Книги, научные публикации Pages:     | 1 |   ...   | 5 | 6 | 7 | 8 |

С. Реймер, М. Малкер Active Directory для Windows Server 2003. Справочник администратора/Пер, с англ. Ч М.: СП ЭКОМ, 2004.Ч 512 с: ил. ...

-- [ Страница 7 ] --

Примечание. Технология инсталлятора Windows не является специфичной для систем Windows Server 2003, Microsoft Windows XP Professional или Microsoft Windows 2000, хотя служба инсталлятора Windows в этих операционных системах установлена по умолчанию. Используя технологию инсталлятора Windows, приложения могут быть установлены на других компьютерах. Вы можете установить службу инсталлятора Windows на компьютерах с системами Microsoft Windows NT, Windows 95 и Windows 98. Однако использовать групповые политики для распределения программного обеспечения можно только на компьютерах с системами Windows Server 2003, Windows XP Professional и Windows 2000.

Сейчас производители программного обеспечения поставляют пакетный файл.msi для инсталляции программ со всеми новыми программными продуктами. Он известен как файл родного (native) инсталлятора Windows.

Создание файла.msi В некоторых случаях файл родного инсталлятора Windows может от-сутстврвать, например, у более старого приложения. Если необходимо использовать технологию инсталлятора Windows для развертывания приложений, можно создать файл.msi для распределения программного обеспечения.

Чтобы создать файл.msi, выполните следующие действия.

Х Выполните чистую инсталляцию операционной системы там, где вы собираетесь создавать пакетный файл инсталляции программ. В этой операционной системе не должно быть установлено никакого дополнительного программного обеспечения. Операционная система на этом компьютере должна быть той же самой, что и на компьютере, где вы устанавливаете приложение. Если устанавливаете приложение в системах Windows 2000 и Windows XP, то создаются два отдельных файла.msi.

Х Используйте инструмент для упаковки программного обеспечения, чтобы зафиксировать состояние операционной системы, прежде чем вы установите программное обеспечение.

Существует несколько таких инструментов (например, Wise).

Х Установите приложение на рабочей станции. Обычно используется родной процесс инсталляции программ.

Х После того как вы установили приложение, настройте его по вашему желанию. Например, можно создать или удалить ярлыки, добавить шаблоны или настроить инструментальную панель приложения. В некоторых случаях нужно хотя бы раз открыть приложение, чтобы полностью установить все компоненты.

Х Используйте инструменты для упаковки программного обеспечения, чтобы во второй раз зафиксировать состояние операционной системы рабочей станции. Этот процесс создает упаковочный файл инсталляции программ.msi.

Как только вы создали.msi файл, используйте процесс Group Policy Software Installation (Инсталляция программного обеспечения с помощью групповых политик) для распределения программного обеспечения на рабочие станции.

Развертывание программного обеспечения с использованием групповых политик После создания файла инсталлятора Windows вы можете развертывать приложения, используя групповые политики Active Directory Windows Server 2003. Групповые политики обеспечивают средства, позволяющие публиковать приложение или делать его доступным для инсталляции на рабочих станциях. После конфигурации соответствующей групповой политики при последующей загрузке компьютера или входе пользователя в систему на компьютере появится извещение о новом пакете программ, и затем приложение может быть установлено.

Прежде чем вы сможете опубликовать приложение для пользователей сети, нужно скопировать инсталляционные файлы программ, включая.msi-файл, на доступный сетевой ресурс. Необходима гарантия того, что все пользователи или компьютеры имеют соответствующий доступ к ресурсу.

Если вы назначаете приложение для компьютеров, компьютерные учетные записи должны иметь доступ Read (Чтение). Если вы назначаете или публикуете приложение для пользователей, то пользователи должны иметь доступ Read. (Смотрите следующий раздел для сравнения деталей назначения приложений и публикации приложений.) Развертывание приложений После создания сетевого ресурса и копирования на него инсталляционных файлов вы готовы к реализации объектов групповой политики GPO, которые будут публиковать приложение для клиентов. Вы можете создать новый объект GPO или изменить существующий. При конфигурировании GPO вы должны сначала определить, необходимо ли публиковать приложение для компьютеров или пользователей. Используйте контейнер Computer Configuration\Software Settings в Group Policy Object Editor (Редактор объектов групповой политики), и приложение будет установлено на рабочей станции, когда она перезагрузится в следующий раз. Если вы решите публиковать приложение для пользователей, используйте контейнер User Conf iguration\Sof tware Settings в редакторе объектов групповой политики, и приложение будет доступно пользователю при его следующем входе в систему.

Примечание. В главе 11 была представлена консоль управления групповыми политиками Microsoft Group Policy Management Console (GPMC), являющаяся мощным инструментом для управления всеми конфигурациями групповых политик целой организации. Поскольку консоль разработана как отдельный инструмент, предназначенный для управления групповой политикой, то ее пользовательский интерфейс сильно отличается от интерфейса, используемого в других инструментах администрирования Active Directory. Однако поскольку GPMC-консоль не является обязательным дополнением, то информация, данная в главах 11, 12 и 13, базируется на использовании только тех инструментов администрирования и оснасток, которые поставляются как часть инсталляционного компакт-диска Windows Server 2003.

Когда вы используете групповую политику для инсталляции приложений, у вас имеется два варианта извещения о приложении для клиента. Первый вариант состоит в назначении приложения, которое может адресоваться или компьютеру, или пользователю. Второй вариант состоит в публикации приложения, которая делает его доступным, но только для учетных записей пользователей.

Когда вы назначаете приложение компьютеру, оно будет полностью установлено при следующей загрузке компьютера, что означает, что приложение будет установлено для всех пользователей компьютера, когда они в следующий раз войдут в систему.

Когда вы назначаете приложение пользователю, оно будет опубликовано, когда пользователь в следующий раз войдет в сеть. Можно сконфигурировать то, каким образом это будет происходить, но обычно приложение добавляется к меню Start (Пуск). Приложение будет также добавлено к списку опубликованных приложений в панели управления Add Or Remove Programs (Добавление или удаление программ). По умолчанию приложение устанавливается не при входе пользователя в систему, а при активации из меню Start или через панель Add Or Remove Programs. Можно сконфигурировать такую логику установки, что приложение установится, когда пользователь попытается открыть файл с расширением, которое ассоциировано с данным приложением.

Например, приложение Microsoft Word отсутствует на компьютере пользователя. Если он щелкнет два раза на файле с расширением.doc, то Word будет автоматически установлен. Этот процесс часто называют активацией расширений (extension activation).

Одна из новых функций в Active Directory Windows Server 2003, отсутствующая в Active Directory Windows 2000, Ч возможность полной установки программного приложения при входе пользователя в систему вместо установки его в результате активации файла. Выбор этой опции означает, что процесс входа в систему займет больше времени, поскольку произойдет установка приложения, но затем приложение будет доступно клиенту для использования. Эта опция доступна только в том случае, когда приложение назначено пользователю. Опубликованные приложения не будут установлены полностью, пока они не инсталлируются через панель Add Or Remove Programs или через активацию расширения. Эта опция не используется, если приложение назначено компьютеру, потому что приложение полностью устанавливается только при перезагрузке компьютера.

Когда вы публикуете приложение для пользователей, оно извещает о себе при следующем входе пользователя в сеть. В этом случае приложение появляется только в панели управления Add Or Remove Programs. Чтобы установить приложение, пользователь должен выбрать его в этой панели.

По умолчанию опубликованные приложения устанавливаются также через активацию расширения.

В большинстве случаев публикация приложения является наилучшим вариантом, если данное приложение требуется только некоторым пользователям. Например, имеется графическое приложение типа Microsoft Visio, которое постоянно используют только сетевые архитекторы.

Однако некоторым другим пользователям также может потребоваться Visio. Публикуя приложение для пользователей, вы не устанавливаете его на их рабочих столах и не добавляете его к их ярлыкам, а делаете его доступным для тех, кто в нем нуждается.

Для публикации приложения с помощью групповой политики используйте следующую процедуру.

1. Скопируйте инсталляционные файлы программы на сетевой ресурс. Сконфигурируйте разрешения на доступ к ресурсу, гарантируя, что все нужные пользователи и компьютеры имеют доступ Read (Чтение) для чтения инсталляционных файлов.

2. Найдите контейнер: сайт, домен или организационную единицу (OU), в котором вы хотите опубликовать приложение, и обратитесь к свойствам контейнера. Щелкните на вкладке Group Policy (Групповая политика). Создайте новый объект GPO или щелкните на кнопке Edit (Правка) для изменения свойств существующего объекта GPO.

3. Если вы публикуете приложение для учетных записей пользователей, раскройте контейнер User Conf iguration\Sof tware Settings (Конфигурирование пользователей\Параметры настройки программ) в редакторе объектов групповых политик, щелкните правой кнопкой мыши на кнопке Software Installation (Инсталляция программ), выберите New (Новый), а затем выберите Package (Пакет). Если вы публикуете приложение для компьютерных учетных записей, то раскройте контейнер Computer Configuration\Software Settings (Конфигурирование компьютеров\Параметры настройки программ) в редакторе GPO, щелкните правой кнопкой мыши на кнопке Software Installation (Инсталляция программ), выберите New (Новый), а затем выберите Package (Пакет).

