Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 33 (всего у книги 91 страниц)
миналов (Allow Log On Through Terminal Services).
14. Просмотрите отличия. На компьютере д л я группы Удаленный рабочий стол
SYS_DC не отконфигурировано разрешение на подключение с помощью
удаленного рабочего стола.
15. Обратите также внимание на то, что ф л а ж о к На компьютере (Computer
Setting) разрешает администраторам входить через службы терминалов.
Этот важный параметр следует внедрить в базу данных.
- Занятие 2
Управление параметрами безопасности 3Q7
16. У с т а н о в и т е ф л а ж о к В б а з е д а н н ы х ( D a t a b a s e S e t t i n g ) д л я администраторов
и щ е л к н и т е О К . Т а к и м о б р а з о м в базу д а н н ы х будет добавлено право входа
через с л у ж б ы т е р м и н а л о в д л я а д м и н и с т р а т о р о в . Ш а б л о н при этом н е будет
и з м е н е н , к а к и т е к у щ а я к о н ф и г у р а ц и я к о м п ь ю т е р а .
17. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л А н а л и з и н а с т р о й к а безопасности
( S e c u r i t y C o n f i g u r a t i o n A n d A n a l y s i s ) и в ы п о л н и т е к о м а н д у Сохранить
( S a v e ) . Б а з а д а н н ы х б е з о п а с н о с т и б у д е т с о х р а н е н а вместе с параметрами,
и м п о р т и р о в а н н ы м и и з ш а б л о н а , и в н е с е н н ы м и з м е н е н и е м , разрешающим
в х о д а д м и н и с т р а т о р о в ч е р е з с л у ж б ы т е р м и н а л о в . Н а п а н е л и состояния
п р и в ы б о р е к о м а н д ы С о х р а н и т ь о т о б р а ж а е т с я подсказка, где указано, что
в ы с о х р а н я е т е ш а б л о н . Э т о н е к о р р е к т н а я п о д с к а з к а . Н а самом деле в ы
с о х р а н я е т е б а з у д а н н ы х .
18. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л А н а л и з и настройка безопасности
( S e c u r i t y C o n f i g u r a t i o n A n d A n a l y s i s ) и в ы п о л н и т е команду Экспорт шаб-
л о н а ( E x p o r t T e m p l a t e ) .
19. В ы б е р и т е ш а б л о н Р а б о ч и й с т о л D C и щ е л к н и т е к н о п к у Сохранить (Save).
Т а к и м о б р а з о м вы з а м е н я е т е в ш а б л о н е , с о з д а н н о м в упражнении 2, пара-
м е т р ы , о п р е д е л е н н ы е в б а з е д а н н ы х о с н а с т к и А н а л и з и настройка безопас-
н о с т и ( S e c u r i t y C o n f i g u r a t i o n A n d Analysis).
20. З а к р о й т е и в н о в ь о т к р о й т е к о н с о л ь У п р а в л е н и е безопасностью, чтобы пол-
н о с т ь ю о б н о в и т ь п а р а м е т р ы в о с н а с т к е Ш а б л о н ы безопасности (Security
T e m p l a t e s ) .
21. Р а з в е р н и т е ш а б л о н C:UsersAflMHHHCTpaTopDocumentsSecurityTemp-
l a t e s У д а л е н н ы й р а б о ч и й с т о л D C и о т к р о й т е п а п к у Локальные политики
Н а з н а ч е н и е п р а в п о л ь з о в а т е л я ( L o c a l P o l i c i e s U s e r Rights Assignment).
22. На п а н е л и с в е д е н и й д в а ж д ы щ е л к н и т е п а р а м е т р Р а з р е ш а т ь вход в систему
ч е р е з с л у ж б у т е р м и н а л о в ( A l l o w Log O n T h r o u g h Terminal Services).
23. О б р а т и т е в н и м а н и е на то, что в ш а б л о н е безопасности обеим группам —
А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) и У д а л е н н ы й рабочий стол SYS_DC —
р а з р е ш е н о в х о д и т ь ч е р е з с л у ж б ы т е р м и н а л о в .
24. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л А н а л и з и настройка безопасности
( S e c u r i t y C o n f i g u r a t i o n A n d Analysis) и в ы п о л н и т е команду Настроить ком-
п ь ю т е р ( C o n f i g u r e C o m p u t e r N o w ) .
