Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 24 (всего у книги 91 страниц)
кальных объектов GPO. Объект G P O Локальный компьютер ( L o c a l Computer)
не отличается от объекта G P O в предыдущих версиях W i n d o w s . В у з л е Кон-
фигурация компьютера (Computer Configuration) о т к о н ф и г у р и р у й т е все пара-
метры, в узле Конфигурация пользователя (User C o n f i g u r a t i o n ) – параметры,
которые хотите применить для всех пользователей к о м п ь ю т е р а . Параметры
пользователей в объекте G P O локального компьютера м о д и ф и ц и р у ю т с я с по-
мощью пользовательских параметров в двух новых л о к а л ь н ы х о б ъ е к т а х GP0:
Администраторы (Administrators) и Не администраторы (Non-Administrators).
Эти два объекта G P O применяют пользовательские п а р а м е т р ы к вошедшему в
систему пользователю, который является членом л о к а л ь н о й г р у п п ы админис-
траторов или стандартным пользователем. Параметры п о л ь з о в а т е л я коррек-
тируются с помощью локального объекта G P O , п р и м е н я е м о г о к конкретной
учетной записи пользователя. Локальные объекты G P O п о л ь з о в а т е л е й связайы
с локальными (не доменными) учетными записями п о л ь з о в а т е л е й . J
Для параметров компьютера легко определить р е з у л ь т и р у ю щ у ю политику
RSop, поскольку объект GPO Локальный компьютер (Local C o m p u t e r ) – единс-
твенный локальный объект GPO, применяющий параметры к о м п ь ю т е р а . Пара-
метры пользователя и G P O пользователей заменят к о н ф л и к т у ю щ и е параметры
в объектах GPO для администраторов и не администраторов, к о т о р ы е сами
заменяют параметры в G P O локального компьютера. К о н ц е п ц и я довольно
простая: чем специфичнее локальный объект G P O , тем в ы ш е п р и о р и т е т его
параметров.
Для того чтобы создать и отредактировать л о к а л ь н ы й о б ъ е к т G P O , щелк-
ните кнопку Пуск (Start) и в поле Начать поиск ( S t a r t Search) введите ттс.ехе,
чтобы открыть пустую консоль М М С (Microsoft M a n a g e m e n t C o n s o l e ) . Щелк-
ните меню Консоль (File) и выполните команду Д о б а в и т ь и л и у д а л и т ь оснас-
тку (Add/Remove Snap-in). Выберите Редактор объектов г р у п п о в о й политики
(Group Policy Object Editor) и щелкните кнопку Д о б а в и т ь ( A d d ) . Откроется
диалоговое окно, в котором по умолчанию выбран G P O Л о к а л ь н ы й компью-
тер (Local Computer). Чтобы отредактировать еще один л о к а л ь н ы й объект
GPO, щелкните кнопку Обзор (Browse). На в к л а д к е П о л ь з о в а т е л и (Users)
расположены объекты G P O Администраторы (Administrators) и Не админист-
раторы (Non-Administrators), а также по одному G P O д л я каждого локального
пользователя. Выберите объект G P O и щелкните О К . Далее щ е л к н и т е кнопку
Готово (Finish), а затем ОК, чтобы закрыть все диалоговые окна. Добавлений"
редактор объектов групповой политики будет с ф о к у с и р о в а н на выбранной
объекте GPO. •
Занятие 1
Реализация групповой политики 2 3 7
П о м н и т е , ч т о л о к а л ь н ы е о б ъ е к т ы G P O м о ж н о к о н ф и г у р и р о в а т ь н а до-
м а ш н е м к о м п ь ю т е р е , п о с к о л ь к у о н и н е п р е д н а з н а ч е н ы д л я д о м е н н ы х сред.
В доменной среде п а р а м е т р ы объектов G P O д о м е н а з а м е н я ю т конфликтующие
параметры в л о к а л ь н ы х о б ъ е к т а х G P O , п о э т о м у у п р а в л е н и е конфигурацией
в домене л у ч ш е всего о с у щ е с т в л я т ь с п о м о щ ь ю д о м е н н ы х объектов G P O .
Доменные объекты GPO
Д о м е н н ы е объекты G P O , п р е д н а з н а ч е н н ы е д л я централизованного управления
к о н ф и г у р а ц и е й п о л ь з о в а т е л е й и к о м п ь ю т е р о в в домене, создаются в Active
D i r e c t o r y и х р а н я т с я на к о н т р о л л е р а х д о м е н а . В о с т а в ш е й с я части данного
руководства мы б у д е м о б с у ж д а т ь п р е и м у щ е с т в е н н о д о м е н н ы е объекты груп-
повой п о л и т и к и ( G P O ) , а н е л о к а л ь н ы е G P O .