4. Найдите место в сети или напечатайте сетевой путь к месту расположения инсталляционных файлов. Вы должны использовать место в сети, а не локальное имя диска на сервере, потому что для клиентских компьютеров публикуется место в сети.

Выберите соответствующий файл.msi.

Примечание. Если вы выберете неправильное сетевое место или измените его после развертывания, нужно обновить пакет программ. Нет никаких средств, позволяющих изменить инсталляционный путь для пакета программ.

5. При выборе файла.msi вы можете указать способ, которым вы хотите публиковать пакет программ. На рисунке 12-1 показаны способы публикации приложения для учетных записей пользователя. Если вы публикуете приложение для, компьютеров, можно только назначать приложение.

Рис. 12-1. Опции для публикации пакета программ 6. Если вы хотите назначить или опубликовать приложение, щелкните на кнопке ОК. Если вы выберете опцию Advanced (Дополнительно), появится окно свойств данного пакета Properties, опции которого обсуждаются в разделе Конфигурирование свойств пакета программ далее в этой главе.

Как только объект GPO сконфигурирован, приложение будет опубликовано для всех клиентов контейнерного объекта. По умолчанию программный инсталляционный компонент групповой политики применяется только при входе пользователя в систему (если политика применяется к учетным записям пользователей) или при перезагрузке компьютера (если политика применяется к компьютерным учетным записям). Инструмент командной строки GPUpdate, который имеется на всех компьютерах с системами Windows XP Professional и Windows Server 2003, может вызвать принудительный выход из системы или перезагрузку на рабочей станции как часть обновления, связанного с групповой политикой. Чтобы вызвать выход из системы или перезагрузку, используйте команду gpupdate /logoff или gpupdate /reboot.

Распределение программного обеспечения и пропускная способность сети Один из наиболее трудных аспектов управления распределением программного обеспечения с помощью групповых политик состоит в управлении использованием сети. Если вы назначите большое приложение размером в несколько мегабайт на большую группу пользователей, и все они начнут устанавливать его одновременно, эта установка займет часы из-за существенного увеличения объема сетевого трафика. Есть множество опций, позволяющих управлять сетевой пропускной способностью. Одна из опций состоит в назначении приложения на компьютеры с просьбой к пользователям перезагрузить компьютеры в конце дня. Вы можете также вынуждать перезагрузку рабочей станции, используя команду GPUpdate. Если вы примените эту команду одновременно лишь к нескольким рабочим станциям, влияние на сеть может быть сведено к минимуму. Другая опция состоит в назначении приложения маленькой группе пользователей за один раз. В большинстве случаев старайтесь избежать назначения приложений, которые будут полностью устанавливаться при входе пользователя в систему. Если вы публикуете приложение, но позволяете пользователю инициировать инсталляцию, появится возможность, по крайней мере, растянуть инсталляцию программного обеспечения на некоторое время. Хотя ни одна из этих опций не является идеальной, их можно использовать, чтобы до некоторой степени управлять пропускной способностью сети.

Другой способ управлять использованием сети для нескольких сайтов состоит в том, чтобы применить распределенную файловую систему (Distributed File System - DFS). С помощью DFS можно создать структуру логического каталога, не зависящую от того, в каком месте сети фактически хранятся файлы. Например, можно создать корень DFS с именем \\serverl\softinst, а затем для всех приложений создать подкаталоги ниже этой общей точки. С помощью системы D*FS можно найти подкаталоги на нескольких серверах и сконфигурировать физические связи к одним и тем же логическим каталогам. Если вы используете интегрированную систему DFS, можно сконфигурировать автоматическую репликацию содержания папки между копиями одного и того же каталога. Система DFS является приложением, учитывающим наличие сайтов, т.е. если у вас имеется несколько сайтов, то компьютеры клиентов будут всегда подключаться к копии DFS папки, расположенной в их собственном сайте, вместо того чтобы пересекать глобальную сеть WAN для обращения к папке, расположенной в другом сайте.

Трудно предсказать, каким будет эффект сетевой инсталляции. Одно из преимуществ использования групповых политик для установки программного обеспечения состоит в том, что можно легко выполнить тестирование, чтобы увидеть ожидаемый эффект. Например, можно сконфигурировать объект GPO, который включает пакет программ, но не связан ни с какой OU, затем создать временную OU, добавить несколько пользовательских или компьютерных учетных записей и связать GPO-объект с OU. Эта конфигурация может использоваться для проверки того, сколько времени потребуется для установки приложения в маленькой группе пользователей. Можно также запустить программное распределение, связав объект GPO с производственной OU, используя фильтрацию группы для ограничения количества пользователей или компьютеров, к которым применяется GPO-объект.

Независимо от количества усилий, предпринятых вами для минимизации влияния на сеть, развертывание объемного приложения для большого количества пользователей всегда оказывает воздействие на сеть, поэтому нужно запланировать выполнение инсталляции в течение несколько дней.

Использование групповых политик для распределения приложений с помощью инсталлятора, не принадлежащего платформе Windows В некоторых случаях вы можете не создавать файла.msi для установки приложения, а использовать групповые политики для его распределения. Например, простое приложение должно быть установлено на нескольких рабочих станциях, оно не требует никакой настройки и модернизации. Можно создать и использовать файл параметров настройки инсталляции программы (.zap) для установки этого приложения.

Файл. zap является текстовым файлом, который содержит команды, предназначенные для установки приложения. В большинстве случаев.zap-файл будет содержать только следующие строки:

[Application] FriendlyName = "applicationname" SetupCommand = "\\servername\sharename\installapplication.exe"" Значение FriendlyName является именем, отображаемым в панели управления Add Or Remove Programs на компьютере клиента. Значение SetupCommand ~ путь к инсталляционному файлу для приложения. Можно использовать UNC-путь или отображенный диск для значения SetupCommand. Если приложение обеспечивает средства для настройки инсталляции с использованием параметров установки, можно включить эти параметры в значение SetupCommand, указывая его вслед за параметром, определяющим путь установки, заключенным в двойные кавычки. Например:

SetupCommand = "\\servername\sharename\se\up.exe" /parameter Обратите внимание, если командная строка включает параметр, то путь установки использует одинарный набор двойных кавычек вместо двойного набора двойных кавычек, которые требовались в предыдущем примере.

После создания файла.zap и копирования инсталляционных файлов приложения на сетевой ресурс можно опубликовать приложение для пользователей. Приложение добавляется к списку доступных приложений в панели управления Add Or Remove Programs, и пользователи могут выбрать его для установки. Приложения, которые распределяются через файлы.zap, не могут быть назначены ни компьютерам, ни пользователям, их нельзя устанавливать с помощью активации расширения.

Использование файла.zap имеет несколько важных ограничений по сравнению с использованием файлов инсталлятора Windows. Во-первых, инсталляция приложения с помощью файла.zap запускает нормальную инсталляционную программу для приложения, т.е. нельзя настраивать инсталляцию, если приложение не обеспечивает параметры установки для этого. Далее, инсталляция приложения с помощью файла.zap не может выполняться с разрешениями, включенными в процессе инсталляции, т.е. для установки приложения пользователь должен быть местным администратором. Приложения, которые были установлены с помощью файла.zap, не могут самовосстанавливаться. Если приложение перестанет работать из-за порчи или удаления файла, пользователю придется снова выполнить первоначальную инсталляционную процедуру вручную для повторной установки приложения. Кроме того, приложение, которое было установлено с помощью файла.zap, не может быть легко модернизировано или исправлено. Из-за перечисленных недостатков технология инсталляции программ имеет ограниченную пригодность и должна использоваться только тогда, когда вы устанавливаете простое приложение, которое вряд ли будет обновляться.

Конфигурирование свойств пакета программ После создания пакета программ можно изменись его свойства. Для этого щелкните правой кнопкой мыши на пакете и выберите Properties. На рисунке 12-2 показана вкладка Deployment (Развертывание). В таблице 12-1 описаны опции окна Properties.

Табл. 12-1. Опции развертывания для пакета программ Параметры настройки Объяснение Deployment Type (Тип Используется для указания того, как развертывания) приложение будет публиковаться для Auto-Install This Application By клиентов.

File Extension Activation Используется для включения или блокировки (Автоматически установить это функции, устанавливающей программное приложение путем активации обеспечение, когда пользователь открывает расширения файла) файл с определенным расширением. Эта опция недоступна, если вы назначаете приложение.

Uninstall This Application WhenИспользуется для управления ситуацией, когда It Falls Out Of The Scope Of групповая политика более не применяется к Manage mentпользователю или компьютеру. Например, (Деинсталлировать если групповая политика связана с учетными приложение, когда оно выходит записями пользователя в какой-либо OU, из контекста управления ) выбор этой опции означает, что приложение будет деинсталлироваться, если учетная запись пользователя переместится из этой организационной единицы.

Do Not Display This Package In Используется для управления отображением The Add/ Remove Programs приложения в панели управления Add/ Remove Control Panel (He отображать Programs (Добавление/Удаление программ).