25. Щ е л к н и т е О К , ч т о б ы п о д т в е р д и т ь п у т ь к ж у р н а л у ошибок. Параметры базы
д а н н ы х б у д у т п р и м е н е н ы к серверу. Д а л е е проверьте, изменены ли права
п о л ь з о в а т е л я .
26. В г р у п п е А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) откройте консоль
Л о к а л ь н а я п о л и т и к а б е з о п а с н о с т и (Local Security Policy). Если во время
в ы п о л н е н и я этого у п р а ж н е н и я к о н с о л ь б ы л а открыта, щелкните правой
к н о п к о й м ы ш и у з е л П а р а м е т р ы б е з о п а с н о с т и ( S e c u r i t y Settings) и выпол-
ните к о м а н д у П е р е з а г р у з и т ь ( R e l o a d ) .
27. Р а з в е р н и т е у з е л П а р а м е т р ы б е з о п а с н о с т и Л о к а л ь н ы е . п о л и т и к и Н а з н а -
ч е н и е п р а в п о л ь з о в а т е л я ( S e c u r i t y S e t t i n g s L o c a l P o l i c i e s U s e r Rights
A s s i g n m e n t ) . Д в а ж д ы щ е л к н и т е п а р а м е т р Р а з р е ш а т ь вход в систему через
с л у ж б у т е р м и н а л о в ( A l l o w Log O n T h r o u g h Terminal Services).
' 3 2 4 Параметры групповой политики
Глава 7
28. Убедитесь, что в списке перечислены обе группы – А д м и н и с т р а т о р ы (Ad-
ministrators) и Удаленный рабочий стол S Y S _ D C .
Консоль Локальная политика безопасности (Local Security Policy)'отобра-
жает реальные текущие параметры сервера.
Упражнение 4. Использование мастера н а с т р о й к и б е з о п а с н о с т и
Создайте политику безопасности контроллеров в домене contoso.com на основе
конфигурации машины SERVER01 с п о м о щ ь ю мастера н а с т р о й к и безопас-
ности
1. Войдите на машину SERVER01 как администратор.
2. В группе Администрирование (Administrative Tools) о т к р о й т е Мастер на-
стройки безопасности (Security Configuration Wizard).
3. Щелкните Далее (Next).
4. Выберите действие Создать новую политику безопасности ( C r e a t e A New
Security Policy).
5. Примите имя сервера S E R V E R 0 1 по у м о л ч а н и ю и щ е л к н и т е Д а л е е
(Next).
6. На странице Обработка данных настройки безопасности (Processing Secu-
rity Configuration Database) вы можете щ е л к н у т ь к н о п к у П р о с м о т р базы
данных (View Configuration Database) и п р о с м о т р е т ь к о н ф и г у р а ц и ю на
машине SERVER01.
7. Щелкните Далее (Next) и на вводной странице секции На с т р о й ка служб на
основе ролей (Role Based Service Configuration) щ е л к н и т е Д а л е е (Next).
8. На страницах Выбор ролей сервера (Select Server Roles), Выбор клиент-
ских возможностей (Select Client Features), Выбор у п р а в л е н и я и других
параметров (Select Administration And O t h e r O p t i o n s ) , В ы б о р дополниг
тельных служб (Select Additional Services) и О б р а б о т к а неопределенных
ролей (Handling Unspecified Services) просмотрите п р и желании параметры,
обнаруженные на машине SERVER01, однако не и з м е н я й т е их. На каждой
странице щелкайте Далее (Next).
9. На странице Подтверждение изменений д л я служб ( C o n f i r m Service Chan-
ges) щелкните раскрывающийся список Просмотреть (View) и выберите
Все службы (All Services). Проанализируйте параметры в столбце Текущий
режим запуска (Current Startup Mode), отображающем р е ж и м ы запуска на
машине SERVER01, и сравните их с параметрами в столбце Р е ж и м запус-
ка политики (Policy Startup Mode). Щ е л к н и т е р а с к р ы в а ю щ и й с я список
Просмотреть (View) и выберите Измененные с л у ж б ы ( C h a n g e d Services).
Щелкните Далее (Next).
10. На вводной странице секции Сетевая безопасность (Network Security) щелк-
ните Далее (Next).
11. На странице Правила сетевой безопасности (Network Security Rules) вы
можете при желании проанализировать правила брандмауэра, выведенные
из конфигурации SERVER01. Не изменяйте их. Щ е л к н и т е Далее (Next).
- Занятие 2
Управление параметрами безопасности 3Q7
12. На вводной странице секции Параметры реестра (Registry Settings) щелк-
ните Далее ( N e x t ) .