П р и у с т а н о в к е A D D S с о з д а ю т с я д в а о б ъ е к т а G P O п о умолчанию.
• D e f a u l t D o m a i n P o l i c y Э т о т о б ъ е к т G P O п р и в я з ы в а е т с я к домену и не
располагает г р у п п о й безопасности1 и л и ф и л ь т р а м и W M I . Поэтому о н вли-
яет на в с е х п о л ь з о в а т е л е й и к о м п ь ю т е р ы в домене ( в к л ю ч а я компьютеры,
я в л я ю щ и е с я к о н т р о л л е р а м и д о м е н а ) . С о д е р ж и т параметры, назначающие
п о л и т и к и паролей, б л о к и р о в к и у ч е т н ы х записей и Kerberos. Существующие
п а р а м е т р ы м о д и ф и ц и р у ю т с я и п р и в о д я т с я в соответствие с политиками
б л о к и р о в к и у ч е т н ы х з а п и с е й и п а р о л е й на п р е д п р и я т и и , однако несвя-
з а н н ы е п а р а м е т р ы п о л и т и к и , к а к правило, н е добавляются. Чтобы откон-
ф и г у р и р о в а т ь и п р и м е н я т ь на у р о в н е д о м е н а другие параметры, следует
с о з д а в а т ь д о п о л н и т е л ь н ы е о б ъ е к т ы G P O и п р и в я з ы в а т ь их к домену.
• D e f a u l t D o m a i n Controllers P o l i c y Д а н н ы й объект G P O привязан к под-
р а з д е л е н и ю D o m a i n C o n t r o l l e r s . П о с к о л ь к у учетные записи контроллеров
доменов х р а н я т с я т о л ь к о в п о д р а з д е л е н и и D o m a i n Controllers, а учетные
з а п и с и д р у г и х к о м п ь ю т е р о в д о л ж н ы х р а н и т ь с я в д р у г и х подразделениях,
этот о б ъ е к т G P O в л и я е т т о л ь к о н а к о н т р о л л е р ы домена. Объект групповой
п о л и т и к и D e f a u l t D o m a i n C o n t r o l l e r s следует м о д и ф и ц и р о в а т ь , чтобы реа-
л и з о в а т ь п о л и т и к и а у д и т а (об этом речь идет в главах 7 и 8) и предоставить
• н е о б х о д и м ы е на к о н т р о л л е р а х д о м е н а п о л ь з о в а т е л ь с к и е права.
Создание, связывание и редактирование объектов GPO
Д л я того ч т о б ы с о з д а т ь о б ъ е к т G P O , щ е л к н и т е правой к н о п к о й м ы ш и контей-
нер О б ъ е к т ы г р у п п о в о й п о л и т и к и ( G r o u p Policy Objects) и выполните команду
Создать ( N e w ) . Д л я с о з д а н и я G P O в к о н т е й н е р е О б ъ е к т ы групповой политики
нужны с о о т в е т с т в у ю щ и е р а з р е ш е н и я .
П о у м о л ч а н и ю р а з р е ш е н и е н а с о з д а н и е объектов G P O делегируется груп-
пам А д м и н и с т р а т о р ы д о м е н а ( D o m a i n Admins) и Владельцы – создатели груп-
повой п о л и т и к и ( G r o u p P o l i c y C r e a t o r O w n e r s ) . Ч т о б ы д е л е г и р о в а т ь разре-
шение д р у г и м г р у п п а м , в д е р е в е к о н с о л и р е д а к т о р а у п р а в л е н и я групповыми
политиками G P M E в ы б е р и т е к о н т е й н е р О б ъ е к т ы групповой политики ( G r o u p
Policy O b j e c t s ) и на п а н е л и с в е д е н и й к о н с о л и п е р е й д и т е на в к л а д к у Делеги-
рование ( D e l e g a t i o n ) .