этот пакет в панели управления Add/Remove Programs ) Install This Application At Logon Используется для полной установки (Установить это приложение приложения при входе пользователя в систему при входе в систему) вместо того, чтобы ожидать инициацию инсталляции пользователем. Эта опция недоступна, когда приложение опубликовано.

Installation User Interface Используется для управления тем, какая Options (Опции информация будет отображаться при пользовательского интерфейса установке программного обеспечения. Выбор во время инсталляции) опции Basic (Основной) означает, что будут отображены только сообщения об ошибках и о завершении инсталляции. Выбор опции Maximum (Максимум) означает отображение всех экранов установки программы.

Advanced (Дополнительные Используется для конфигурирования опции) дополнительных параметров настройки пакета программного обеспечения. Опции включают инсталлирование 32-битных приложений в 64 битных операционных системах, установку приложения, даже если оно использует язык, отличающийся от языка операционной системы адресата, и включение в пакет СОМ компонент, чтобы клиент мог устанавливать компоненты из Active Directory (см. рис. 12-3).

Рис. 12-2. Изменение свойств развертывания для пакета программ Рис. 12-3. Использование окна Advanced Deployment Options (Дополнительные опции развертывания) для конфигурации групповой политики, предназначенной для инсталляции программного обеспечения Установка заданных по умолчанию свойств процесса инсталляции программ Когда вы готовитесь установить программное обеспечение, используя групповые политики, можно сконфигурировать параметры, заданные по умолчанию для всех пакетов программ, развертываемых с помощью оп ределенного объекта GPO. Откройте соответствующее окно, щелкнув правой кнопкой мыши на контейнере Software Installation (Инсталляция программ) и выбрав Properties (Свойства) (см. рис.

12-4).

Рис. 12-4. Конфигурирование заданных по умолчанию параметров настройки, используемых при инсталляции программ Вы можете использовать эту процедуру для установки опций, отображаемых при создании нового пакета программ с данным объектом GPO. Можно установить заданное по умолчанию место расположения инсталляционных файлов и сконфигурировать параметры настройки инсталляционного интерфейса пользователя.

Установка настраиваемых пакетов программ Иногда компании может понадобиться настройка инсталляции пакета программ, даже если он поставляется с родным пакетом инсталлятора Windows. Например, требуется создать настроенную инсталляцию своего приложения, предназначенного для обработки текстов, чтобы включить в него собственные словари или шаблоны. Или настроить инсталляцию приложения Microsoft Office, чтобы на каждом рабочем столе устанавливались только Microsoft Word и Microsoft Excel, а полный пакет развертывался лишь для определенных пользователей. Если вы работаете в международной компании, вам потребуется развернуть одно и то же приложение на нескольких языках.

Вы можете настроить инсталляцию пакета программ, создавая файл преобразования (.mst). В дополнение к файлу.msi файл преобразования содержит команды настройки инсталляции. Самый легкий способ созда ния файла.mst состоит в использовании специально предназначенных для этого инструментов, если они предоставлены изготовителем программы. Например, Microsoft включает Custom Installation Wizard (Мастер выборочной инсталляции) в комплекты ресурсов Microsoft Office Resource Kit и Microsoft Office XP Resource Kit. После запуска мастера нужно выбрать файл.msi, имя и место расположения файла.mst. Тогда мастер представляет все опции, предназначенные для настройки заданной по умолчанию инсталляции программного обеспечения. Вы можете настроить практически каждый аспект инсталляции, включая удаление предыдущих версий Microsoft Office, выбор устанавливаемых компонент и место установки компонентов. Можно переносить пользовательские параметры настройки, если инсталляция представляет собой обновление существующего программного обеспечения, или выборочно сконфигурировать персональные параметры настройки и параметры настройки защиты. Можно добавлять дополнительные файлы к инсталляции (например, собственные шаблоны), Создавать или удалять ключи системного реестра, добавлять или удалять ярлыки к приложениям Microsoft Office и конфигурировать параметры настройки электронной почты клиента.

После создания файла преобразования нужно создать новый пакет программ для развертывания выборочной инсталляции. Для этого при выборе метода развертывания выберите опцию Advanced (Дополнительно) для добавления файла преобразования, прежде чем создание пакета будет закончено. В окне Properties (Свойства) пакета программ выберите вкладку Modifications (Модификации), а затем добавьте файлы преобразования. На рисунке 12-5 показана вкладка Modifications.

Рис. 12-5. Добавление файлов преобразования к пакету программ Когда вы применяете к пакету программ файл преобразования, все клиенты, инсталлирующие приложение в пределах объекта GPO, установят настроенную версию. С пакетом программ можно включать несколько файлов преобразования. В этом случае файлы преобразования применяются, начиная с вершины списка, т.е. те файлы, которые применяются в инсталляционном процессе позже, могут записываться поверх более ранних модификаций.

Обновление существующего пакета программ Еще одна полезная функция, доступная при использовании групповых политик для установки программного обеспечения, предназначена для обновления существующего пакета программ.

Имеется два способа обновления: внесение исправлений (заплаток) или установка сервисного пакета (service pack) на существующее приложение и обновление приложения до новой версии.

Если у вас работает Microsoft Office 2000, то установка пакета Service Release I for Office является примером первого типа модификации, а инсталляция программы Office XP дает пример второго типа.

Эти методы обновления программного обеспечения требуют применения различных процедур.

Если вы применяете заплатки (patch file) или сервисный пакет к существующему приложению, сначала нужно получить файл.msi или patch-файл (.msp) для обновленного приложения. (В идеальном случае этот файл поставляется изготовителем программы, но вы можете создать свой собственный.) Скопируйте новый файл.msi и другие инсталляционные файлы в ту же самую папку, в которой находится оригинальный файл.msi, записывая любые дублированные файлы поверх старых. Затем повторно разверните приложение. Чтобы это сделать, щелкните правой кнопкой мыши на пакете программ в редакторе объектов групповой политики, выделите All Tasks (Все задачи), а затем выберите Redeploy Application (Повторно развернуть приложение). Пакет программ будет повторно развернут для всех пользователей и компьютеров, находящихся под управлением этой групповой политики. При обновлении существующего приложения до новой версии программного обеспечения вам потребуется другой подход. Нужно будет создать новый пакет программ для развертывания приложения. Затем можно обратиться к свойствам пакета программ нового приложения и выбрать вкладку Upgrades (Обновления). Используя параметры настройки, представленные на этой вкладке, создайте ссылку на существующий пакет в новом пакете распределения программного обеспечения. Щелкнув на кнопке Add (Добавить) во вкладке Upgrades, выберите пакет программ, который будет модернизирован с помощью нового пакета.

Вы сможете также сконфигурировать, должно ли старое приложение деинсталлироваться, прежде чем будет установлено новое приложение. На рисунке 12-6 показан пример обновления приложения Office 2000.

Рис. 12-6. Обновление существующего пакета программ Когда связь с обновлением создана, вкладка Upgrades показывает новую информацию (см. рис. 12 7). С помощью вкладки Upgrades можно сделать это обновление обязательным. В этом случае все программное обеспечение, распределенное предыдущим объектом GPO, будет обновлено во время следующей перезагрузки компьютера или при следующем входе пользователя в систему. Если обновление не сделать обязательным, пользователь сможет выбирать время установки нового приложения, активизируя приложение в меню Start (Пуск) или через панель управления Add Or Remove Programs (Установка и удаление программ). Если для пакета обновления программного обеспечения и для начального приложения вы используете один и тот же объект GPO, то первоначальный пакет программ покажет, что новый пакет его модернизирует.

Планирование. Тот факт, что модернизировать приложение, используя групповые политики, очень просто, не означает, что обновление пройдет легко. Перед развертыванием обновления вы должны его протестировать для гарантии того, что оно не создаст проблем при взаимодействии с существующими приложениями. Нужно протестировать процесс обновления и удостовериться, что он будет работать гладко в вашей организации. Когда вы убедитесь в этом, нужно будет управлять развертыванием. Если приложение, которое вы модернизируете, было развернуто для нескольких тысяч пользователей, и вы решите сделать это обновление обязательным, то пользователям, возможно, придется ждать много времени, пока инсталляция будет закончена. Нужно управлять развертыванием обновления, чтобы свести к минимуму воздействие на пропускную способность сети.

Рис. 12-7. Вкладка Upgrades в окне Properties (Свойства) пакета программ Управление категориями программного обеспечения В большой организации можно развернуть множество приложений, используя групповые политики. Если вы захотите опубликовать большинство этих приложений на верхнем уровне в иерархии домена, где объект GPO применяется к большинству пользователей, то пользователи будут видеть длинный список доступных приложений, открывая панель управления Add Or Remove Programs, что может привести к замешательству. Чтобы свести его к минимуму, используйте программные категории, дающие пользователям более простое представление о тех приложениях, которые они могут установить.

С помощью программных категорий можно представлять пользователю сгруппированные списки приложений. Например, на рисунке 12-8 показано, что вы можете создать категорию для каждой группы деловых приложений. Если пользователь находится в подразделении Administration (Администрация), он может выбрать категорию Administration и брать оттуда приложения для инсталляции.

