И Active Directory и Windows, по своей сути, являются довольно гибкими. Групповая политика может быть организована так, что будет относиться или к единичной рабочей станции, или к целой организационной единице. И хотя совсем неплохо иметь модель механизма обеспечения защиты, который может быть оптимизирован под Ваши запросы с целью наилучшего обеспечения безопасности, существует также и оборотная сторона организации защиты Windows — это может быть очень сложным. Единичная групповая политика может быть применима как к пользователям, так и к компьютерам, и может содержать противоречащие друг другу установки. Кроме того, множественные элементы групповой политики могут быть объединены по иерархической модели, при которой установки более высокого уровня будут отменять некоторые из установок меньшего уровня. Благодаря использованию таких фильтров, как No Override и Block Policy Inheritance, Вы можете заметить, как часто случаются проблемы. К счастью, есть способ увидеть эффект конечного набора всех элементов системной политики. Вы можете использовать запрос Результирующего набора элементов политики — Resultant Set of Policy (RSOP). В настоящей статье я расскажу Вам о том, как это сделать.

Программа Resultant Set of Policy Wizard

Существуют две ситуации, при которых Вы, возможно, захотите воспользоваться запросом RSOP. Она из них — та, о которой я уже говорил ранее: если Вам нужно определить, какие элементы политики соотносятся с определенным пользователем. В данном случае Вы можете использовать RSOP Wizard в регистрационном режиме.

Другая ситуация заключается в том, что RSOP wizard используется для тестирования новых установок политики перед их непосредственным применением. Предположим, например, что Вы хотите поменять минимальное число символов в пароле для пользователей на доменном уровне. Вы можете использовать RSOP Wizard для того, чтобы узнать, будет ли достигнут желаемый эффект от предпринятых Вами действий, либо же все будет отменено другой, более приоритетной установкой системной политики.

Конечно же, изменение минимального числа символов в пароле обычно не несет катастрофических последствий, однако существует множество других установок Групповой политики, которые могут повлечь серьезные проблемы в случае неправильного применения. В этом и заключается основное преимущество RSOP wizard. Когда вы запускаете RSOP Wizard в режиме планирования, вы можете протестировать эффект применения установок политики без их реального исполнения. Даже если Вы не планируете проводить больших изменений в установках политики, Вы можете использовать режим планирования для определения эффекта от перемещения пользователя в другую ячейку, или от любого иного подобного сценария.

Запуск Resultant Set of Policy Wizard

RSOP Wizard может быть представлен как нечто иллюзорное, в силу того, что он не является частью обычной консоли Групповой политики. Для его запуска введите mmc в Пуск – Выполнить… . После этого Windows загрузит пустую консоль управления Microsoft Management Console. Затем выберите команду «Добавить/удалить» (Add / Remove) из пункта меню консоли «Файл» (File) — Windows выдаст список свойств Добавления/удаления. Теперь кликните кнопку «Добавить» (Add button) на вкладке «Автоматическая установка» (Standalone) на листе свойств; Вы увидите список всех доступных вставок. Выберите опцию «Результирующий набор политики» (Resultant Set of Policy) из списка и кликните кнопку «Добавить» (Add); затем — «Закрыть» (Close) и OK.

Вставка Результирующего набора политики должна быть теперь загружена в консоль. Для запуска программы, кликните правой кнопкой мыши на контейнере Результирующего набора установок политики и выберите команду «Сгенерировать данные RSOP» (Generate RSOP Data) из меню быстрого вызова команд.

Режим регистрации

Теперь, когда вы уже знаете, как запускается программа-мастер, давайте взглянем на то, как вы будете его использовать в режиме регистрации. Когда программа запустилась, кликните кнопку «Продолжить» (Next) для того, чтобы пропустить приглашение мастера. Теперь Вам предложат запустить мастер в режиме регистрации, либо в режиме планирования. Выберите опцию «Режим регистрации» (Logging Mode) и нажмите на «Продолжить» (Next). Теперь перед Вами окажется такой же экран, как на Рисунке A.

Рисунок A: Вы должны выбрать компьютер, за которым будет работать пользователь

Как я уже говорил ранее, элементы групповой политики реализуются на уровне пользователя и на уровне компьютера. Таким образом, если вы хотите узнать, какие элементы относятся к пользователю, Вам нужно знать, за каким компьютером работает пользователь. Конечно же, на практике Вам придется протестировать эффект установок политики на группе пользователей, и Вы выберите один из компьютеров наугад, учитывая тот факт, что компьютерные установки политики одного уровня равнозначны для всех ЭВМ. Если же Вы оставляете без внимания политику компьютерного уровня, то экран содержит также флаговую кнопку, которую Вы можете использовать для того, чтобы заставить RSOP wizard проверять лишь установки политики уровня пользователей.