После с о з д а н и я G P O у к а ж и т е н а ч а л ь н у ю область действия, привязав его
к сайту, д о м е н у и л и п о д р а з д е л е н и ю . Щ е л к н и т е к о н т е й н е р п р а в о й к н о п к о й
238 Инфраструктура групповой политики
Глава 6
мыши н выполните команду Связать существующий объект G P O (Link An
Existing GPO). Чтобы отобразить сайты в консоли у п р а в л е н и я групповой
политикой в узле Сайты (Sites), щелкните правой кнопкой м ы ш и контейнер
Сайты, выполните команду Показать сайты (Show Sites) и выберите сайты,
которыми хотите управлять. Вы также можете создать и п р и в я з а т ь объект
GPO: щелкните правой кнопкой мыши сайт, домен или подразделение, а потом
введите команду Создать объект G P O в этом домене и с в я ж и т е его ( C r e a t e
A GPO In This Domain And Link It Here).
Кроме того, необходимо разрешение на связывание объекта G P O с сай-
том, доменом или подразделением. В дереве консоли у п р а в л е н и я групповой
политикой (GPMC) выберите контейнер и на панели сведений к о н с о л и пе-
рейдите на вкладку Делегирование (Delegation). В р а с к р ы в а ю щ е м с я списке
Разрешение (Permission) выберите разрешение Связанные объекты G P O (Link
GPOs). Отображаемые пользователи и группы обладают этим разрешением для
выбранного подразделения. Для модификации делегирования и с п о л ь з у ю т с я
кнопки Добавить (Add) и Удалить (Remove).
Для того чтобы отредактировать G P O в контейнере О б ъ е к т ы групповой
политики (Group Policy Objects), щелкните правой кнопкой м ы ш и объект G P O
и выполните команду Изменить (Edit). Объект G P O откроется в Редакторе
управления групповыми политиками G P M E . Д л я того чтобы о т к р ы т ь объект
GPO в этом редакторе, необходимо как минимум разрешение чтения, а чтобы
внести изменения в GPOI – разрешение записи ( W r i t e ) в G P O . Назначьте
разрешения для объекта GPO: выберите G P O в контейнере О б ъ е к т ы групповой
политики (Group Policy Objects) и на панели сведений к о н с о л и п е р е й д и т е на
вкладку Делегирование (Delegation).
Редактор управления групповыми политиками G P M E отобразит в корневом
узле имя GPO. Редактор также отображает домен, в котором определен G P O ,
и сервер, на котором был открыт G P O и на который будут вноситься изменения.
Корневой узел использует формат Имя_СРО [Имясервера]. На рис. 6-2 корне-
вым является узел Политика CONTOSO Стандарты [SERVER01.contoso.com].
Таким образом, объект GPO с именем C O N T O S O Стандарты открыт на машине
SERVER01.contoso.com, то есть этот G P O определен в д о м е н е contoso.com.
Хранилище объектов GPO
Параметры групповой политики представлены в инструментах пользователь-
ского интерфейса Active Directory как объекты G P O , однако на самом деле
объект групповой политики GPO составляют два компонента: Контейнер груп-
повой политики GPC (Group Policy Container) и Шаблон групповой политики
GPT (Group Policy Template). GPT,представляет собой объект Active Directory,
который хранится в контейнере Объекты групповой п о л и т и к и ( G r o u p Policy
Objects) в контексте именования домена каталога. Аналогично всем объектам
Active Directory каждый объект GPC содержит атрибут глобального уникаль-
ного идентификатора (GUID), который уникально и д е н т и ф и ц и р у е т объект
в Active Directory. Объект GPC определяет основные атрибуты G P O , но не
содержит никаких параметров. Параметры находятся в объекте GPT, который
представляет собой коллекцию файлов в каталоге SYSVOL каждого контролле– J
Занятие 1
Реализация групповой политики 2 3 9
ра д о м е н а в п а п к е % S y s t e m R o o t % S Y S V O L D o m a i n P o l i c i e s G £ t f £ > _ объекта
GPO, где G U I D – и д е н т и ф и к а т о р о м о б ъ е к т а G P O я в л я е т с я G U I D объекта G P C .
И з м е н е н и я о б ъ е к т а G P O с о х р а н я ю т с я в о б ъ е к т е G P T сервера, н а к о т о р о м б ы л
о т к р ы т о б ъ е к т G P O .