Active Directory Windows Server 2003 поставляется без каких-либо предопределенных программных категорий, так что можно создать любые. Чтобы создать категорию, откройте любой существующий объект GPO, щелкните правой кнопкой мыши на Software Installation (Инсталляция программного обеспечения) в разделе Computer Configuration или User Configuration, выберите Properties, а затем выберите вкладку Categories (Категории) (см. рис. 12-9).

Программные категории применя ются не к индивидуальным GPO-объектам, а ко всем GPO-объектам в домене. После создания программных категорий вы можете связывать каждый из пакетов развертывания программного обеспечения с соответствующей категорией.

Рис. 12-8. Отображение программных категорий в панели Add Or Remove Programs Рис. 12-9. Конфигурирование программных категорий на GPO-объектах Конфигурирование активации расширения файла Одним из средств, с помощью которых пользователь может начать инсталляцию приложения, является активация расширения файла. В большинстве случаев с каждым определенным расширением файла связано только одно приложение. Однако в некоторых случаях можно иметь более одного приложения. Например, обновить Word 2000 до Word XP и в течение нескольких месяцев держать обе версии программного обеспечения доступными для инсталляции. В этом случае можно сконфигурировать, какая из двух версий приложения будет устанавливаться, когда пользователь начнет его установку через активацию расширения файла. Для этого в редакторе Group Policy Object Editor обратитесь к окну Software Installation Properties (рвойства инсталляционных программ) в разделе Computer Configuration или User Configuration. Выберите вкладку File Extensions (Расширения файла) (см. рис. 12-10). При активизации расширения файла будет установлено приложение, которое указано первым в списке.

РИС. 12-10. Конфигурирование активизации расширения файла Удаление программного обеспечения через групповые политики Групповая политика может использоваться не только для установки приложения, но и для его удаления. Имеются три опции удаления программного обеспечения с помощью групповой политики.

1. Удаление программного обеспечения в качестве предварительного шага перед установкой более новой версии того же программного обеспечения.

2. Удаление программного обеспечения, когда пользователь или компьютер выведены за пределы области управления.

3. Удаление программное обеспечение при удалении пакета программ.

Первые две опции обсуждались ранее в этой главе. Последняя опция требует некоторого объяснения. Когда вы удаляете пакет программ из объекта GPO, существует возможность выбора способа управления программным обеспечением, установленным под управлением этого объекта GPO. Щелкните правой кнопкой мыши на пакете программ, находящемся в списке в Software Installation (Инсталляция программ), выберите All Tasks (Все задачи), а затем выберите Remove (Удалить). На рисунке 12-11 показано диалоговое окно, которое появляется при выборе удаления инсталляционного пакета. Если будет выбрана опция Immediately Uninstall The Software From Users And Computers (Деинсталлировать программное обеспечение у пользователей и на компьютерах), то программное обеспечение будет деинсталлироваться при следующей перезагрузке компьютера или при следующем входе пользователя в систему. Если будет выбрана опция Allow Users To Continue To Use The Software, But Prevent New Installations (Разрешить пользователям продолжать использование программного обеспечения, но предотвратить новые инсталляции), приложение не будет удалено с рабочих станций, но пользователи больше не смогут установить приложение, используя этот GPO-объект.

Рис. 12-11. Конфигурирование удаления программного обеспечения при удалении пакета программ Использование групповых политик для конфигурирования инсталлятора Windows Поскольку большинство приложений, которые вы будете устанавливать с помощью групповых политик, будут использовать технологию инсталлятора Windows, вам, возможно, понадобится сконфигурировать установку приложений, имеющих Windows Installer. Active Directory Windows Server 2003 имеет несколько опций, предназначенных для этого. Большинство параметров настройки можно сконфигурировать, открыв объект GPO в редакторе объектов групповой политики и развернув Computer Configuration (Конфигурация компьютера). Далее выберите Administrative Templates (Административные шаблоны), потом выберите Windows Components (Компоненты Windows), затем - Windows Installer (Инсталлятор Windows) (см. рис. 12-12).

Некоторые параметры настройки расположены в другом месте: User Configuration\ Administrative Templates\Windows Components\Windows Installer. В таблице 12-2 объясняется назначение этих опций.

Рис. 12-12. Конфигурирование параметров настройки инсталлятора Windows для компьютерных объектов Табл. 12-2. Опции параметров настройки групповой политики для инсталлятора Windows Параметр настройки Объяснение Disable Windows Installer (Отключение Используется для включения или инсталлятора Windows) (Только отключения инсталляции программного конфигурация компьютера) обеспечения с помощью инсталлятора Windows. Если вы включите политику, то затем можно или полностью отключить инсталлятор Windows, или включить его для всех приложений, или отключать для тех приложений, которые не распределяются через групповые политики.

Always Install With Elevated Privileges Используется для разрешения (Всегда устанавливать с привилегиями) пользователям устанавливать приложения, (Компьютерная и пользовательская которые требуют доступа к каталогам или конфигурация) ключам системного реестра, к которым пользователь обычно не может обращаться.

Включение этой опции означает, что инсталлятор Windows будет использовать системные разрешения для установки программного обеспечения.

Prohibit Rollback (Запретить лоткат) Используйте эту опцию для того, чтобы (Компьютерная и пользовательская отключить заданное по умолчанию конфигурация) поведение инсталлятора Windows создающего файлы, которые могут использоваться для лтката неполной инсталляции.

Remove Browse Dialog Box For New Используется для отключения кнопки Source (Удаление диалогового окна обзора Browse (Обзор), когда пользователь захочет для нового источника) (Только установить новую функцию, используя компьютерная конфигурация) инсталлятор Windows. Включение этой опции отключает кнопку Browse, т.е.

пользователь может пользоваться только источниками, сконфигурированными администратором.

Prohibit Patching (Запретить Используется для запрета установки использование заплат) (Только пользователями заплат к программам, компьютерная конфигурация) использующим инсталлятор Windows.

Включение этой опции обеспечивает усовершенствованную защиту, потому она не позволяет пользователям устанавливать заплаты, которые могли бы изменять системные файлы.

Disable IE Security Prompt For Windows Используется для отключения Installer Scripts (Отключить IE подсказку предупреждений, которые получает клиент, защиты для сценариев инсталлятора устанавливая программное обеспечение Windows) (Только компьютерная через интерфейс браузера типа Microsoft конфигурация) Internet Explorer. Эту опцию можно использовать, если большая часть вашего программного обеспечения распределена через веб-сайт.

Enable User Control Over Installs Используется для увеличения степени (Включить контроль пользователя над контроля за инсталляцией приложения. Если инсталляцией) (Только компьютерная опция включена, процесс инсталляции будет конфигурация) останавливаться на каждом экране, чтобы пользователь мог изменять параметры установки.

Enable User To Browse For Source While Используется для поиска альтернативных Elevated (Дать возможность пользователю инсталляционных источников, если просмотреть источники, если он имеет приложение устанавливается с повышенные разрешения) (Только повышенными разрешениями.

компьютерная конфигурация) Enable User To Use Media Source While Используется для разрешения использовать Elevated (Дать возможность пользователю сменные носители информации в качестве использовать сменные носители инсталляционного источника, если информации, если он имеет повышенные приложение устанавливается с разрешения) (Только компьютерная повышенными разрешениями.

конфигурация) Enable-User To Patch Elevated Products Используется для разрешения пользователю (Дать возможность пользователю устанавливать заплаты, когда инсталляция применять заплаты, если имеются выполняется с повышенными повышенные разрешения) (Только разрешениями.

компьютерная конфигурация) Allow Admin To Install From Terminal Используется для разрешения Services Session (Разрешить администраторам службы терминала администратору инсталляцию из сеанса устанавливать и конфигурировать службы терминала) (Только программное обеспечение, используя сеанса компьютерная конфигурация) службы терминала.

Cache Transforms In Secure Location On Используется для кэширования файлов Workstation (Кэши-ровать файл преобразования, используемых при преобразования в безопасном месте на инсталляции настраиваемых приложений на рабочей станции) (Только компьютерная местной рабочей станции. Файл конфигурация) преобразования требуется для восстановления или повторения инсталляции программ.

Logging (Регистрация) (Только Используется для конфигурирования компьютерная конфигурация) инсталлятора Windows на увеличение заданного по умолчанию уровня регистрации процесса инсталляции программ.

Prohibit User Installs (Запретить Используется для управления тем, будут ли пользовательские инсталляции) (Только установлены приложения, назначенные компьютерная конфигурация) пользователю. Если опция включена, можно сконфигурировать параметры установки так, чтобы устанавливались только приложения, назначенные для компьютеров.

Эта установка может быть полезна, если компьютер подсоединен к интернету или является общедоступным компьютером.

Применяется только к клиентам, имеющим инсталлятор Windows v2.0 (или более позднюю версию).

Turn Off Creation Of System Restore Используется для изменения заданного по Checkpoints (Выключите создание умолчанию поведения на компьютерах с контрольных точек восстановления системой Windows XP Professional, где системы) (Только компьютерная перед любой инсталляцией автоматически конфигурация) создается контрольная точка System Restore (Восстановление системы).

Search Order (Порядок поиска) (Только Используется для изменения заданного по пользовательская конфигурация) умолчанию порядка поиска, при котором инсталлятор Windows ищет инсталляционные файлы. По умолчанию инсталлятор Windows будет просматривать сеть, затем Ч съемные носители информации, а затем - URL интернета.