13. Щ е л к а й т е Д а л е е ( N e x t ) на к а ж д о й странице секции Параметры реестра.
Проанализируйте, но не и з м е н я й т е параметры. На странице Сводка пара-
метров реестра ( R e g i s t r y Settings Summary) просмотрите заданные пара-
метры и щ е л к н и т е Д а л е е ( N e x t ) .
14. На в в о д н о й с т р а н и ц е с е к ц и и П о л и т и к а аудита (Audit Policy) щелкните
Далее (Next).
15. На странице П о л и т и к а аудита системы (System Audit Policy) просмотрите,
но не и з м е н я й т е п а р а м е т р ы . Щ е л к н и т е Далее (Next).
16. На странице Сводка п о л и т и к и аудита (Audit Policy Summary) проанализи-
руйте параметры в столбцах Текущее значение (Current Setting) и Параметр
п о л и т и к и (Policy S e t t i n g ) . Щ е л к н и т е Далее (Next).
17. На в в о д н о й с т р а н и ц е с е к ц и и С о х р а н е н и е политики безопасности (Save
Security Policy) щ е л к н и т е Д а л е е (Next).
18. В текстовое п о л е И м я ф а й л а п о л и т и к и безопасности (Security Policy File
Name) введите и м я Политика безопасности DC.
19. Щ е л к н и т е к н о п к у В к л ю ч е н и е ш а б л о н о в безопасности (Include Security
Templates).
20. Щ е л к н и т е Д о б а в и т ь ( A d d ) .
21. Л о к а л и з у й т е ш а б л о н Удаленный рабочий стол DC, созданный в упражне-
нии 2, к о т о р ы й н а х о д и т с я в папке DocumentsSecurityTemplates. Выбрав
шаблон, щ е л к н и т е О т к р ы т ь ( O p e n ) ,
22. Щ е л к н и т е О К , чтобы з а к р ы т ь диалоговое окно Включение шаблонов бе-
зопасности ( I n c l u d e Security Templates).
23. Щ е л к н и т е кнопку Просмотр политики безопасности (View Security Policy),
чтобы просмотреть параметры в политике безопасности. Вам будет предло-
жено подтвердить использование элемента управления ActiveX. Щелкните
Да (Yes). Просмотрев параметры политики, закройте окно, а затем щелкните
Далее (Next).
24. Выберите опцию П р и м е н и т ь позже (Apply Later) и щелкните Далее (Next).
25. Щ е л к н и т е Готово (Finish).
У п р а ж н е н и е 5. П р е о б р а з о в а н и е политики безопасности мастера
в групповую п о л и т и к у
Преобразуйте п о л и т и к у безопасности, созданную в упражнении 4, в объект
групповой п о л и т и к и G P O , к о т о р ы й затем можно развернуть на компьютерах
с помощью групповой политики.
1. Войдите на м а ш и н у S E R V E R 0 1 как администратор.
2. Откройте окно командной строки.
3. Введите команду cd c:windowssecuritymsscwpolicies и нажмите клавишу
Enter.
' 3 2 6 Параметры групповой политики
Глава 7
4. Введите команду scwcmd transform/? и н а ж м и т е к л а в и ш у Enter.
5. Введите команду scwcmd transform /р: «Политика безопасности DC.xml»/g:
«Политика безопасности DC» и н а ж м и т е к л а в и ш у Enter.
6. В группе Администрирование ( A d m i n i s t r a t i v e Tools) о т к р о й т е к о н с о л ь
Управление групповой политикой ( G r o u p Policy M a n a g e m e n t ) .
7. В дереве консоли разверните у з л ы Л е с ( F o r e s t ) , Д о м е н ы ( D o m a i n s ) , домен
contoso.com и откройте папку О б ъ е к т ы г р у п п о в о й п о л и т и к и ( G r o u p Policy
Objects).
8. Выберите объект групповой политики П о л и т и к а б е з о п а с н о с т и D C , создан-
ный командой Scwcmd.exe.
9. Перейдите на вкладку Параметры (Settings), ч т о б ы п р о с м о т р е т ь параметры
GPO.
10. В секции Параметры безопасности ( S e c u r i t y S e t t i n g s ) щ е л к н и т е с с ы л к у
Показать (Show).
11. В секции Локальные п о л и т и к и / П а р а м е т р ы б е з о п а с н о с т и (Local Policies/
Security Settings) щелкните ссылку П о к а з а т ь ( S h o w ) .