П о у м о л ч а н и ю п р и о б н о в л е н и и г р у п п о в о й п о л и т и к и к л и е н т с к и е р а с ш и р е -
ния C S E п р и м е н я ю т п а р а м е т р ы G P O т о л ь к о в т о м случае, е с л и о б ъ е к т G P O
был и з м е н е н . К л и е н т г р у п п о в о й п о л и т и к и м о ж е т и д е н т и ф и ц и р о в а т ь обновлен-
ный о б ъ е к т G P O п о н о м е р у в е р с и и . Л ю б о й о б ъ е к т G P O и м е е т н о м е р версии,
к о т о р ы й у в е л и ч и в а е т с я к а ж д ы й раз, к о г д а в о б ъ е к т в н о с я т с я и з м е н е н и я . Н о м е р
версии х р а н и т с я в а т р и б у т е G P C и т е к с т о в о м ф а й л е G P T . i n i в п а п к е G P T . К л и -
ент г р у п п о в о й п о л и т и к и з н а е т н о м е р в е р с и и к а ж д о г о р а н е е п р и м е н е н н о г о объ-
екта G P O . Е с л и в п р о ц е с с е о б н о в л е н и я г р у п п о в о й п о л и т и к и о б н а р у ж и в а е т с я ,
что н о м е р в е р с и и G P C б ы л и з м е н е н , к л и е н т с к и е р а с ш и р е н и я C S E н а з н а ч а ю т
о б н о в л е н и е э т о г о о б ъ е к т а G P O .
Контрольный вопрос
• Опишите обработку групповой политики по умолчанию, включая интервалы
о б н о в л е н и я и п р и м е н е н и е параметров политики клиентскими расширени-
я м и C S E .
Ответ на контрольный вопрос
• К а ж д ы е 9 0 – 1 2 0 м и н с л у ж б а К л и е н т групповой политики (Group Policy
Client) о п р е д е л я е т объекты G P O , под область действия которых подпадает
пользователь и л и компьютер, и загружает все обновленные объекты G P O
на основе их н о м е р о в в е р с и й . Клиентские расширения CSE выполняют
обработку п о л и т и к в объектах G P O в соответствии с их конфигурацией
обработки п о л и т и к и . По у м о л ч а н и ю большинство клиентских расширений
CSE п р и м е н я ю т п а р а м е т р ы политики только в случае обновления объекта
G P O . Н е к о т о р ы е к л и е н т с к и е р а с ш и р е н и я CSE не применяют параметры
политики в случае о п р е д е л е н и я медленного подключения.
Репликация объектов GPO
Р е п л и к а ц и я д в у х с о с т а в л я ю щ и х о б ъ е к т а G P O в ы п о л н я е т с я м е ж д у к о н т р о л л е -
рами д о м е н а с п о м о щ ь ю о т д е л ь н ы х м е х а н и з м о в . О б ъ е к т G P C в Active Direc-
t o r y р е п л и ц и р у е т с я а г е н т о м р е п л и к а ц и и к а т а л о г о в D R A ( D i r e c t o r y Replication
A g e n t ) с и с п о л ь з о в а н и е м т о п о л о г и и , г е н е р и р у е м о й м е х а н и з м о м п р о в е р к и це-
л о с т н о с т и К С С ( K n o w l e d g e C o n s i s t e n c y C h e c k e r ) . Б о л е е п о д р о б н о э т и с л у ж б ы
о п и с а н ы в г л а в е 11. В р е з у л ь т а т е о б ъ е к т G P C р е п л и ц и р у е т с я в т е ч е н и е не-
с к о л ь к и х с е к у н д на в с е к о н т р о л л е р ы д о м е н а в сайте, а п о т о м – м е ж д у с а й т а м и
в с о о т в е т с т в и и с к о н ф и г у р а ц и е й р е п л и к а ц и и м е ж д у у з л а м и , к о т о р а я т а к ж е
описана в г л а в е 11.
О б ъ е к т G P T в п а п к е S Y S V O L р е п л и ц и р у е т с я с п о м о щ ь ю о д н о й и з д в у х
т е х н о л о г и й . С л у ж б а Р е п л и к а ц и я ф а й л о в ( F i l e R e p l i c a t i o n Service, F R S ) ис-
пользуется д л я р е п л и к а ц и и S Y S V O L в д о м е н а х W i n d o w s Server 2008, W i n d o w s
Server 2 0 0 3 и W i n d o w s 2 0 0 0 . Е с л и н а в с е х к о н т р о л л е р а х д о м е н а у с т а н о в л е н а
система W i n d o w s S e r v e r 2 0 0 8 , р е п л и к а ц и ю S Y S V O L м о ж н о к о н ф и г у р и р о в а т ь
240 Инфраструктура групповой политики Глава 6
с помощью более эффективной и надежной службы р е п л и к а ц и и распределен– i
ной файловой системы DFSR (Distributed File System Replication).