Prevent Removable Media Source For Any Используется для запрета^использова-ния Install (Запретить использование съемных инсталлятора Windows для установки носителей информации для инсталляции) приложений со съемных носителей (Только пользовательская конфигурация) информации.

Планирование распределения программ через групповые политики Использование групповых политик для управления программным обеспечением может уменьшить усилия, необходимые для распределения и обслуживания программного обеспечения на компьютерах клиента. Однако извлечение выгоды от применения этого инструмента усложняется для большой компании с несколькими различными программными конфигурациями пользовательских рабочих столов. Развертывание групповых политик для наиболее эффективного управления программным обеспечением требует осторожного планирования. Этот раздел посвящен тому, что вы должны учитывать при выполнении этого планирования.

Один из факторов, который вы должны учитывать при развертывании приложений, необходимость публикации приложения пользователям или компьютерам. Если большинство компьютеров являются общедоступными и каждый пользователь требует специфического пакета программ, то вы должны назначить политику на компьютеры. При назначении политики программное обеспечение полностью установится на рабочую станцию при ее следующей перезагрузке и будет доступно всем пользователям. Назначение пакета программ на компьютеры обеспечивает больше опций для управления пропускной способностью сети. Используя эту опцию, можно сконфигурировать групповую политику в течение дня, а затем попросить пользователей (или использовать удаленный инструмент), чтобы они перезагрузили рабочие станции в конце обычного рабочего времени.

Если какой-либо пакет программ требуется только нескольким пользователям, то более эффективным является назначение или публикация приложения для учетных записей пользователей. В некоторых случаях пакет программ должен быть распределен пользователям, принадлежащим нескольким OU. Наилучшим способом для этого является назначение групповой политики на высшем уровне иерархии Active Directory с последующей фильтрацией применения объекта GPO с помощью групп защиты.

Другое важное решение, которое надо принять при планировании распределения программ состоит в том, сколько объектов GPO следует использовать. Одна из крайностей состоит в том, что можно использовать один объект GPO для распределения всего программного обеспечения в пределах определенного контейнера, это улучшит выполнение входа в систему клиента, но может создать сложные конфигурации GPO-объектов. Другая крайность состоит в использовании множества GPO-объектов, каждый из которых распределяет единственное приложение. Это может оказать влияние на процесс входа в систему клиентов, потому что компьютер должен читать множество объектов GPO. Компании используют разнообразные подходы для решения этой проблемы. Типичный подход состоит в том, чтобы создать один объект GPO для установки стандартного набора приложений, в которых каждый нуждается, и которые редко изменяются.

Дополнительные объекты GPO создаются для приложений, которые часто обновляются (типа антивирусного программного обеспечения), и для приложений, которые используются маленькими группами пользователей.

Возможно, что вам придется планировать распределение программного обеспечения по сети с низкой пропускной способностью. Во многих компаниях имеются удаленные офисы или удаленные пользователи, которые подключаются к Active Directory, используя медленные сетевые подключения. По умолчанию компонент групповой политики, предназначенный для распределения программного обеспечения, не применяется, если клиент соединяется через сетевое подключение со скоростью передачи меньше 500 Кб/с. Если рабочие станции вашей сети обычно подключены к локальной сети (LAN) и только иногда соединяются через медленное сетевое подключение, это заданное по умолчанию значение приемлемо. Однако если ваши сетевые клиенты соединяются через медленное сетевое подключение, их нужно подготовить, выполнив дополнительное конфигурирование.

Одна из опций оставляет заданное по умолчанию распределение программного обеспечения таким, как оно есть, инициируя полную инсталляцию программного обеспечения, когда пользователь соединяется с LAN. Используйте эту опцию, если клиенты изредка соединяются с вашей LAN. Если клиенты никогда не соединяются с LAN, для распределения программного обеспечения используйте средства вне Active Directory. Например, используя сменные носители информации или через безопасный веб-сайт, если у клиентов есть быстрое подключение к интернету.

У большинства крупных компаний есть способы автоматизировать процесс, предназначенный для компоновки рабочих станций. Компании используют технологии клонирования диска или службу удаленной инсталляции (RIS Ч Remote Installation Services) для быстрой компоновки стандартного рабочего стола пользователей. Можно использовать эту технологию в комбинации с групповыми политиками, чтобы оптимизировать распределение программного обеспечения.

Например, если вы используете инструмент клонирования диска для компоновки рабочих станций клиентов, скомпонуйте компьютер клиента, а затем используйте групповую политику для установки стандартного набора приложений на рабочей станции. Когда это изображение будет развернуто на рабочих станциях, ими можно управлять с помощью групповых политик. Если вы используете RIS для инсталляции программ на клиентских компьютерах, включите управляемое приложение в RIS-изображение для каждого отдела.

Наиболее важный шаг в подготовке к использованию групповой политики для развертывания программного обеспечения состоит в тщательном тестировании каждого программного распределения перед его развертыванием. Большинство компаний поддерживают лабораторию для тестирования распределений, которая содержит рабочие станции, представляющие аналоги тех рабочих станций, которые имеются в производственной среде. Вы можете создать испытательную OU в Active Directory и переместить сюда учетные записи этих компьютеров и некоторые тестируемые учетные записи пользователей. Используйте эту испытательную среду для проверки каждого программного распределения.

Службы обновления программного обеспечения альтернатива обновлению компьютеров.

Одной из критических задач, выполняемых сетевым администратором, является обслуживание заплат на уровне операционной системы для всех компьютеров в сети. Из-за масштаба необходимых для этого усилий некоторые компании вообще не обновляют настольные компьютеры или применяют только наиболее критические модификации. Они обычно обновляют все серверы, но для защиты рабочих станций полагаются на брандмауэр интернета и антивирусное программное обеспечение. Некоторые компании применяют другой подход и конфигурируют все компьютеры своих клиентов на использование сайта Windows Update (Обновление Windows) для загрузки заплат. Эти компании, возможно, даже позволяют обычным деловым пользователям самим управлять применением заплат. Использование групповых политик может облегчить управление заплатами, но оно не решит проблему. Компания Microsoft создает.msi файлы только для существенных модификаций типа сервисных пакетов, так что управление заплатами по прежнему связано с большим количеством работы. Поэтому компания Microsoft создала службу обновления программного обеспечения (Software Update Service Ч SUS) как альтернативное средство, предназначенное для развертывания обновлений на рабочих станциях.

Служба SUS состоит из серверного компонента и компонента клиента. Чтобы включить службу SUS, вы должны установить серверный компонент на компьютере с системой Windows 2000 или Windows Server 2003. Затем сконфигурируйте серверный компонент службы для загрузки всех критических модификаций с сайта Windows Update. Эта загрузка может быть автоматической или ручной. Как только модификации будут загружены и проверены, можно сконфигурировать службу для распределения модификаций всем клиентам. Клиентский компонент службы SUS можно устанавливать на компьютерах с системами Windows 2000 Professional и Server (с Service Pack или более поздним), Windows XP Professional или Windows Server 2003. Системы Windows Service Pack 3 и Windows XP Professional Service Pack 1 включают клиентский SUS-компонент.

Компьютер клиента использует клиентский компонент службы SUS для соединения с серверным компонентом службы SUS, чтобы загрузить и установить заплаты.

Служба SUS может управляться с помощью групповых политик. В редакторе объектов групповой политики используйте параметры настройки, расположенные в разделе Computer Configuration, выберите Administrative Templates, далее выберите Windows Components, а затем Ч Windows Update для конфигурирования управления автоматическими модификациями на рабочих станциях (см. рис. 12-13). Вы можете использовать групповые политики для определения того, с каким SUS сервером будут соединяться рабочие станции.

Рис. 12-13. Конфигурирование клиентского компонента для автоматических модификаций Чтобы узнать больше об использовании службы SUS и ее интеграции с групповой политикой, загрузите с веб-сайта Microsoft статью, расположенную по адресу windowsupdate/sus/susoverview.asp.

Ограничения на использование групповых политик для управления программным обеспечением Хотя групповые политики обеспечивают мощные механизмы управления программным обеспечением на компьютерах клиентов, у этой технологии имеются некоторые ограничения. Эти ограничения очевидны при сравнении групповых политик с инструментами управления программным обеспечением Microsoft Systems Management Server (SMS) или LANDesk от Intel.

Одно из ограничений для многих компаний состоит в том, что групповые политики могут использоваться только для распределения программного обеспечения на клиентские компьютеры с системами Windows 2000 или Windows XP Professional. Хотя большинство компаний перешло на самые последние операционные системы, многие все еще используют системы Windows NT Workstation, Windows 95 или Windows 98 на клиентских компьютерах. Если такие компании захотят использовать групповые политики для распределения программного обеспечения клиентам с более новыми системами, они все равно будут поддерживать альтернативный метод для более старых клиентов.