12. Убедитесь, что группам Администраторы ( A d m i n i s t r a t o r s ) в п а п к е B U I L T I N
и С0№ГО5ОУдаленный рабочий стол S Y S _ D C п р е д о с т а в л е н о разрешение
Разрешать вход в систему через службу т е р м и н а л о в (Allow Log On T h r o u g h
Terminal Services).
Этот объект G P O не будет применен к к о н т р о л л е р у домена, поскольку он не
связан с подразделением Domain Controllers. В ы п о л н я я упражнение, не свя-
зывайте G P O с доменом, сайтом и л и п о д р а з д е л е н и е м . В п р о и з в о д с т в е н н о й
среде нужно потратить много времени на анализ, н а с т р о й к у и тестирование
параметров безопасности в п о л и т и к е безопасности, п р е ж д е чем развернуть
ее в качестве объекта G P O на п р о и з в о д с т в е н н ы х к о н т р о л л е р а х домена.
Резюме
• Параметры безопасности к о н ф и г у р и р у ю т с я на о т д е л ь н о м к о м п ь ю т е р е
с помощью локального объекта г р у п п о в о й п о л и т и к и , к о т о р ы й м о ж н о ре-
дактировать в оснастке Редактор о б ъ е к т о в г р у п п о в о й п о л и т и к и ( G r o u p
Policy Object Editor) и консоли Л о к а л ь н а я п о л и т и к а б е з о п а с н о с т и (Local
Security Policy).
• Параметры безопасности о п р е д е л я ю т с я в ш а б л о н е б е з о п а с н о с т и с по-
мощью оснастки Ш а б л о н ы безопасности ( S e c u r i t y Templates). Ш а б л о н ы
безопасности могут определять м н о ж е с т в о п а р а м е т р о в , с в я з а н н ы х с без-
опасностью.
• База данных создается с помощью шаблонов б е з о п а с н о с т и в оснастке Ана-
лиз и настройка безопасности (Security C o n f i g u r a t i o n Arid Analysis). Затем
оснастка может проанализировать систему и о п р е д е л и т ь отличие между
текущими параметрами компьютера и параметрами, у к а з а н н ы м и в базе дан-
ных. Оснастка также может применить п а р а м е т р ы базы д а н н ы х к компью-
теру или экспортировать параметры базы д а н н ы х в ш а б л о н безопасности.
- Занятие 2
Управление параметрами безопасности 3Q7
• У т и л и т а к о м а н д н о й с т р о к и Secedit.exe в ы п о л н я е т и р а с ш и р я е т ф у н к ц и и
о с н а с т к и А н а л и з и н а с т р о й к а б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n And
A n a l y s i s ) .
• П о л и т и к и б е з о п а с н о с т и п р е д с т а в л я ю т с о б о й ш а б л о н ы параметров, создан-
н ы е М а с т е р о м н а с т р о й к и б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n Wizard),
к о т о р ы й о п р е д е л я е т р е ж и м ы з а п у с к а с л у ж б , п р а в и л а брандмауэра, некото-
р ы е п а р а м е т р ы р е е с т р а и п о л и т и к и а у д и т а . М а с т е р н а с т р о й к и безопасности
с о з д а е т п о л и т и к и б е з о п а с н о с т и н а о с н о в е р о л е й сервера.
• П о л и т и к а б е з о п а с н о с т и м о ж е т с о д е р ж а т ь п а р а м е т р ы шаблона безопасности.
В с л у ч а е к о н ф л и к т а п а р а м е т р о в п р и о р и т е т п о л у ч а ю т параметры в политике
б е з о п а с н о с т и .
• У т и л и т а к о м а н д н о й с т р о к и Scwcmd.exe в ы п о л н я е т и р а с ш и р я е т ф у н к ц и и
М а с т е р а н а с т р о й к и б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n Wizard).
• Ш а б л о н б е з о п а с н о с т и м о ж н о и м п о р т и р о в а т ь в объект G P O .
• С п о м о щ ь ю к о м а н д ы Scwcmd.exe transform п о л и т и к у безопасности можно
п р е о б р а з о в а т ь в о б ъ е к т G P O .
Закрепление материала
П р и в е д е н н ы е д а л е е в о п р о с ы п р е д н а з н а ч е н ы д л я проверки знаний, полученных
на з а н я т и и 2 ( э т и в о п р о с ы с о д е р ж а т с я и на сопроводительном компакт-диске).