Поскольку объекты GPC и G P T реплицируются по отдельности, в течение
небольшого промежутка времени они могут оставаться не синхронизированны-
ми. Такая ситуация, как правило, возникает, когда объект G P C реплицируется
на контроллер домена первым. Системы, получающие у п о р я д о ч е н н ы й список
объектов GPO от контроллера домена, идентифицируют н о в ы й объект GPC,
пытаются загрузить объект G P T и определяют, что их номера версий отлича-
ются. В журналы событий вносятся данные об ошибке обработки политики.
Если же объект GPT реплицируется на контроллер домена до объекта GPC,
клиенты, получающие упорядоченный список объектов G P O от контроллера
домена, не определят новые объекты GPO, пока не будет в ы п о л н е н а репли-
кация GPC.
В центре загрузки Microsoft доступно средство п р о в е р к и р е п л и к а ц и и
Gpotool.exe (Group Policy Verification Tool), которое входит в и н с т р у м е н т а р и й
Windows Resource Kits. Оно указывает состояние объектов G P O в домене и мо– ;
жет идентифицировать на контроллере домена э к з е м п л я р ы G P C и G P T с раз– ';
ными номерами версий. Для того чтобы получить подробную и н ф о р м а ц и ю об 1
использовании Gpotool.exe, введите в командной строке команду gpotool/?. j
СОВЕТ К ЭКЗАМЕНУ j
Инструмент Gpotool.exe используется для устранения неполадок состояния GPO, j
включая ошибки репликации GPO, в результате которых нарушается согласован-
ность версий GPC и GPT.
Параметры политики
Параметры групповой политики (или просто п о л и т и к и ) содержатся в объекте
групповой политики GPO. Их можно просматривать и м о д и ф и ц и р о в а т ь в ре-
дакторе управления групповыми политиками G P M E . В этом подразделе мы ;
рассмотрим категории параметров в объекте G P O .
Узлы Конфигурация компьютера и конфигурация пользователя
Существует два основных раздела параметров групповой политики: параметры j
компьютера в узле Конфигурация компьютера ( C o m p u t e r C o n f i g u r a t i o n ) и па– 1
раметры пользователя в узле Конфигурация пользователя (User Configuration). [•
Узел конфигурации компьютера содержит параметры, применяемые к компыо– [
терам независимо от того, кто входит на них. Параметры компьютера приме-
няются при запуске операционной системы и обновляются в ф о н о в о м режиме ;
каждые 90-120 мин. Узел конфигурации пользователя содержит параметры, j
которые задействуются при входе пользователя на компьютер и обновляются 1
в фоновом режиме каждые 90-120 мин. j
В узлах Конфигурация компьютера и Конфигурация пользователя содер– !
жатся узлы Политики (Policies) и Настройка (Preferences). Параметры в узле
Политики конфигурируются и применяются аналогично параметрам полити– [
ки в предыдущих версиях Windows. Узел Настройка есть только в W i n d o w s ,
Server 2008. !
Занятие 1 Реализация групповой политики 241
Узел К о н ф и г у р а ц и я п р о г р а м м
В узлах П о л и т и к и ( P o l i c i e s ) к о н ф и г у р а ц и и к о м п ь ю т е р о в и конфигурации
пользователей п р е д с т а в л е н а и е р а р х и я п а п о к с п а р а м е т р а м и политики. На
сертификационном эк зам ене и в д а н н о м руководстве не описаны все эти па-
раметры, поскольку их т ы с я ч и . О д н а к о имеет смысл определить обширные
категории п а р а м е т р о в п о л и т и к и в папках. П е р в ы м в этой иерархии указан
узел К о н ф и г у р а ц и я п р о г р а м м ( S o f t w a r e Settings), содержащий л и ш ь CSE-
расширение Установка п р о г р а м м ( S o f t w a r e Installation), позволяющее указать
процедуру у с т а н о в к и и п о д д е р ж к и п р и л о ж е н и й в организации. В нее могут
добавлять п а р а м е т р ы и с т о р о н н и е п о с т а в щ и к и программного обеспечения.
Развертывание п р о г р а м м н о г о о б е с п е ч е н и я с п о м о щ ь ю групповой политики
описано в главе 7.
У з е л К о н ф и г у р а ц и я W i n d o w s
Узел Политики (Policies) в обоих узлах, К о н ф и г у р а ц и я компьютера (Computer
Configuration) и К о н ф и г у р а ц и я п о л ь з о в а т е л я (User Configuration), содержит
узел К о н ф и г у р а ц и я W i n d o w s ( W i n d o w s Settings) с узлами Сценарии (Scripts),
Параметры безопасности ( S e c u r i t y Settings) и Q o S на основе политики (Policy-
Based QoS).
