Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Настройка групповой политики в Active Directory

Майкл Фадж

Что делать, если приложение по формированию отчетов, которое вы планируете внедрить у себя, требует открыть еще один порт в межсетевом экране Windows XP? Можно написать вспомогательный сценарий или купить ПО управления стороннего производителя, но при наличии в вашей организации службы Active Directory (AD) фирмы Microsoft можно сказать, что у вас уже есть все необходимое для того, чтобы открыть в межсетевом экране этот порт. Функция AD, именуемая групповой политикой (Group Policy — GP), позволит вам контролировать множество параметров настройки серверов, рабочих станций и их пользователей.

GP поможет вам администрировать сеть “сверху”, управляя всеми аспектами работы пользователей и компьютеров в вашем AD-окружении. Как только вы начнете пользоваться данной функцией, вы удивитесь тому, как быстро и легко вы сможете “нести культуру в массы”: создавать устойчивые конфигурации серверов и рабочих станций, контролировать работу конечных пользователей, избирательно блокировать рабочие станции и даже управлять межсетевым экраном Windows XP. Но, как и со всяким мощным инструментом, работая с GP, вы должны быть осторожны и нести ответственность перед конечными пользователями. Перед тем как что-либо изменить в вашем AD-окружении с использованием GP, вам следует протестировать, отладить и задокументировать нововведения.

Базовые принципы

В основе GP лежат параметры настройки политики — специальные атрибуты, которые предписывают порядок осуществления контроля за всеми аспектами конфигурирования ОС Windows (в том числе за тем, какие порты должны быть открыты в межсетевом экране XP). Параметры настройки политики предназначены для каждого зарегистрированного пользователя или компьютера. Это могут быть настройки безопасности, касающиеся ограничений аудита, регистрации событий и входа в систему; выполнения сценариев при запуске, выключении системы, входе и выходе из нее; инсталляции ПО; переадресации пользовательских папок и манипулирования реестром согласно шаблонам администрирования.

Структура параметров настройки политики может наращиваться с помощью конфигурационных файлов, известных как ADM-шаблоны. Если для определенного приложения в вашей организации имеется свой ADM-шаблон, вы можете, например, управлять настройками этого приложения с использованием групповой политики. К сожалению, таких шаблонов, выпускаемых сторонними производителями ПО, пока имеется довольно мало, хотя многие из них на данный момент уже разрабатываются.

Чтобы применить установки политики к вашему AD-окружению, вы должны сначала сконфигурировать объект групповой политики (Group Policy Object — GPO), находящийся в домене AD в специальной папке с именем “Group Policy Objects”. GPO — это поименованная коллекция сконфигурированных настроек политики. При этом лучше всего сконфигурировать только те установочные параметры, которые действительно необходимы для выполнения администраторских задач внутри GPO. Так, если для соблюдения корпоративной политики безопасности вам нужно на каждом компьютере задействовать межсетевой экран Windows, вы можете создать GPO с именем “Default Windows Firewall Settings” и сконфигурировать установки таким образом, чтобы обеспечить необходимое вам “поведение” МЭ на соответствующих рабочих станциях, наподобие того как это делается в панели управления Windows. Заметьте, что если целевая операционная система не “поймет” заданную настройку, то она просто проигнорирует ее.

Настройки политики в GPO не будут приведены в действие до тех пор, пока вы не свяжете объект с сайтом AD, доменом или организационной единицей (Organizational Unit — OU). Как только GPO ассоциируется с сайтом, доменом или OU, настройки политики активизируются в отношении пользователей и компьютеров, определенных в рамках соответствующего контейнера. “Привязав” GPO к уровню домена, мы тем самым применим настройки политики ко всем рабочим станциям Windows XP и серверам Windows 2003 в этом домене. Если же вместо этого GPO привязать к организационной единице Product Management Group (PMG), то установки межсетевого экрана начнут действовать только внутри этой OU. Один GPO может быть привязан, например, к нескольким OU, а сайт, домен или OU, в свою очередь, — иметь связи с несколькими объектами групповой политики.

Гибкость привязывания GPO заставляет нас обратить внимание на три следующих принципа:

Во-первых, применение GPO в определенном контексте позволяет создавать узкоспециализированные объекты под конкретные задачи. Данные объекты можно применять к соответствующим уровням AD, вместо того чтобы “сваливать” все установки в общие GPO уровня сайта, домена или организационной единицы. При последнем сценарии копии одних и тех же настроек политики хранились бы в разных местах, что обернулось бы настоящим кошмаром для администратора.