ПРИМЕЧАНИЕ Ответы
Ответы на эти в о п р о с ы с п о я с н е н и я м и , почему тот или иной вариант является
правильным и л и неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Н е о б х о д и м о р а з в е р н у т ь п а р а м е т р ы б е з о п а с н о с т и на множестве серверов
с п о м о щ ь ю г р у п п о в о й п о л и т и к и . Э т и п а р а м е т р ы п р и м е н я ю т с я к правам
п о л ь з о в а т е л я , о т к о н ф и г у р и р о в а н н ы м и п р о в е р е н н ы м на сервере в тестовой
среде. К а к о й и н с т р у м е н т с л е д у е т и с п о л ь з о в а т ь ?
A . Л о к а л ь н а я п о л и т и к а б е з о п а с н о с т и ( L o c a l Security Policy).
Б. А н а л и з и н а с т р о й к а б е з о п а с н о с т и ( S e c u r i t y Configuration And Analysis).
B . М а с т е р н а с т р о й к и б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n Wizard).
Г. Ш а б л о н ы б е з о п а с н о с т и ( S e c u r i t y T e m p l a t e s ) .
2. Н у ж н о р а з в е р н у т ь п а р а м е т р ы б е з о п а с н о с т и на множестве серверов с помо-
щ ь ю г р у п п о в о й п о л и т и к и . Э т и п а р а м е т р ы т р е б у ю т с я д л я настройки служб,
п р а в и л б р а н д м а у э р а и п о л и т и к а у д и т а на с е р в е р а х печати и ф а й л о в ы х
с е р в е р а х н а п р е д п р и я т и и . К а к о й и н с т р у м е н т л у ч ш е всего использовать для
в ы п о л н е н и я э т о й з а д а ч и ?
A . Л о к а л ь н а я п о л и т и к а б е з о п а с н о с т и ( L o c a l Security Policy).
Б. А н а л и з и н а с т р о й к а б е з о п а с н о с т и ( S e c u r i t y Configuration And Analysis).
B . М а с т е р н а с т р о й к и б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n Wizard).
Г. Ш а б л о н ы б е з о п а с н о с т и ( S e c u r i t y Templates).
' 3 2 8 Параметры групповой политики
Глава 7
3. Вы создали п о л и т и к у б е з о п а с н о с т и с п о м о щ ь ю м а с т е р а н а с т р о й к и б е з о п а с -
ности. Теперь следует р а з в е р н у т ь п а р а м е т р ы в э т о й п о л и т и к е б е з о п а с н о с т и
на серверах в подразделении Серверы. К а к и е из с л е д у ю щ и х д е й с т в и й н у ж н о
выполнить д л я этого? ( У к а ж и т е д в а д е й с т в и я . К а ж д ы й п р а в и л ь н ы й ответ
я в л я е т с я частью п о л н о г о р е ш е н и я . )
A. Применить команду Scwcmd.exe /transform.
Б. Создать объект г р у п п о в о й п о л и т и к и в к о н т е й н е р е О б ъ е к т ы г р у п п о в о й
политики ( G r o u p Policy O b j e c t s ) .
B . В объекте G P O щ е л к н у т ь п р а в о й к н о п к о й м ы ш и у з е л П а р а м е т р ы безо-
пасности (Security S e t t i n g s ) и в ы п о л н и т ь к о м а н д у И м п о р т ( I m p o r t ) .
Г. Связать объект G P O с п о д р а з д е л е н и е м С е р в е р ы .
Занятие 3. Управление установкой программного
обеспечения с помощью групповой политики
Д л я развертывания программного о б е с п е ч е н и я в о р г а н и з а ц и и и с п о л ь з у ю т с я та-
кие средства, как Microsoft System C e n t e r C o n f i g u r a t i o n M a n a g e r ( C o n f i g u r a t i o n
Manager) и его п р е д ш е с т в е н н и к M i c r o s o f t S y s t e m s M a n a g e m e n t S e r v e r ( S M S ) .
Хотя эти и н с т р у м е н т ы о б е с п е ч и в а ю т з н а ч и т е л ь н ы е п р е и м у щ е с т в а , в к л ю ч а я
счетчики и с п о л ь з о в а н и я п р о г р а м м н о г о о б е с п е ч е н и я и с и с т е м ы и н в е н т а р и з а -
ции, в большинстве случаев п р о г р а м м н о е о б е с п е ч е н и е м о ж н о р а з в е р н у т ь без
помощи этих средств, и с п о л ь з у я л и ш ь у з е л У с т а н о в к а п р о г р а м м ( S o f t w a r e
Installation) групповой п о л и т и к и .
