Настройки новой групповой политики в Vista

В отличие от добавления достаточного количества настроек групповой политики в Service Pack 2 для Windows XP Professional, Vista приходит с даже большим количеством новых настроек. В ней будет содержаться, приблизительно, 2 400 доступных настроек объекта групповой политики, создаваемого для компьютеров с Windows Vista. Только это добавляет около 800 настроек, которых на ½ больше, чем в Windows XP Service Pack 2. Многие из этих настроек были введены в ответ на просьбы покупателей, в то время как другие были включены для поддержки новых особенностей Vista. Некоторые из более важных дополнений, разбиты на абзацы и приведены ниже:

Управление электропитанием
Со времен появления групповой политики, на первом месте среди желаемых пользователями областей ее применения всегда стояло управление питанием. И вот, наконец-то Microsoft добавила такую возможность в Windows Vista. Возможность способную произвести немедленный взрыв в среде компаний с того времени, как Microsoft и EPA, на основе проведенных испытаний, заявили, что помогут сэкономить более 50 долларов США в расчете на один компьютер в год, установив настройки управления питанием на рабочие станции. Сия идея проста: нет необходимости расходовать электропитание на полную мощность, когда пользователя даже нет на работе. До Vista, компаниям приходилось обращаться к продуктам компаний DesktopStandard и Full Armor, чтобы обеспечить управление электропитанием в Windows 2000 и XP.

Контроль за установкой устройств
Многие IT-профессионалы, работающие в области безопасности в своей компании, выражают обеспокоенность по поводу переносных медиа-устройств. Такие устройства представляют угрозу рабочим станциям и сети в целом. Без надлежащего контроля за установкой и использованием таких устройств, пользователи могут вносить через них в систему вирусы, червей и другие вредоносные приложения. Vista будет обладать настройками, которые позволят контролировать установку и использование USB-, CD-RW-, DVD-RW- и других переносных медиа-устройств.

Настройки безопасности
В Vista Microsoft объединила две технологии безопасности – Firewall и IPSec. Это придает больше чувствительности защите компьютеров, в которых используется IPSec внутри firewall. Защита может быть усилена для соединений типа сервер-сервер в Интернет, контролируя ресурсы, компьютер может получать доступ к сети на основе степени исправности компьютера и на уровне ресурсов, основываясь на регулирующих условиях. Поскольку данные настройки безопасности важны для каждого компьютера, то они только лишь прибавляют логической завершенности групповой политике.

Подключение принтеров, основанное на местоположении
Управление принтерами – это кошмар почти для всех компаний и сетевых администраторов. Поскольку в большинстве компаний работают команды, имеющие ноутбуки, управление принтерами стало еще более сложной задачей, т.к. пользователи перемещаются из здания в здание, из кампуса в кампус. Vista решает эту проблему путем настройки принтеров на основе текущего сайта активного каталога, к которому принадлежит компьютер. С тех пор, как сайты службы активных каталогов вышли за рамки географической или физической топологии сети, они являются отличным решением для подключения принтеров как пользователей переносных компьютеров. До Vista, для управления принтерами в Windows 2000 и XP, компаниям приходилось обращаться к продуктам от DesktopStandard и Full Armor.

Реконструкция ADM-шаблонов

Если вы администрируете групповую политику вашей компании, то вам наверняка приходилось сталкиваться лицом-к-лицу с ADM-шаблонами. Эти шаблоны, на основе языка разметки, были впервые представлены в Windows NT4 и использовались для внесения изменений в реестр. С тех пор, как появилась групповая политика, концепция ADM-шаблонов не изменилась, лишь добавились некоторые новые возможности. Такие шаблоны позволяют вносить необходимые изменения в значения реестра, но также имеют некоторые свои проблемы:

  • «Раздутие» ADM, вызываемое повторением ADM-шаблонов для каждого объекта групповой политики.
  • Ошибки в версиях ADM-шаблонов, многократно вызываемые установкой сервис-пакетов в окружение на одном или более компьютерах.
  • Запутанные настройки «политик» или «установок», в зависимости от редактируемых частей реестра.
  • Невозможность управления многострочными или двоичными значениями реестра.

Microsoft осознает, что ADM-шаблоны – это серьезная брешь для ваших «хакерских» нужд, но в Vista они проделали хорошую работу по исправлению такого положения дел. В Vista главная идея сводится как к конвертации ADM-шаблонов в новый формат, основанный на XML, так и введению хранилища данных для шаблонов. Новые, основанные на формате XML, файлы будут называться ADMX-файлами. Они будут поддерживать разные языки и адресоваться в один файл. ADMX-файлы также будут брать огромные, громоздкие ADM-шаблоны и разделять их на более мелкие, более управляемые ADMX-файлы.

Одно из моих любимых нововведений в Vista – это введение центрального ADMX-хранилища, которое обеспечит централизованный метод обновлений, хранения и управления ADMX-файлами. Это позволит сохранить свободное место на контроллерах доменов и обеспечит более простое управление такими файлами.

Осведомленность об обнаружении сети

Групповая политика и приложение настроек в объектах групповой политики сильно зависят от доступности сети, как, впрочем, и от скорости передачи данных в ней. В Vista применяется новый подход к осведомленности об обнаружении сети, обеспечивающий более быструю загрузку и более надежное приложение политики.

  • При загрузке компьютера, время, которое тратится на попытки применения политики (даже когда сеть еще недоступна), может быть обескураживающим. Vista обеспечит приложение групповой политики индикаторами состояния сетевой карты, а также индикаторами доступности сети.
  • Vista представляет клиенту возможность определения доступности контроллера домена даже в случае, если он, будучи offline, снова становится доступным. Это идеальное решение для соединений удаленного доступа, таких, как dial-up и VPN.
  • Больше не будет необходимотси в ICMP (PING) для определения скорости соединения с компьютером. Это было нужно для медленных сетевых соединений, но, если ICMP было отключено из соображений безопасности, компьютер отклонял PING-запрос, вызывая сбой приложения групповой политики. Теперь служба осведомленности об обнаружении сети управляет определением пропускной способности, способствуя успешному обновлению политики.

Заключение

Выход Windows Vista приближается. Нет сомнений в том, что она будет доступна у вашего ближайшего поставщика в ближайшие месяцы (ладно, в ближайшие несколько месяцев). Но когда она появится, вам нужно знать обо всех тех преимуществах, которые она сможет предоставить вашей компании. Так как групповая политика продолжает расти и будет развиваться все больше и больше, вам нужно быть уверенными, что вы успеваете вслед за изменениями, внесенными в Windows Vista. В некоторых случаях, эти изменения бросаются в глаза, в других почти незаметны, но, тем не менее, важны. Вам нужно почувствовать, какие из 800 новых настроек могут оказать лучшее влияние на вашу сеть. Несомненно, с настройками управления питанием, устройствами, безопасностью и принтерами ваша компания может столкнуться в первую очередь. Инвестиции в Vista могут быть быстро возвращены. Переход от ADM-шаблонов к ADMX-файлам также является радикальным и очень выгодным. Новыми ADMX-файлами будет проще управлять и обеспечивать лучший контроль на предприятии благодаря центральному хранилищу. Наконец, осведомленность об обнаружении сети будет приятным дополнением для сокращения случаев сбоев групповой политики, которые происходят при стандартной сетевой архитектуре Windows 2000 и XP.

Источник www.windowsecurity.com






Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]