Во-вторых, возможность привязывания GPO весьма удобна для тестирования новых конфигураций. Так, вы можете сначала привязать объект к тестовой OU и на ней проверить все настройки, прежде чем привязывать его к реальной организационной единице с реальными пользователями и компьютерами.

В-третьих, структура организационной единицы в дереве AD должна быть таковой, чтобы максимально благоприятствовать использованию объектов, — трудно, например, применить установки МЭ только к рабочим станциям Windows XP, если в организационной единице, к которой привязывается соответствующий объект групповой политики, существуют одновременно и серверы и рабочие станции.

Итак, в каком порядке применяются GPO? Функция GP работает по следующему принципу: сначала отрабатывается локальная политика, затем применяются объекты групповой политики сайта, домена или организационной единицы и т. д. вплоть до объектов, располагающихся в вершине дерева AD. Если какая-либо политика конфликтует с предыдущей, то в силу вступают правила последующей политики. Поэтому, например, для объекта AD “компьютер в организационной единице PMG/Computers” сначала применяется локальная политика компьютера, а затем — объекты групповой политики сайта, домена, объекты, принадлежащие OU PMG и, наконец, любые другие объекты, привязанные к организационной единице PMG/Computers. Аналогично отрабатываются установки политики, применяемые к регистрирующимся в системе пользователям, “восходя” к объектам пользователей, хранящимся в AD. Таким образом, AD аннулирует локальные политики, установленные на отдельных компьютерах.

Средства, имеющиеся на рынке

В окружении Windows AD имеется все необходимое для того, чтобы начать работу с GP, включая редактор объектов для конфигурирования параметров политики внутри действующих GPO, а также утилиту AD Users and Computers для привязывания объектов к уровням домена и организационных единиц. Но логика подсказывает, что вывертывать из стены шурупы лучше более подходящими инструментами, чем кухонный нож.

ПО СP Management Console SP1 (GPMC SP1, www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en), которое можно бесплатно “скачать” с сайта Microsoft, предназначено для преодоления некоторых недостатков штатного интерфейса управления GP в Windows. Программа GPMC позволяет отделить места в домене, где фактически находятся объекты, от мест их привязки. Поэтому для любого конкретного объекта легко определить, где он используется в AD и какие настройки политики в нем сконфигурированы, без необходимости открывать редактор объектов GP. К тому же это позволяет системному администратору легко отслеживать привязки объектов к сайтам, доменам и организационным единицам вместе с порядком их обработки на этих уровнях. Одним словом, данный пользовательский интерфейс позволяет более четко представить взаимосвязь между объектами групповой политики и соответствующими целевыми контейнерами AD (сайт, домен или организационная единица).

С помощью GPMC также легче выполнять резервное копирование и восстановление объектов групповой политики, чего очень недостает в исходном интерфейсе администрирования GPO в Windows. С помощью GPMC легко управлять несколькими доменами и перемещать объекты из одного домена в другой. Данная функция тоже будет полезной, если вам понадобится протестировать ваши объекты в отдельном домене и затем, как только вы убедитесь в корректности их конфигураций, переместить их в рабочий домен.

Несмотря на значительные улучшения, которые утилита GPMC привнесла в механизм GP, в нем все еще существует множество сложных и неочевидных моментов, с которыми вам рано или поздно придется столкнуться. Независимо от того, щелкаете ли вы мышью на связи объекта или на самом объекте в окне GPMC, вы все равно манипулируете им. Существует только три возможности, позволяющие не затрагивать при этом сам объект:

1) переключаться между действующими или недействующими связями, контролируя таким образом привязку объекта к конкретному контейнеру;

2) удалить связь, что соответственно ликвидирует все ассоциации объекта с этим контейнером;

3) принудительно активизировать связь, тем самым заставляя AD обработать данный объект групповой политики в последнюю очередь. Эта возможность часто используется для того, чтобы предотвратить последствия действий администраторов OU-уровня, способных аннулировать настройки политики уровня домена, установленные администратором более высокого уровня.

Все остальные возможности затрагивают сам объект. В частности, если вы щелкните мышью на объекте “Default Windows Firewall Settings” организационной единцы PMG/Computers и отредактируете настройки его политики, то тем самым вы измените лежащий в его основе объект групповой политики со всеми его привязками, для которых сразу же будут применены новые установки политики.

Принципиальным моментом здесь является наличие большого числа настроек политики, а попытаться обнаружить нужную установку — все равно что искать иголку в стоге сена. Единственный способ убедиться в том, что установки политики будут работать именно так, как вы ожидаете, — протестировать их. Документацию по расширенным настройкам политики (помимо настроек редактора GP) вы можете найти по адресу www.microsoft.com/downloads/details.aspx?FamilyID=7821c32f-da15-438d-8e48-45915cd2bc14&DisplayLang=en.