Нажмите на кнопку «Продолжить» (Next), при этом вы увидите экран, отображенный на Рисунке B. Модель данного экрана работает идентично модели экрана на Рисунке A, за исключением того, что вы изменяете установки в отношении пользователей, а не компьютеров. Вы можете протестировать пользователя, который подключен в настоящий момент, на Ваш выбор, либо вы можете проверить только установки политики компьютерного уровня.

Рисунок B: выберите учетную запись пользователя, которого хотите проверить

Нажмите на кнопку «Продолжить» (Next), Вы увидите запрос о подтверждении новых установок. Вновь кликните «Продолжить», и программа начнет выполнять анализ. По завершении анализа нажмите кнопку «Закончить» (Finish) — Вам будут представлены результаты, как показано на Рисунке C. Как видно на рисунке, результаты отображаются на консоли Групповой политики. Вы можете ознакомиться с результатами исполнения всех установок системной политики, которые внесли.

Рисунок C: результаты анализа отображаются в консоли Групповой политики

Режим планирования

Для запуска RSOP Wizard в режиме планирования откройте программу так же, как было описано ранее. Когда мастер запустится, кликните «Продолжить» (Next) для того, чтобы пропустить приглашение, и выберите опцию «Режим планирования» (Planning Mode ); после этого вновь нажмите на «Продолжить» (Next). Теперь перед Вами окажется такой же экран, как на Рисунке D.

Рисунок D: определяет информацию о компьютере и пользователе для проведения теста

Как видно на рисунке, Вам вновь следует указать компьютер и пользователя, проходящих тест. В качестве альтернативы, Вы можете указывать контейнер Active Directory. На экране содержится также флаговая кнопка, позволяющая перейти сразу к последней странице мастера без сбора дополнительных сведений, однако, исходя из целей написания настоящей статьи, я не буду использовать эту опцию.

Нажмите на кнопку «Продолжить» (Next), Вы увидите экран, показанный на Рисунке E. Здесь вы получаете возможность указать о том, что у Вас медленное сетевое соединение, или же, что тест будет проходить на межузловой основе. Также вы можете указать, если хотите, на необходимость использования закольцованной обработки.

Рисунок E: Укажите о медленном сетевом соединении или необходимости проведения теста на межузловой основе

Следующее окно будет содержать контейнер положения пользователей и компьютеров. Причина, по которой мастер выдает Вам это окно, заключается в том, что Вы можете вносить изменения, что, в свою очередь, позволит симулировать эффект перенесения пользователя в другой контейнер или использования компьютеров с различным расположением. Внесите все необходимые изменения и нажмите на кнопку «Продолжить» (Next).

Следующее окно будет содержать запрос, членом какой группы защиты является пользователь. Имейте в виду, что Вы не должны указывать, к какой группе пользователь принадлежит именно в настоящий момент; Вы должны указать принадлежность уже после внесения всех необходимых Вам изменений. Нажмите «Продолжить» (Next) — Вы увидите почти такой же экран, содержащий запрос о том, членом какой группы безопасности является компьютер. До тех пор, пока Вы не внесли коренных изменений в доменное членство компьютера, оставляйте все по умолчанию.

Нажмите кнопку «Продолжить» (Next) — Вы увидите окно, в котором будет содержаться вопрос о том, какие фильтры WMI должны быть применены. В большинстве случаев никаких фильтров WMI вообще быть не должно, поэтому не обращайте особого внимания на данный пункт. Нажмите на кнопку «Продолжить» (Next) и Вы увидите идентичный экран с запросом о том, какие WMI фильтры должны быть применены к компьютеру. Снова, не обращая на это особого внимания, нажмите «Продолжить» (Next).

Теперь перед Вами предстанет экран, содержащий всю введенную Вами информацию. Нажмите «Продолжить» (Next), и мастер начнет обработку внесенных изменений. После завершения обработки данных нажмите кнопку «Закончить» (Finish) — в консоли Групповой политики появится результат готовящихся изменений (так же, как отображено на Рисунке C).

Заключение

Итак, Вы можете видеть, что программа Resultant Set of Policy wizard является очень ценным инструментом независимо от того, хотите ли Вы диагностировать элементы политики, которые работают не так, как это должно быть, или же Вам всего лишь необходимо оценить последствия изменений, которые Вы хотите внести.

Источник www.windowsecurity.com

Readers Comments (Комментариев нет)