Более существенное ограничение состоит в недостатке гибкости групповых политик при назначении графика инсталляции программного обеспечения. Приложения не публикуются на рабочей станции до тех пор, пока пользователь не сделает новый вход в систему или пока не произойдет перезагрузка компьютера. Инструментальные средства распределения программ, обладающие полным набором функций, такие как SMS, имеют и другие опции. Например, вы можете сконфигурировать SMS или LANDesk для запуска компьютера в течение ночи, используя технологию wake-on-LAN, устанавливающую программное обеспечение с последующим выключением компьютера. Распределение программного обеспечений может быть намечено на любое время в течение дня, пользователю не обязательно даже выходить из системы, он может и не знать, что идет распределение программного обеспечения.

Еще одно ограничение, связанное с использованием групповой политики, состоит в том, что она не поддерживает возможностей мультиве-щания в сети. Большая часть сетевого трафика представляет собой однонаправленный трафик, то есть трафик, который течет между двумя определенными компьютерами. При мультивещании сервер выпускает один поток сетевого трафика, а несколько клиентских компьютеров получают одни и те же данные. Поскольку каждое распределение программы инициируется действием клиента, то оно не может использовать мультивещание. Использование мультивещания сохраняет высокую пропускную способность сети. Например, если в вашей компании имеется несколько тысяч клиентов, и нужно распределить срочную антивирусную модификацию, используя решение с однонаправленной передачей данных, тем самым снизится пропускная способность даже самой быстрой сети. При использовании мультивещания все сетевые клиенты получат модификацию, хотя пакет программ посылается только один раз.

И еще одно ограничение состоит в недостаточном количестве функций, сообщающих о результатах. Служба Active Directory не позволяет определить, успешно ли установлено программное обеспечение на рабочей станции или нет, она не сообщает об успехах или отказах инсталляции.

При использовании групповой политики для распределения программного обеспечения нельзя указать, какие именно клиенты должны получить пакет программ иным способом, кроме как через назначение объекта GPO на контейнерном уровне или через фильтрацию, основанную на группах.

Более полнофункциональные инструменты распределения программного обеспечения (например, SMS и LANDesk) создают опись всех клиентских компьютеров. Она включает также такие компьютерные атрибуты, как объем пространства жесткого диска, характеристики процессора и оперативной памяти, а также список программно го обеспечения, установленного на компьютерах. Используйте эту опись для указания того, какие клиентские компьютеры получат определенный пакет программ. Например, вы могли бы устанавливать самую последнюю версию приложения Office только на рабочих станциях, имеющих необходимое пространство на жестком диске и достаточный объем оперативной памяти.

Проблемы, связанные с распределением программ, возникают также при наличии лотсоединенных клиентов. В некоторых компаниях имеется много клиентских компьютеров, соединяющихся с корпоративной сетью только иногда и только через модемную связь или VPN подключение. Полнофункциональный инструмент распределения программного обеспечения осуществляет многостороннюю поддержку таких клиентов. Одна из опций состоит в обеспечении веб-сайта, который используется для установки программного обеспечения и управления им после инсталляции. Другая опция Ч разумное управление распределением программ, когда клиент находится на связи. Например, можно распределять программное обеспечение всем клиентам с модемной связью, но строго ограничивать объем пропускной способности сети, которую использует этот процесс. Процесс распределения программ может также обнаруживать нарушения сетевого подключения и при следующем соединении пользователя с сетью запускать распределение программ с того места, в котором подключение было нарушено.

Таким образом, использование групповых политик для управления программным обеспечением не поддерживает желаемый набор функций. Однако для маленьких компаний и компаний среднего размера, у которых на большинстве компьютеров установлены системы Windows 2000 или Windows XP Professional, групповые политики могут решить многие проблемы, связанных с распределением программного обеспечения. И цена использования групповых политик безусловно оправдана, если сравнить ее с довольно дорогими затратами по лицензированию клиентов при использовании других инструментальных средств.

Резюме Групповые политики в Active Directory Windows Server 2003 обеспечивают мощные инструментальные средства для развертывания и управления программным обеспечением на рабочих станциях. Используя групповые политики и технологию инсталлятора Windows, вы можете развертывать программное обеспечение на рабочих станциях, а затем управлять этим программным обеспечением в течение всего жизненного цикла программы. В этой главе рассмотрены вопросы, касающиеся использования групповых политик для развертывания программного обеспечения и управления им.

Глава 13. Использование групповых политик для управления компьютерами В главе 12 описан один из спосебов использования групповой политики в службе каталога Active Directory системы Microsoft Windows Server 2003 для управления вашей сетью Ч использование групповой политики для управления программным обеспечением, которое устанавливается на рабочих станциях вашей сети. Использование централизованного инструмента для управления программным обеспечением клиентов дает существенную выгоду для организации. Однако с управлением компьютерами клиентов связано много хлопот, включающих защиту настольных компьютеров, управление профилями пользователей и данными, блокировку пользовательских рабочих столов для уменьшения количества изменений, которые могут делать пользователи на своих компьютерах. В этой главе объясняется, как использовать групповые политики для управления компонентами рабочих столов компьютеров клиентов.

В больших организациях администрирование компьютеров клиентов - это одна из самых серьезных задач в управлении. Установка и развертывание компьютеров требуют больших усилий, но и управление рабочими станциями после развертывания является не менее трудоемкой задачей. В крупных компаниях имеется целый сервисный отдел, посвященный решению проблем, с которыми сталкиваются пользователи. Часто этот отдел подкрепляется группой поддержки рабочих станций, которая может посещать компьютеры клиентов, если проблему нельзя решить по телефону.

Звонок в сервисный отдел обычно связан с тем, что пользователь сделал что-то такое, что вызвало проблемы. Пользователь может изменить установки системы так, что больше не сможет соединяться с сетью. Другие звонки связаны с конфигурированием рабочих станций, например, параметры настройки были неправильно заданы при установке рабочей станции или приложения и после инсталляции должны быть изменены. Групповые политики могут использоваться для уменьшения количества таких звонков, позволяя централизовано управлять компьютерами вашей компании. Вы можете использовать групповые политики, чтобы запретить пользователям изменения на своих рабочих станциях, наруша ющие правильное функционирование. Можно также использовать групповые политики для централизованного конфигурирования многих параметров настройки рабочих станций вашей компании.

Практический опыт. Индивидуальные предпочтения против централизованного управления компьютерными рабочими столами В большинстве случаев управление рабочими столами пользователей требует равновесия между централизованным управлением компьютерами и удовлетворением потребностей пользователей, которые хотят иметь полный контроль над своими рабочими столами. Если реализовать все опции управления, обсуждаемые в этой главе, можно полностью блокировать пользовательские рабочие столы, чтобы пользователи гарантировано не смогли сделать никаких неправомочных изменений. Многие администраторы думают, что предоставление пользователям возможности изменять параметры настройки означает только то, что они сконфигурируют что-либо неправильно, и это приведет к увеличению объема работы для администратора. Многие пользователи, с другой стороны, во всех попытках управления их рабочими столами видят вторжение в их личное пространство. С точки зрения пользователя рабочая станция является частью индивидуальной рабочей среды, и любые попытки управления этой рабочей средой вызывают решительное сопротивление.

Решение о правильном балансе между централизованным управлением рабочими столами и контролем их со стороны конечного пользователя в разных компаниях различно. Некоторые компании уже имеют опыт использования системной политики в Microsoft Windows NT 4 или групповых политик в Active Directory Microsoft Windows 2000, и их конечные пользователи уже приучены к некоторому уровню блокирования рабочего стола. В таких компаниях можно вводить новые ограничения без особого беспокойства. Однако во многих компаниях раньше не существовало никаких ограничений, поэтому первая же попытка реализовать ограничение вызовет активное сопротивление.

Для большинства компаний наилучшим подходом к управлению рабочими столами является медленный старт и создание благоприятного первого впечатления. Это означает, что вы используете групповые политики для решения проблем, раздражающих конечных пользователей. Если вы покажете конечным пользователям, что управление рабочими столами фактически сделает их работу более легкой, они более охотно согласятся на дополнительное управление. С другой стороны, если первые результаты вызовут сотни звонков в сервисный отдел, то вы лишитесь поддержки для реализации любого управления рабочими столами.

Другим важным компонентом для успешной реализации групповых политик является помощь со стороны управленческого аппарата. В боль шинстве компаний дирекция идет навстречу всему, что уменьшает стоимость управления рабочими станциями. Если вы сумеете доказать, что уменьшение стоимости работ является конечным результатом вашей реализации управления рабочими столами, то вы наверняка получите поддержку дирекции в улаживании жалоб, поступающих от конечных пользователей, не желающих, чтобы их рабочими столами управляли.

Управление рабочими столами с использованием групповых политик Служба Active Directory Windows Server 2003 имеет множество опций групповых политик, которые мржно использовать для конфигурирования компьютеров. Параметры настройки расположены в нескольких местах в структуре Group Policy. Поэтому перед началом детального описания некоторых из параметров настройки в этом разделе дается краткий обзор доступных параметров настройки. На рисунке 13-1 показано расширенное представление опций управления рабочими столами в пределах отдельного объекта групповой политики GPO. В таблице 13-1 дано краткое пояснение для контейнеров высшего уровня.