Документирование и устранение неисправностей

Если и то и другое для вас чересчур утомительно, не переживайте. ПО GPMC поставляется вместе с двумя утилитами для тестирования и исправления неисправностей в механизме GP — это GP Results и GP Modeling.

GP Results является регистрирующей утилитой. Она показывает, как объекты групповой политики применялись к конкретному пользователю и компьютеру, поэтому вам не придется для этого “заходить” на рабочую станцию в каждом конкретном случае. Однако из-за зависимости этого средства от сервиса Windows Management Instrumentation (WMI) вы не сможете регистрировать события с помощью GP Results на компьютерах с более старой ОС, чем Windows 2000, или на машинах Windows XP/2003, на которых не запущен сервис WMI.

GP Modeling позволяет вам разыгрывать сценарии, подобные тому, “что будет, если”, а не регистрировать то, что фактически произошло. Эта утилита может использоваться для того, чтобы узнать, какие настройки политики применялись, например, когда пользователь, относящийся к организационной единице PMG, зарегистрировался на компьютере, входящем в группу R&D. Чтобы использовать эту программу, нужно обновить доменную схему для поддержки Windows 2003, а в домене должен быть хотя бы один контроллер домена Windows 2003. Это средство моделирует варианты расширенной обработки — петлевую (loopback), WMI-фильтры для GPO и по медленной связи. Результаты, полученные с помощью этих двух утилит, вы можете сохранить в форме HTML-отчета для составления документации. И поскольку каждый запрос сохраняется, его можно повторно выполнить после обновления любого GPO.

Следующий нюанс также немного усложняет механизм GP: GPO по-разному обновляются для компьютеров и пользователей в Windows XP, 2000 и 2003. GP, по существу, является технологией “вытягивания”, т.е. по умолчанию клиенты опрашивают домен на предмет изменений GPO каждые 90—120 мин. Такой команды, которая позволяла бы в вашем домене немедленно применить все изменения объектов групповой политики ко всем вашим компьютерам, не существует.

Однако в Windows есть средства принудительного обновления политик с клиентского компьютера. Они бывают довольно полезными, особенно при тестировании установок политики.

Если рабочая станция управляется ОС Windows XP или 2003, то команда GPUPDATE, набранная в командной строке, “вытянет” любые объекты групповой политики, измененные с момента последнего обновления. В Windows 2000 не существует команды GPUPDATE, так что вам придется использовать более старую команду SECEDIT.

Иногда бывает так, что, когда администратор имеет дело с межсетевыми экранами, компьютерами Windows 2000 или строгой корпоративной политикой безопасности, единственным способом обнаружить и устранить неисправности в настройках политики для него становится регистрация на нужном компьютере в качестве пользователя. Запустив строчную команду GPRESULT, вы получаете данные, касающиеся времени последнего применения GP, примененных GPO, привилегий компьютера и учетной записи пользователя, а также информацию относительно их членства в группах. Для отображения примененных настроек компьютеров и пользователей каждого GPO вы также можете воспользоваться более старым инструментом — RSOP.MSC рабочей станции Windows.

GP является мощным средством управления, которое должно входить в арсенал каждого администратора AD. Только будьте осторожны в пользовании им — то, что даже опытным администраторам поначалу представляется тривиальным изменением, может вылиться в поток звонков в службу технической поддержки. Вам необходимо задействовать расширенные средства управления GP, тестировать изменения перед их применением к работающим системам и, что самое главное, выработать масштабную стратегию управления изменениями. В конце концов рано или поздно вы все равно станете мудрее..





  
10 '2006
СОДЕРЖАНИЕ

инфраструктура

• Коммутаторы для центров обработки данных

• Организация подходящей сетевой инфраструктуры для RFID

• Тестируем корпоративные продукты wiki

• Лучшие экспонаты выставки Interop Las Vegas 2006

• NAS для масс

информационные системы

• Дорожная карта Unix

• Спецификации и стандарты Web-сервисов

• ESB как становой хребет SOA

сети связи

• IMS для корпоративных пользователей

кабельные системы

• Многомодовое «меню»

• Заземление в центрах обработки данных

• Аутентификация отправителей e-mail и борьба со спамом

защита данных

• Азы протокола WPA2

• Настройка групповой политики в Active Directory

новые продукты

• Новые мощные серверы компании R-Style Computers


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх