Любой, кто слышал мои речи о Windows Vista (даже когда она звалась еще Windows Longhorn) знает, что я всегда считал Windows Vista первой версией Windows после Windows 95 по-настоящему привносящей что-то новое для всех, включая домашних пользователей, бизнес клиентов, ИТ-профессионалов и разработчиков. Одна довольно специфическая область улучшений в Windows Vista для ИТ-профессионалов это групповые политики.
Впервые групповые политики появились в клиентской и серверной Windows 2000. Но, в отличие от Windows Vista, Windows 2000 не был релизом «чего-то для каждого». Основные преимущества от Windows 2000 почувствовали бизнес пользователи (в основном потому, что появилась возможность использовать ядро Windows NT на портативных компьютерах) и ИТ-профессионалы. Для последних стало просто потрясением беспрецедентное повышение быстродействия, стабильности, надежности и, разумеется, управляемости. Windows 2000 привнес Active Directory, который позволил не только куда более масштабируемое управление сетью (что сегодня мы зовем централизованным управлением), но, что важнее, он позволил ИТ-менеджерам устанавливать настройки политик для централизованного управления поведением и безопасностью систем. В Windows 2000 групповые политики позволили ИТ-профессионалам создавать специфические конфигурации рабочих столов для настройки и управления группами пользователей и компьютеров. В Windows 2000 появилась возможность задавать группам политики связанные с реестром, безопасностью, установкой программного обеспечения, скриптами, переназначенными папками. Изначально Windows 2000 предоставлял 500 параметров политик и со временем это число увеличивалось с новыми релизами клиентских и серверных операционных систем и компонентов, так что в Windows Server 2003 и Windows XP SP2 появилось уже более 1700 параметров, которые могут быть централизованно настроены через групповые политики.
В том далеком 2000 году для демонстрации групповых политик чаще всего использовались базы Exchange Server. Да и по сути в те времена политики, управляемые через Active Directory, были лишь набором правил, используемые и тестируемые очень немногими клиентами. Дело в том, что потребовалось довольно много времени после выпуска Windows 2000 (и собственно даже после Windows Server 2003) чтобы инфраструктура приняла нововведение и могла использовать его в различных ИТ сценариях.
Но что действительно нам помогло, так это то, что разрабатывая групповые политики в Windows Vista мы основывались на достигнутом за предыдущие 6 лет. Windows Vista предоставляет порядка 800 новых параметров политик. Это множество категорий, с некоторыми из них вы наверняка уже знакомы. Но Windows Vista берет вовсе не необъемлемым количеством параметром, а тем, что все они разрабатывались с учетом пожеланий клиентов и по-настоящему помогают упростить работу.
Групповые политики расширены в таких областях, как беспроводные сетевые политики, Windows Firewall и IPsec, управление печатью, оболочка рабочего стола, удаленный помощник и Tablet PC. Намного расширились политики для управления Internet Explorer.
Абсолютно новые области в групповых политиках Windows Vista состоят из управления съемными устройствами хранения, управлением питания, UAC, отчетами об ошибках Windows, развертыванием принтеров, NAP (в том числе в Windows Server “Longhorn”), Windows Defender. Например, используя групповые политики в Windows Vista, ИТ-менеджеры могут перевести ПК под управлением новой ОС в режим сокращенного потребления питания за неактивностью на протяжении некоторого времени. Это замечательный пример групповых политик – установка подобной групповой политики может понизить затраты на электричество. ИТ-менеджеры имеющие пользователей работающих с важной информацией могут ограничить использование съемных устройств хранения, снизив риск кражи данных. Многие клиенты просили нас о подобном функционале и вот, Windows Vista предоставляет его. Также я хочу отметить, что групповые политики могут быть использованы как для блокирования системы в сети, так и для ограничения ряда задач – например, пользователь сможет устанавливать драйвера на принтер без необходимости получать дополнительное подтверждение от ИТ-администратора.
Не забудьте посмотреть , где в таблице перечислены все возможности групповых политик, отдельно указаны, какие из них для применения требуют перезагрузки или выхода из системы.
Еще одна вещь, которую мы добавили в групповые политики, это возможность использовать Network Location Awareness для управления поведением обновления политик. В результате, групповые политики стали «правильнее» относиться к изменениям в сети. Например, групповая политика теперь может использовать новую сессию VPN для обновления политики и, как следствие, повышения безопасности сети. Это делает групповые политики более отзывчивыми в подобных сценариях. Мы также удалили необходимость в «пинге», который раньше вызывал проблемы у некоторых клиентов с заблокированным ICMP трафиком.
Для администратора групповых политик мы внесли значительные изменения в то, как подаются оповещения о событиях. Была задействована новая система отчетов Windows Vista для административных логов. Теперь мы сообщаем о событии логичней и богаче, предоставляя дополнительную информацию, такую как указание какие контроллеры доменов были использованы, какие объекты групповых политик были задействованы. Фактический эффект этих изменений – более эффективный поиск и устранение проблем в групповых политиках.
Очевидно, что вносимые на протяжении 6 лет нововведения, такие как Active Directory и групповые политики, оправдали себя; теперь новые возможности не только сокращают затраты для ИТ-администраторов и обеспечивают конечным пользователям более высокую безопасность, но так же дают зеленый свет приложениям для управления следующего поколения. Групповые политики были признаны ключевым компонентом инфраструктуры, все больше частей системы используют их для управления. Сегодня мы имеем удвоенное количество параметров политик в Windows Vista по сравнению с Windows XP SP2.
Источник: http://windowsvistablog.com/
Tags: Exchange, vpn, Windows Vista, Windows XP