Рис. 13-1. Контейнеры высшего уровня в Default Domain Policy (Заданная по умолчанию политика домена) Табл. 13-1. Контейнеры высшего уровня в заданной по умолчанию политике домена Контейнер Дочерние контейнеры Содержимое высшего уровня Computer Software Settings (Параметры Содержит параметры настройки для Configuration and настройки программного пакетов программного обеспечения, User Configuration обеспечения) используемых для распределения (Компьютерная и программ.

пользовательская конфигурация) Computer Windows Settings\ Scripts Содержит сценарии запуска и Configuration and (Параметры настройки выключения для компьютеров и User Configuration Windows\Сценарии) сценарии входа в систему и выхода (Компьютерная и из нее для пользователей.

пользовательская конфигурация) Computer Windows Settings\ Security Содержит параметры настройки, Configuration and Settings (Параметры настройки используемые для User Configuration Windows\ Параметры конфигурирования защиты (Компьютерная и настройки защиты) компьютера. Некоторые параметры пользовательская настройки специфичны для конфигурация) доменного уровня, а некоторые можно установить на контейнерном уровне. Большинство параметров настройки защиты конфигурируются в разделе компьютерной конфигурации User Configuration Windows Settings\ Folder Содержит параметры настройки, (Пользовательская Redirection (Параметры которые переадресовывают конфигурация) настройки Windows \Пере- пользовательские папки, такие как назначение папки) папки My Documents (Мои документы), на сетевой ресурс.

User Configuration Windows Settings\ Remote Содержит отдельную опцию (Пользовательская Installation Services (Параметры конфигурации для службы конфигурация) настройки Windows \Служба удаленной инсталляции (RIS).

удаленной инсталляции) User Configuration Windows Settings\ Internet Содержит параметры настройки для (Пользовательская Explorer Maintenance управления конфигурацией конфигурация) (Параметры настройки приложения Microsoft Internet Internet Explorer на пользовательских Windows\Обслуживание Explorer) рабочих столах.

Computer Administrative Templates Содержит большое количество Configuration and (Административные шаблоны) конфигурационных параметров User Configuration настройки, которые могут (Компьютерная использоваться для конфигурация и конфигурирования системного пользовательская реестра компьютера.

конфигурация) Последующий материал содержит детальное описание многих контейнеров высшего уровня.

Управление данными пользователей и параметры настройки профиля Одна из проблем, с которыми сталкиваются сетевые администраторы, состоит в управлении пользовательскими данными и пользовательскими профилями. Данные, с которыми работают пользователи, часто являются критическими с точки зрения бизнеса, они должны соответствующим образом защищаться и управляться. В большинстве случаев они должны храниться централизовано с поддержкой регулярного резервного копирования. Имеется много способов обращения с этими данными. Обычно данные всех пользователей хранятся на сетевом ресурсе. Однако многие пользователи хранят некоторые данные, которые нужны в случае отсутствия сети, на своих компьютерах, особенно на портативных Другой аспект управления рабочими столами компьютеров состоит в управлении пользовательскими профилями, которые часто больше беспокоят конечных пользователей, чем администраторов. Некоторые пользователи проводят значительное время, конфигурируя свои приложения и рабочие столы для удовлетворения собственных предпочтений. Для этих пользователей конфигурация рабочего стола очень важна, и они хотят, чтобы данный рабочий стол появлялся независимо от того, с какого компьютера они войдут в систему.

До появления Active Directory основным методом управления пользовательскими данными и параметрами настройки была реализация пользовательских профилей. Некоторые компании реализовывали роу-минговые профили пользователя, которые сохранялись на сетевом ре сурсе и были доступны пользователям с любой рабочей станции в организации. Некоторые компании налагают ограничения на профили своих пользователей, реализуя принудительные профили. Используя принудительные профили, администратор может создать стандартный профиль для пользователя или группы пользователей, а затем сконфигурировать профиль так, чтобы пользователи не могли его изменять.

Роуминговые и принудительные пользовательские профили могут быть реализованы, используя Active Directory, а некоторые из параметров настройки, предназначенные для управления ими, могут быть сконфигурированы через групповые политики. В дополнение к пользовательским профилям Active Directory обеспечивает также переназначение папки для управления пользовательскими данными и параметрами настройки, что создает существенные выгоды для пользовательских профилей.

Управление пользовательскими профилями Пользовательский профиль содержит всю конфигурационную информацию для рабочего стола пользователя. Эта информация включает содержание поддерева HKEY_CURRENT_USER в системном реестре (хранящееся как файл Ntuser.dat), который включает параметры настройки конфигурации для приложений и рабочего стола. Кроме того, профиль содержит папки My Documents (Мои документы), Start Menu (Меню Пуск), Desktop (Рабочий стол) и Application Data (Данные приложений). На рисунке 13-2 показано содержимое пользовательского профиля на компьютере с системой Windows Server 2003.

Рис. 13-2. Пользовательский профиль содержит все пользовательские параметры настройки рабочего стола и папки для пользовательских данных Пользовательский профиль создается на каждом компьютере, когда пользователь первый раз входит в систему. Начальный профиль основан на заданном по умолчанию пользовательском профиле, который хранится в папке %systemdrive%\Documents And Settings. Когда пользователь выходит из системы, профиль пользователя, включая любые сделанные им изменения к заданному по умолчанию, сохраняется в папке с именем, под которым пользователь входил в систему, в папке Documents And Settings (Документы и параметры настройки). Когда пользователь снова войдет на тот же самый компьютер, его профиль будет найден, и пользователю будет представлен тот же самый рабочий стол, который был перед выходом из системы. Некоторые компании реализовали роу-минговые профили пользователя. Роуминговые пользовательские профили хранятся на сетевом ресурсе, чтобы быть доступными пользователю, когда он перемещается между компьютерами. Когда пользователь, для которого сконфигурирован роуминговый профиль, впервые входит на компьютер, этот профиль загружается с сетевого ресурса и применяется к компьютеру. Когда пользователь выходит из системы, сделанные им изменения к пользовательскому профилю копируются назад на сетевой ресурс. Копия профиля также кэшируется на местной рабочей станции. Если пользователь уже входил на рабочую станцию прежде, то временная метка профиля, хранящегося на местной рабочей станции, сравнится с временной меткой профиля, хранящегося на сетевом ресурсе. В системах Windows 2000 и Windows XP Professional временная метка на индивидуальных файлах используется для определения того, какой из файлов профиля является более новым. Если профиль, хранящийся на сервере, новее, чем местный профиль, то весь профиль будет скопирован с сервера на местную рабочую станцию. Включить роуминговый профиль пользователя можно, конфигурируя путь профиля на вкладке Profile (Профиль) окна Properties (Свойства) учетной записи пользователя в инструменте Active Directory Users And Computers (Пользователи и компьютеры Active Directory).

Некоторые компании реализуют принудительные профили. В большинстве случаев принудительные профили используются в комбинации с роуминговыми профилями для создания стандартной настольной конфигурации для группы пользователей. Например, вы имеется группа пользователей, исполняющих одни и те же функции и нуждающихся в очень ограниченной конфигурации рабочего стола. Если вы являетесь членом групп Account Operators (Операторы учетных записей), Domain Admins (Администраторы домена) или Enterprise Admins (Администраторы предприятия), вы можете создать один стандартный рабочий стол для этой группы пользователей и использовать принудительные профили, чтобы помешать изменению конфигурации. Чтобы включить опцию принудительных профилей, сначала создайте желательную стандартную конфигурацию рабочего стола. Затем сохраните все содержимое пользовательского профиля на сетевом ресурсе и переименуйте файл Ntuser.dat в Ntuser.man. Далее сконфигурируйте всех необходимых пользователей, чтобы этот профиль был их роуминговым профилем. Когда пользователи войдут в сеть, им будет представлен стандартный профиль, и поскольку этот профиль является принудительным, они не смогут сохранить никакие изменения, сделанные к нему.

Роуминговые пользовательские профили существуют и в Windows Server 2003. Если в вашей компании реализованы роуминговые или принудительные пользовательские профили, можно продолжать их использование. Для управления пользовательскими профилями используются групповые политики. Большинство пользовательских параметров настройки профиля расположено в папке Computer Configuration\ Administrative Templates\ System\User Profiles.

Дополнительные параметры настройки расположены в подпапке того же названия в разделе параметров User Configuration. В таблице 13-2 объясняются опции конфигурации.

Табл. 13-2. Конфигурирование пользовательских профилей с помощью редактора объектов групповой политики Опция конфигурации Пояснение Do Not Check For User Используется для конфигурирования действий в Ownership Of Roaming случае, если папка роуминговых профилей Profile Folders (He пользователя уже существует и рабочие станции проверять право модернизированы до Microsoft Windows 2000 Service собственности Pack 4 или Microsoft Windows XP Professional Service пользователя на папки Pack. Эти новые сервисные пакеты увеличивают роу-минговых профилей) заданную по умолчанию защиту пользовательских профилей. Включение этой опции означает, что поддерживается более ранняя защита.

Delete Cached Copies Of Используется для удаления в местном масштабе Roaming Profiles (Удалить кэшированной копии роумингового профиля кэширован-ные копии пользователя, когда пользователь выйдет из системы.