Изучив материалы этого занятия, вы научитесь:
/ Развертывать программное обеспечение для компьютеров и пользователей
с помощью GPSI ( G r o u p Policy S o f t w a r e I n s t a l l a t i o n ) .
/ Удалять программное обеспечение, установленное с помощью G P S I .
Продолжительность занятия – около 35 мин.
Установка программ в групповой политике
Узел Установка программ ( S o f t w a r e I n s t a l l a t i o n ) в г р у п п о в о й п о л и т и к е пред-
назначен д л я с о з д а н и я у п р а в л я е м о й п р о г р а м м н о й с р е д ы с о с л е д у ю щ и м и ха-
рактеристиками:
• пользователи имеют доступ к п р и л о ж е н и я м , н е о б х о д и м ы м д л я в ы п о л н е н и я
работы, независимо от к о м п ь ю т е р а , на к о т о р о м о н и в х о д я т в сеть;
• на компьютерах у с т а н а в л и в а ю т с я н е о б х о д и м ы е п р и л о ж е н и я б е з у ч а с т и я
команды технической поддержки;
• п р и л о ж е н и я м о ж н о о б н о в л я т ь , п о д д е р ж и в а т ь и у д а л я т ь в с о о т в е т с т в и й
с требованиями организации.
Расширение Установка программ ( S o f t w a r e I n s t a l l a t i o n ) я в л я е т с я о д н и м из
многих расширений ( и л и к о м п о н е н т о в ) к л и е н т с к о й с т о р о н ы C S E (Client-Side
Extension), которые поддерживают у п р а в л е н и е и з м е н е н и я м и и к о н ф и г у р а ц и е й
Занятие 3
Управление установкой программного обеспечения 3 2 9
с помощью групповой п о л и т и к и ( р а с ш и р е н и я CSE описаны в главе 6). Оно
позволяет централизованно управлять начальным развертыванием, обновлени-
ями и удалением программного обеспечения. Вся конфигурация развертывания
программ к о н т р о л и р у е т с я в объекте G P O с помощью процедур, описываемых
далее на э т о м з а н я т и и .
Пакеты у с т а н о в щ и к а W i n d o w s
Для установки, п о д д е р ж к и и удаления программного обеспечения расширение
установки программ групповой политики G P S I использует службу Установщик
Windows ( W i n d o w s Installer), который управляет программным обеспечением с
помощью и н ф о р м а ц и и , содержащейся в пакете приложения установщика Win-
dows. Этот пакет п р е д с т а в л я е т собой ф а й л с расширением .msi, описывающий
установленное состояние п р и л о ж е н и я и содержащий явные инструкции, свя-
занные с у с т а н о в к о й и удалением п р и л о ж е н и я . Пакеты установщика Windows
можно н а с т р о и т ь с п о м о щ ь ю ф а й л о в одного из следующих типов.
• Ф а й л ы т р а н с ф о р м а ц и и ( . m s t ) Н а ст р о й ка установки приложения. Неко-
торые п р и л о ж е н и я содержат мастер-программы или шаблоны, посредством
которых п о л ь з о в а т е л ь в ы п о л н я е т трансформации. Например, для Adobe
Acrobat Reader к о м п а н и я Adobe предоставляет корпоративное средство раз-
вертывания, генерирующее трансформацию. Многие предприятия исполь-
зуют т р а н с ф о р м а ц и и д л я настройки лицензионного соглашения с конечным
п о л ь з о в а т е л е м и о т к л ю ч е н и я о п р е д е л е н н ы х возможностей приложения
(например, автоматическое обновление с выходом в Интернет).
• Ф а й л ы и с п р а в л е н и й ( . m s p ) И с п о л ь з у ю т с я д л я обновления существу-
ющего ф а й л а .msi пакетами обновлений, исправлениями и обновлениями
безопасности. Ф а й л .msp содержит инструкции о применении обновленных
ф а й л о в и к л ю ч е й реестра в и с пр а вл е ни я х программы, пакете обновления
и л и о б н о в л е н и и п р о г р а м м ы . Н а п р и м е р , обновления программ, начиная
с Microsoft Office 2003, предоставляются в виде файлов .msp.
