В этой статье мы рассмотрим новые особенности групповой политики в Vista
Поскольку Microsoft является самым полноценным профессионалом (MVP) в области групповой политики, то всегда приятно видеть ее нововведения, улучшения и новинки, имеющие отношение к групповой политике. В связи с предстоящим выходом на рынок новейшей операционной системы от Microsoft под названием Vista, компания готовится представить несколько более радикальных и удивительных изменений в групповой политике. Для меня, как инструктора и консультанта по службе активного каталога и групповой политике на протяжении 6 лет, данные изменения являются долгожданным дополнением. Потому что мне больше не придется огорчать людей (или указывать им на сторонние решения, расширяющие групповую политику), когда они спрашивают меня: может ли групповая политика решить проблемы, связанные с параметрами электропитания, управлением принтерами и другими устройствами. Из других новых особенностей групповой политики, включенной в Vista, следует отметить осведомленность об обнаружении сети и новый подход к ADM-шаблонам.
Настройки новой групповой политики в Vista
В отличие от добавления достаточного количества настроек групповой политики в Service Pack 2 для Windows XP Professional, Vista приходит с даже большим количеством новых настроек. В ней будет содержаться, приблизительно, 2 400 доступных настроек объекта групповой политики, создаваемого для компьютеров с Windows Vista. Только это добавляет около 800 настроек, которых на ½ больше, чем в Windows XP Service Pack 2. Многие из этих настроек были введены в ответ на просьбы покупателей, в то время как другие были включены для поддержки новых особенностей Vista. Некоторые из более важных дополнений, разбиты на абзацы и приведены ниже:
Управление электропитанием
Со времен появления групповой политики, на первом месте среди желаемых пользователями областей ее применения всегда стояло управление питанием. И вот, наконец-то Microsoft добавила такую возможность в Windows Vista. Возможность способную произвести немедленный взрыв в среде компаний с того времени, как Microsoft и EPA, на основе проведенных испытаний, заявили, что помогут сэкономить более 50 долларов США в расчете на один компьютер в год, установив настройки управления питанием на рабочие станции. Сия идея проста: нет необходимости расходовать электропитание на полную мощность, когда пользователя даже нет на работе. До Vista, компаниям приходилось обращаться к продуктам компаний DesktopStandard и Full Armor, чтобы обеспечить управление электропитанием в Windows 2000 и XP.
Контроль за установкой устройств
Многие IT-профессионалы, работающие в области безопасности в своей компании, выражают обеспокоенность по поводу переносных медиа-устройств. Такие устройства представляют угрозу рабочим станциям и сети в целом. Без надлежащего контроля за установкой и использованием таких устройств, пользователи могут вносить через них в систему вирусы, червей и другие вредоносные приложения. Vista будет обладать настройками, которые позволят контролировать установку и использование USB-, CD-RW-, DVD-RW- и других переносных медиа-устройств.
Настройки безопасности
В Vista Microsoft объединила две технологии безопасности – Firewall и IPSec. Это придает больше чувствительности защите компьютеров, в которых используется IPSec внутри firewall. Защита может быть усилена для соединений типа сервер-сервер в Интернет, контролируя ресурсы, компьютер может получать доступ к сети на основе степени исправности компьютера и на уровне ресурсов, основываясь на регулирующих условиях. Поскольку данные настройки безопасности важны для каждого компьютера, то они только лишь прибавляют логической завершенности групповой политике.
Подключение принтеров, основанное на местоположении
Управление принтерами – это кошмар почти для всех компаний и сетевых администраторов. Поскольку в большинстве компаний работают команды, имеющие ноутбуки, управление принтерами стало еще более сложной задачей, т.к. пользователи перемещаются из здания в здание, из кампуса в кампус. Vista решает эту проблему путем настройки принтеров на основе текущего сайта активного каталога, к которому принадлежит компьютер. С тех пор, как сайты службы активных каталогов вышли за рамки географической или физической топологии сети, они являются отличным решением для подключения принтеров как пользователей переносных компьютеров. До Vista, для управления принтерами в Windows 2000 и XP, компаниям приходилось обращаться к продуктам от DesktopStandard и Full Armor.
Реконструкция ADM-шаблонов
Если вы администрируете групповую политику вашей компании, то вам наверняка приходилось сталкиваться лицом-к-лицу с ADM-шаблонами. Эти шаблоны, на основе языка разметки, были впервые представлены в Windows NT4 и использовались для внесения изменений в реестр. С тех пор, как появилась групповая политика, концепция ADM-шаблонов не изменилась, лишь добавились некоторые новые возможности. Такие шаблоны позволяют вносить необходимые изменения в значения реестра, но также имеют некоторые свои проблемы:
Microsoft осознает, что ADM-шаблоны – это серьезная брешь для ваших «хакерских» нужд, но в Vista они проделали хорошую работу по исправлению такого положения дел. В Vista главная идея сводится как к конвертации ADM-шаблонов в новый формат, основанный на XML, так и введению хранилища данных для шаблонов. Новые, основанные на формате XML, файлы будут называться ADMX-файлами. Они будут поддерживать разные языки и адресоваться в один файл. ADMX-файлы также будут брать огромные, громоздкие ADM-шаблоны и разделять их на более мелкие, более управляемые ADMX-файлы.
Одно из моих любимых нововведений в Vista – это введение центрального ADMX-хранилища, которое обеспечит централизованный метод обновлений, хранения и управления ADMX-файлами. Это позволит сохранить свободное место на контроллерах доменов и обеспечит более простое управление такими файлами.
Осведомленность об обнаружении сети
Групповая политика и приложение настроек в объектах групповой политики сильно зависят от доступности сети, как, впрочем, и от скорости передачи данных в ней. В Vista применяется новый подход к осведомленности об обнаружении сети, обеспечивающий более быструю загрузку и более надежное приложение политики.
Заключение
Выход Windows Vista приближается. Нет сомнений в том, что она будет доступна у вашего ближайшего поставщика в ближайшие месяцы (ладно, в ближайшие несколько месяцев). Но когда она появится, вам нужно знать обо всех тех преимуществах, которые она сможет предоставить вашей компании. Так как групповая политика продолжает расти и будет развиваться все больше и больше, вам нужно быть уверенными, что вы успеваете вслед за изменениями, внесенными в Windows Vista. В некоторых случаях, эти изменения бросаются в глаза, в других почти незаметны, но, тем не менее, важны. Вам нужно почувствовать, какие из 800 новых настроек могут оказать лучшее влияние на вашу сеть. Несомненно, с настройками управления питанием, устройствами, безопасностью и принтерами ваша компания может столкнуться в первую очередь. Инвестиции в Vista могут быть быстро возвращены. Переход от ADM-шаблонов к ADMX-файлам также является радикальным и очень выгодным. Новыми ADMX-файлами будет проще управлять и обеспечивать лучший контроль на предприятии благодаря центральному хранилищу. Наконец, осведомленность об обнаружении сети будет приятным дополнением для сокращения случаев сбоев групповой политики, которые происходят при стандартной сетевой архитектуре Windows 2000 и XP.
Источник www.windowsecurity.com
Tags: vpn, Windows Vista, Windows XP