Расширение С ц е н а р и и ( S c r i p t s ) п о з в о л я е т указать два типа сценариев: за-
пуск/завершение (в у з л е к о н ф и г у р а ц и и компьютера) и вход-выход из системы
(в узле к о н ф и г у р а ц и и п о л ь з о в а т е л я ) . С ц е н а р и и запуска/завершения запус-
каются при загрузке и з а в е р ш е н и и р а б о т ы компьютера, входа-выхода – при
входе и выходе пользователя из системы. Если назначить множество сценариев
входа-выхода и л и з а п у с к а / з а в е р ш е н и я д л я п о л ь з о в а т е л я или компьютера,
CSE-расширение С ц е н а р и и ( S c r i p t s ) будет в ы п о л н я т ь эти сценарии в порядке
их перечисления в списке. По у м о л ч а н и ю в р е м я ожидания обработки сцена-
риев составляет 10 мин. Е с л и д л я о б р а б о т к и сценариев выхода и завершения
требуется больше в р е м е н и , н у ж н о и з м е н и т ь в р е м я ожидания с помощью пара-
метра политики. Д л я с о з д а н и я с ц е н а р и е в используется любой язык сценариев
ActiveX, в к л ю ч а я M i c r o s o f t Visual Basic, Scripting Edition (VBScript), Microsoft
JScript, Perl а т а к ж е к о м а н д н ы е ф а й л ы .bat и .smd в стиле Microsoft MS DOS.
Сценарии входа в о б щ е с е т е в о м к а т а л о г е еще одного леса поддерживаются
службами сетевого входа м е ж д у лесами.
Узел П а р а м е т р ы б е з о п а с н о с т и ( S e c u r i t y Settings) позволяет администра-
тору к о н ф и г у р и р о в а т ь б е з о п а с н о с т ь с п о м о щ ь ю объектов G P O . Настройку
безопасности с и с т е м ы м о ж н о в ы п о л н и т ь п о с л е и л и вместо использования
шаблона безопасности. П о д р о б н о е описание безопасности систем и узла Па-
раметры безопасности ( S e c u r i t y Settings) содержится в главе 7.
Узел QoS на основе п о л и т и к и (Policy-Based Q o S ) определяет политики,
которые у п р а в л я ю т сетевым т р а ф и к о м . Н а п р и м е р , если понадобится, чтобы
пользователи в отделе ф и н а н с о в во в р е м я с о з д а н и я годового финансового
отчета обладали п р и о р и т е т о м запуска важного сетевого приложения, то эти
параметры можно о п р е д е л и т ь в узле Q o S на основе политики.
Папка К о н ф и г у р а ц и я W i n d o w s ( W i n d o w s Settings) в узле Конфигурация
пользователя ( U s e r C o n f i g u r a t i o n ) содержит дополнительные узлы Службы
242 Инфраструктура групповой политики
Глава 6
удаленной установки (Remote Installation Services), Перенаправление папки
(Folder Redirection) и Настройка Internet Explorer ( I n t e r n e t Explorer Mainte-
nance).
Политики служб удаленной установки RIS (Remote Installation Services)
контролируют удаленную установку операционной системы с помощью служб
RIS. Политики перенаправления папки позволяют перенаправлять папки дан-
ных и параметров пользователей (например, AppData, Desktop, D o c u m e n t s ,
Pictures, Music и Favorites) из размещения п о л ь з о в а т е л ь с к о г о п р о ф и л я по
умолчанию в альтернативное сетевое размещение, где ими м о ж н о централизо-
ванно управлять. Политики настройки Internet Explorer п о з в о л я ю т админис-
трировать и настраивать Microsoft Internet Explorer.
Узел Административные шаблоны
В узлах Конфигурация компьютера (Computer Configuration) и К о н ф и г у р а ц и я
пользователя (User Configuration) содержится узел Административные шабло-
ны (Administrative Templates) с параметрами групповой п о л и т и к и реестра. Д л я
настройки пользовательской и компьютерной среды в этом узле используются
тысячи параметров. Администратору придется потратить н е м а л о в р е м е н и на
манипулирование этими параметрами. Д л я облегчения работы администратора
в двух местах представлено описание каждого параметра п о л и т и к и .
• Вкладка Объяснение (Explain) диалогового о к н а С в о й с т в а ( P r o p e r t i e s )
параметра политики,-Кроме того на вкладке Параметр ( S e t t i n g s ) указана
требуемая операционная система или программное обеспечение.
• Вкладка Расширенный (Extended) редактора у п р а в л е н и я г р у п п о в ы м и по-
литиками GPME находится справа внизу на панели сведений и с о д е р ж и т
описание каждого выбранного параметра между деревом к о н с о л и и пане-
лью сведений. Указана требуемая операционная система и л и программное
обеспечение.
Административные шаблоны подробно описаны в разделе «Администра-
тивные шаблоны».
Узел Настройка
В обоих узлах конфигурации компьютера и к о н ф и г у р а ц и и п о л ь з о в а т е л я со-
держится узел Настройка (Preferences). Этот новый узел Win'dovvs Server 2008
содержит более 20 клиентских расширений CSE, с п о м о щ ь ю к о т о р ы х осу-
ществляется управление огромным количеством д о п о л н и т е л ь н ы х параметров,
включая следующие:
• такие приложения, как Microsoft Office 2003 и Office 2007;
• сопоставления дисков;
• параметры реестра;
• электропитание;
• свойства папки;
• региональные параметры;
• главное меню. '
Занятие 1
Реализация групповой политики 2 4 3
С п о м о щ ь ю у з л а Н а с т р о й к а ( P r e f e r e n c e s ) м о ж н о р а з в е р н у т ь такие компо-
ненты:
• ф а й л ы и п а п к и ;
• п р и н т е р ы ;
• н а з н а ч е н н ы е з а д а н и я ;
• сетевые п о д к л ю ч е н и я .
М н о г и е п р е д п р и я т и я п о л ь з у ю т с я п р е и м у щ е с т в а м и параметров Настрой-
ка ( P r e f e r e n c e s ) , п о с к о л ь к у о н и п р и м е н я ю т с я д л я в к л ю ч е н и я и отключения
а п п а р а т н ы х у с т р о й с т в и л и к л а с с о в у с т р о й с т в . Н а п р и м е р , в узле Настройка
м о ж н о з а п р е т и т ь п о д к л ю ч е н и е к к о м п ь ю т е р у ж е с т к и х дисков USB, включая
п р о и г р ы в а т е л и м у л ь т и м е д и а .
Н о в у ю в е р с и ю р е д а к т о р а у п р а в л е н и я г р у п п о в ы м и п о л и т и к а м и G P M E ,
п о д д е р ж и в а ю щ у ю у з е л Н а с т р о й к а ( P r e f e r e n c e s ) , м о ж н о загрузить для системы
W i n d o w s Vista S P 1 и з ц е н т р а з а г р у з к и Microsoft, расположенному п о адресу
http://www.microsoft.com/downloads. Д л я того чтобы применить настройки в сис-
теме, н е о б х о д и м ы к л и е н т с к и е р а с ш и р е н и я C S E настроек, которые включены в
W i n d o w s Server 2008. К л и е н т с к и е р а с ш и р е н и я C S E д л я Windows ХР, Windows
Server 2003 и W i n d o w s V i s t a н а х о д я т с я в центре загрузки Microsoft.
И н т е р ф е й с к о н ф и г у р а ц и и п а р а м е т р о в в узле Н а с т р о й к а (Preferences) ана-
логичен п о л ь з о в а т е л ь с к о м у и н т е р ф е й с у Windows, где изменения можно внести
вручную. На р и с . 6 – 4 п о к а з а н элемент н а с т р о й к и Свойства папки (Windows
Х Р ) ( F o l d e r O p t i o n s ( W i n d o w s Х Р ) ) , к о т о р ы й представляет собой коллекцию
параметров, о б р а б а т ы в а е м ы х C S E – р а с ш и р е н и е м Настройка (Preferences). Эта
к о л л е к ц и я а н а л о г и ч н а с в о й с т в а м п а п к и н а п а н е л и управления.