ПРИМЕЧАНИЕ Установка файлов .msp и .mst
Файлы .mst и .msp нельзя развернуть по отдельности – их нужно применять к су-
ществующему пакету установщика Windows Installer.
П о м и м о ф а й л о в п р и л о ж е н и й MSI расширение групповой политики Уста-
новка программ ( S o f t w a r e Installation) может ограниченно использовать низ-
коуровневые пакеты п р и л о ж е н и й ( ф а й л ы .zap), указывающие расположение
точки распространения программного обеспечения S D P (Software Distribution
Point) и команды setup. Более подробные сведения содержатся в статье 231747
базы з н а н и й по адресу http://support.microsoft.com/7kbid~231747. Большинс-
тво организаций не используют ф а й л ы .zap, поскольку для установки при-
ложения пользователь должен обладать административными привилегиями.
Когда расширение Установка программ (Software Installation) устанавливает
приложение с помощью пакета установщика Windows, пользователю не нуж-
ны административные привилегии, что позволяет обеспечить более высокий
уровень безопасности для предприятия.
' 2 З а к . 3 3 9 9
' 3 3 0 Параметры групповой политики
Глава 7
ПРИМЕЧАНИЕ Установка программ в групповой политике и пакеты установщика Windows
Полный контроль над приложениями расширение Установка программ (Software
Installation) может обеспечить только в том случае, если приложения развертываются
с помощью пакетов Windows Installer. Другие инструменты, в к л ю ч а я Configura-
tion Manager и SMS, управляют приложениями, и с п о л ь з у ю щ и м и иные механизмы
развертывания.
Ф а й л .msi, т р а н с ф о р м а ц и и и д р у г и е ф а й л ы , н е о б х о д и м ы е д л я у с т а н о в к и
приложения, х р а н я т с я в о б щ е й т о ч к е р а с п р о с т р а н е н и я п р о г р а м м н о г о о б е с п е -
чения ( S D P ) .
Опции развертывания п р о г р а м м н о г о о б е с п е ч е н и я
Программное обеспечение м о ж н о р а з в е р т ы в а т ь п у т е м его н а з н а ч е н и я п о л ь з о в а -
телям и компьютерам и л и п у т е м п у б л и к а ц и и п р и л о ж е н и й д л я п о л ь з о в а т е л е й .
Необходимое и л и обязательное п р о г р а м м н о е о б е с п е ч е н и е назначается п о л ь з о -
вателям и компьютерам. Опубликованное п р и л о ж е н и е п о л ь з о в а т е л и м о г у т по
желанию установить д л я в ы п о л н е н и я с в о е й р а б о т ы .
СОВЕТ К ЭКЗАМЕНУ
Запомните разницу между назначением и публикацией п р и л о ж е н и й .
Н а з н а ч е н и е п р и л о ж е н и й П р и н а з н а ч е н и и п р и л о ж е н и я п о л ь з о в а т е л ю об-
новляются л о к а л ь н ы е п а р а м е т р ы р е е с т р а п р и л о ж е н и я , в к л ю ч а я р а с ш и р е н и я
файловых имен и создание я р л ы к о в в м е н ю П у с к ( S t a r t ) и на р а б о ч е м столе, ко-
торые обеспечивают д о с т у п к п р и л о ж е н и ю . Я р л ы к д л я д о с т у п а к п р и л о ж е н и ю
следует за п о л ь з о в а т е л е м н е з а в и с и м о от ф и з и ч е с к о г о к о м п ь ю т е р а , с п о м о щ ь ю
которого пользователь в х о д и т в д о м е н . Э т о п р и л о ж е н и е у с т а н а в л и в а е т с я п р и
первой активации п р и л о ж е н и я п о л ь з о в а т е л е м н а к о м п ь ю т е р е , к а к , н а п р и м е р ,
выбор этой п р о г р а м м ы в м е н ю П у с к ( S t a r t ) и л и о т к р ы т и е д о к у м е н т а , сопос-
тавленного с программой. П р и н а з н а ч е н и и п р и л о ж е н и я к о м п ь ю т е р у п р о г р а м м а
устанавливается в процессе з а г р у з к и к о м п ь ю т е р а .