Свойстве; Свойства палка (
S E S f f i l i . / 1 Щ
Д о п о л н и т е л ь н ы е | О б щ и е п а р а м е т р ы |
Д о п о л н и т е л ь н ы е п а р а м е т р ы :
(71 Автоматический поиск сетевых папок и принтеров
О т о б р а ж а т ь с в е д е н и я о р а з м е р е ф а й л о в в п о д с к а з к а х пг
( 3 О т о б р а ж а т ь п р о с т о и в.д п а п о к в с п и с к е п а п о к " П р о в о д и
[ j О т о б р а ж а т ь с о д е р ж и м о е с и с т е м а х п а п о к
[ у ] В ы в о д и т ь п о л н ы й п у т ь в п а н е л и а д р е с а
• В ы в о д и т ь п о л н ы й п у т ь в с т р о к е з а г о л о в к а
Г " | Н е к э ш и р о в а т ь э с к и з ы
i r * ) С к р ы т ы е ф а й л ы и п а п к и
0 Не п о к а з ь в а т ь с к р ы т ы е ф а й л ы и п а п к и
О П о к а з ы в а т ь с к р ы т ы е ф а й г ы и п а п к и
( 3 С к р ы в а т ь р а с ш и р е н и я д л я з а р е г и с т р и р о в а н н ы х т и п о в 4 к
1 3 С к р ы в а т ь з а щ и щ е м г ы е с и с т е м н ы е ф а й / ы { р е к о м е н д у е т е * – ^
[ 3 З а п у с к а т ь о к н а с п а п к а м и в о т д е л ь н о м п р о ц е с с е
[ 3 П о м н и т ь п а р а м е т р ы о т о б р а ж е н и я к а ж д о й п а п к и
Р 1 В о с с т а м а в п и в а т ь п р е ж н и е о к н а п а п о к п р и в х о д е в систек
гге> у [
^ – У..'-::– – ' 7
В о с с т а н о в и т ь з н а ч е н и я по у м о я ч а т – э о I
Рис. 6-4. Элемент настройки Свойства папки
244 Инфраструктура групповой политики
Глава 6
Административные шаблоны
Политики в узле Административные шаблоны (Administrative Templates) кон-
фигурации компьютера (Computer Configuration) м о д и ф и ц и р у ю т з н а ч е н и я
реестра в ключе H K E Y _ L O C A L _ M A C H I N E ( H K L M ) , п о л и т и к и в у з л е Адми-
нистративные шаблоны конфигурации пользователя ( U s e r C o n f i g u r a t i o n ) —
в ключе H K E Y _ C U R R E N T _ U S E R ( H K C U ) . Б о л ь ш и н с т в о з н а ч е н и й реестра,
модифицируемых политиками по умолчанию, находятся в одном из следующих
четырех зарезервированных деревьев:
л HKLMSoftwarePolicies (конфигурация компьютера);
• HKCUSoftwarePolicies (конфигурация пользователя);
• HKLMSoftwareMicrosoftWindowsCurrentVersionPolicies ( к о н ф и г у р а -
ция компьютера);
• II K C U S o f t w a r e M i c r o s o f t W i n d o w s C u r r e n t V e r s i o n Policies ( к о н ф и г у р а -
ция пользователя). , ,
Административный шаблон – это текстовый файл, у к а з ы в а ю щ и й на измене-
ние реестра и генерирующий пользовательский и н т е р ф е й с д л я н а с т р о й к и пара-
метра политики административных шаблонов в редакторе G P M E . На рис. 6 – 3
показано диалоговое окно свойств параметра п о л и т и к и З а п р е т и т ь д о с т у п к
средствам редактирования реестра ( P r e v e n t Access То Registry E d i t i n g Tools).
Наличие этого параметра политики, раскрывающийся список д л я о т к л ю ч е н и я
запуска редактора реестра без предупреждения, а т а к ж е п а р а м е т р р е е с т р а на
основе политики определяются в административном шаблоне.
При необходимости добавить в редактор G P M E н о в ы е а д м и н и с т р а т и в н ы е
шаблоны нужно щелкнуть правой кнопкой м ы ш и узел А д м и н и с т р а т и в н ы е шаб-
лоны (Administrative Templates) и выполнить команду Д о б а в л е н и е и у д а л е н и е
шаблонов (Add/Remove Templates). Некоторые поставщики программного обес-
печения предоставляют административные ш а б л о н ы в качестве ц е н т р а л и з о -
ванного механизма управления конфигурацией своих п р и л о ж е н и й . Н а п р и м е р ,
в центре загрузки Microsoft доступны все административные ш а б л о н ы д л я всех
версий Microsoft Office. Вы также можете создавать с о б с т в е н н ы е н а с т р а и в а е -
мые административные шаблоны. Создание настраиваемых а д м и н и с т р а т и в н ы х
шаблонов в данном руководстве не рассматривается.
В версиях Windows ниже Windows Vista д л я а д м и н и с т р а т и в н о г о ш а б л о -
на используется расширение .adm. При работе с ф а й л а м и A D M н е о б х о д и м о
учесть следующее. Во-первых, нужно в ы п о л н и т ь всю л о к а л и з а ц и ю , то есть
для создания файла ADM, используемого п р и р а з в е р т ы в а н и и к о н ф и г у р а ц и и