П у б л и к а ц и я п р и л о ж е н и й П р и п у б л и к а ц и и п р и л о ж е н и я д л я п о л ь з о в а т е л е й
приложение н е о т о б р а ж а е т с я к а к у с т а н о в л е н н а я п р о г р а м м а н а к о м п ь ю т е р а х
пользователей, то есть в м е ш о П у с к ( S t a r t ) и на р а б о ч е м с т о л е н е т я р л ы к о в
программы. О д н а к о п р и л о ж е н и е д о с т у п н о в а п п л е т е У с т а н о в к а и у д а л е н и е
программ ( A d d O r R e m o v e P r o g r a m s ) п а н е л и у п р а в л е н и я в W i n d o w s Х Р или
апплете Программы и к о м п о н е н т ы ( P r o g r a m s A n d F e a t u r e s ) в с и с т е м е W i n d o w s
Vista и Windows Server 2008. К р о м е того, п р и л о ж е н и е м о ж е т б ы т ь у с т а н о в л е н о
при открытии п о л ь з о в а т е л е м ф а й л а т и п а , с о п о с т а в л е н н о г о с э т о й п р о г р а м м о й .
Например, если д л я п о л ь з о в а т е л е й о п у б л и к о в а н а п р о г р а м м а A c r o b a t Reader,
она будет установлена п р и о т к р ы т и и п о л ь з о в а т е л е м ф а й л а с р а с ш и р е н и е м .pdf.
Н а з н а ч а я или п у б л и к у я и н а ц е л и в а я п р и л о ж е н и я н а п о л ь з о в а т е л е й или
компьютеры, вы сможете у с т а н о в и т ь среду, с о о т в е т с т в у ю щ у ю ц е л я м управле-
н и я программным о б е с п е ч е н и е м . В т а б л . 7 – 1 о п и с а н ы о п ц и и р а з в е р т ы в а н и я
программного обеспечения.
Занятие 3
Управление установкой программного обеспечения
3 3 1
Табл. 7-1. Опции развертывания программного обеспечения
Опция
Публикация (только
Назначение
Назначение
развертывания
для пользователя)
(пользователь)
(компьютер)
После развертыва-
При следующем входе При следующем вхо– Прн следующем
ния объекта G P O
пользователя
де пользователя
запуске компью-
можно установить
тера
программное обес-
печение
Как правило, поль– С помощью апплета
Посредством ярлыка Программа уста-
зователь устанавлн– Добавление и удале-
в меню Пуск (Start) навливается авто-
вает приложение нне программ (Add
или на рабочем
матически при
Or Remove Programs) столе. Приложение
загрузке компью-
на панели управления также можно от-
тера
Windows ХР или Про– конфигурировать
граммы и компоненты для автоматической
(Programs And Fea-
установки при входе
tures) в системе Win-
пользователя
dows Vista и Windows
Server 2008
Будет ли выпол– Да (если включена
Да
Не применяется,
няться инсталляция автоматическая уста-
поскольку прило-
еще не установлен– новка)
жение уже уста-
ной программы,
новлено
когда пользователь
открывает файл,
сопоставленный
с этой программой?
Может ли пользо-
Да, а потом пользо-
Да, и программа
Нет. Только ло-
ватель с помощью
ватель может заново
вновь будет доступна кальный адми-
панели управления установить программу в виде ярлыка в меню нистратор может
удалить программу? с помощью панели
Пуск (Start) или на
удалить програм-
управления
рабочем столе, либо мное обеспечение.
устанавливаться прн Пользователь
открытии файла с
может запускать
соответствующим
и восстанавливать
расширением
приложение
Поддерживаемые
Пакеты установщика Пакеты установщика Пакеты установ-
файлы установки
Windows (файлы .msi), Windows (файлы
щика Windows
файлы .zap
.msi)
(файлы .msi)
К о н т р о л ь н ы й в о п р о с
• Вам нужно использовать расширение групповой политики Установка про-
грамм (Software Installation) для развертывания административного инстру-
мента, чтобы он стал доступен администраторам в любой системе, в которую
они входят. Вы не хотите, чтобы установка инструмента выполнялась авто-
матически, поскольку он не нужен администраторам иа всех компьютерах,
однако вам нужно обеспечить возможность быстрой установки. Опублико-
вать или назначить это приложение? Опишите, как администратор должен
установить это средство.
(см. след. стр.)
' 332 Параметры групповой политики
Глава 7
Ответ на контрольный вопрос
• Опубликуйте приложение. Для его установки администратор использует ап-
плет Программы и компоненты (Programs And Features) панели управления
в Windows Server 2008 и Windows Vista или Установка и удаление программ
(Add/Remove Programs) в Windows ХР.
Подготовка точки SDP
Точка распространения программного обеспечения S D P ( S o f t w a r e Distribution