роуминго-вых профилей) Не включайте эту опцию, если вы используете функцию обнаружения медленных связей в системах Windows 2000 или Windows XP Professional, потому что этой функции требуется локально кэшированная копия пользовательского профиля.

Do Not Detect Slow Используется для предотвращения использования Network Connections (He функции обнаружения медленных связей при обнаруживать медленные конфигурировании способов управления сетевые подключения) роуминговыми профилями пользователя. Если опция включена, то роуминговые профили пользователей будут загружаться всегда, независимо от скорости передачи в сети.

Slow Network Connection Используется для определения медленного сетевого Timeout For User Profiles подключения. Если опция включена, то заданное по (Лимит времени в умолчанию определение медленного сетевого медленном сетевом подключения - менее 500 Кб/с, или (для подключении для компьютеров, не использующих IP-адрес) если пользовательских серверу на ответ требуется более 120 мс.

профилей) Wait For Remote User Используется для того, чтобы всегда загружать Profile (Ждать удаленный роуминговый профиль пользователя с сервера. Если пользовательский опция включена, рабочая станция загрузит профиль) пользовательский профиль, даже если будет обнаружено медленное сетевое подключение.

Prompt User When Slow Используется для предупреждения об обнаруженном Link Is Detected медленном сетевом подключении, чтобы дать (Предупредить пользователю возможность выбора между загрузкой пользователя, если местного профиля или профиля, расположенного на обнаружены медленные сервере. Если опция не включена, местный профиль связи) будет загружен без уведомления пользователя.

Timeout For Dialog Boxes Используется для конфигурирования времени (Лимит времени для ожидания система после того, как пользователь будет диалоговых окон) предупрежден об обнаружении медленного сетевого подключения. Если лимит времени истекает, то применяется заданное по умолчанию значение или действие, связанное с диалоговым окном.

Log Users Off When Используется для запрета входа пользователей в Roaming Profile Fails систему, если роуминговый профиль недоступен.

(Предотвратить вход Если опция не включена, будет загружен профиль, пользователей, если котируемый в местном масштабе, если он доступен.

роуминговый профиль не (Иначе загружается местный заданный по умолчанию доступен) пользовательский профиль.) Maximum Retries To Используется для конфигурирования количества Unload And Update User попыток системы обновить файл Ntuser.dat, когда Profile (Максимальное пользователь выходит из системы и обновление количество повторных терпит неудачу. По умолчанию система будет попыток для выгрузки и пробовать обновить файл один раз в секунду в обнов- течение 60 с.

Add The Administrators Используется для конфигурирования Security Group To Roaming административного доступа к пользовательским User Profiles (Добавьте профилям. По умолчанию в системах Windows 2000 и группу безопасности Windows XP Professional учетной записи администраторов к пользователя дается полное управление профилем, а роуминговым профилям администраторы не имеют никакого доступа пользователей) Prevent Roaming Profile Используется для конфигурирования действий при Changes From Propagating выходе пользователя из системы. Если эта опция To The Server включена, то роуминговый профиль на сервере не (Предотвратить модифицируется, когда пользователь выходит из перемещение изменений системы.

роумингового профиля на сервер) Only Allow Local User Используется для конфигурирования того, будут ли Profiles (Разрешить только роуминговые профили пользователя скопированы с местные пользовательские сервера. Если опция включена, роуминговый профили) профиль пользователя не будет применяться Connect Home Directory To Используется для конфигурирования отображения Root Of The Share домашнего диска так, как он был сконфигурирован в (Подключить домашний Windows NT. Если опция включена, то домашним каталог к корню ресурса) диском' для всех пользователей будет сетевой ресурс, (в разделе User на котором расположены домашние папки Configuration) пользователей. Если опция отключена (задано по умолчанию), домашние диски б^удут отображать специфичные для пользователя папки, а не ресурс более высокого уровня.

Limit Profile SizeИспользуется для ограничения размера роумингового (Ограничить размер профиля пользователя, а также для профиля) (в разделе User конфигурирования того, какое предупреждение Configuration) получит пользователь, если размер его профиля будет превышен.

Exclude Directories In Используется для предотвращения включения Roaming Profile определенных пользовательских каталогов в (Исключить каталоги из роуминговый профиль пользователя.

роуминговых профилей) (в разделе User Configuration) Как показано в таблице 13-2, Active Directory Windows Server 2003 имеет мощные возможности для управления роуминговыми профилями пользователя. Они используются для проектирования специфичных конфигураций пользователей в вашей компании. Например, для большинства пользователей вашей компании, которые входят в домен через быстрые сетевые подключения, можно изменить некоторые параметры настройки роуминговых профилей, таких как ограничение размера профиля, но принять остальные значения заданными по умолчанию. Для тех пользователей, которым требуются специальные конфигурации рабочего стола, могут понадобиться особенные параметры настройки, например, запрет на загрузку роуминговых профилей пользователя или обязательная загрузка профиля. Для тех пользователей, которые входят в сеть через медленные сетевые подключения, нужно сконфигурировать параметры медленных сетевых подключений. Создавая структуру организационных единиц (OU), которая соответствует требованиям пользовательских профилей, можно реализовать особые конфигурации роуминговых профилей пользователя.

Роуминговые пользовательские профили полезны для компаний, в которых пользователи не пользуются все время одним и тем же компьютером. Когда функция роуминговых профилей включена, рабочая среда пользователя остается одной и той же, независимо от того, в каком месте пользователь входит в систему. Однако роуминговые профили пользователя имеют некоторые ограничения. Самая большая проблема состоит в том, что пользовательский профиль может стать очень большим. Например, пользователь хранит большинство своих документов в папке My Documents (Мои документы) или на рабочем столе. Временные интернет-файлы могут вырастать до размеров, составляющих десятки мегабайт. Все эти файлы сохраняются в пользовательском профиле. Проблема заключается в том, что весь профиль должен быть скопирован на локальную рабочую станцию всякий раз, когда пользователь входит в систему, и компьютер обнаруживает, что профиль, находящийся на сервере, новее, чем профиль, находящийся на локальной рабочей станции. Если пользователь делает изменения профиля, то при выходе профиль копируется назад на сервер. Этот процесс создает существенный объем сетевого трафика.

Переназначение папки Active Directory Windows Server 2003 обеспечивает переназначение папки как способ получения выгоды от использования роуминговых профилей при уменьшении пропускной способности сети.

Если включена функция переназначения папки, то папки, которые обычно являются частью местного пользовательского профиля, перемещаются из местного профиля и сохраняются на сетевом ресурсе. Например, одна из типичных папок, которая конфигурируется для переназначения папки, Ч это папка My Documents. Во многих компаниях эта папка является логической папкой, использующейся для переадресования, так как она представляет собой заданное по умолчанию место для хранения пользовательских файлов. Когда эта папка конфигурируется для переназначения, вы сохраняете ее на сетевом ресурсе, где централизованно поддерживается ее резервное копирование и одновременно обслуживается среда конечного пользователя. Переназначение папки полностью прозрачно для конечного пользователя, единственный способ узнать, что папка была переадресована, - посмотреть свойства папки My Documents.

Другая причина переназначения папки состоит в том, что вы можете использовать эту опцию для развертывания стандартной среды рабочего стола вместо использования принудительных пользовательских профилей. Например, можно переадресовать папки Start Menu или Desktop на сетевой ресурс, затем сконфигурировать группу пользователей, использующих одну и ту же папку. Давая всем пользователям разрешения Read (Чтение) к этим папкам, но не давая разрешения Write (Писать), вы можете сконфигурировать стандартный рабочий стол для группы пользователей.

Можно переназначить четыре различные папки в Active Directory Windows Server 2003: Application Data, Desktop, My Documents и Start Menu Переназначение папки конфигурируется в редакторе объектов групповых политик выбором User Configuration (Конфигурация пользователя), далее - Windows Settings (Параметры настройки Windows), затем - Folder Redirection (Перенаправление папаки). Папки перечислены таким образом, что можно сконфигурировать каждую папку отдельно.

Чтобы сконфигурировать папку My Documents для переназначения, найдите объект My Documents в папке Folder Redirection (Переназначение папки), щелкните на нем правой кнопкой мыши, а затем выберите Properties (Свойства). Первая вкладка листа Properties объекта - это вкладка Target (Цель) (см. рис. 13-3).

На этой вкладке имеется три конфигурационные опции. По умолчанию опция Setting (Параметры установки) установлена как Not Configured (He конфигурирована), т.е. папка не переадресована на сетевой ресурс. Две другие опции, предназначенные для конфигурирования, следующие.

Х Basic - Redirect Everyone's Folder To The Same Location (Основная -переадресовать все папки в одно и то же место). Используется в том случае, если вы хотите создать одно место, куда будут переадресованы все папки. Например, папки всех пользователей, на которых действует эта политика, будут расположены на сетевом ресурсе \ \servernam е \sharenam е.

Х Advanced - Specify Locations For Various User Groups (Расширенная -указать местоположение для различных групп пользователей). Используется для конфигурирования альтернативных местоположений для переадресованной папки в зависимости от того, какой группе Active Directory принадлежит пользователь. Если опция выбрана, можно назначать альтернативное целевое место расположения папки для каждой группы.

Рис. 13-3. Конфигурирование целевого места расположения папки при ее переназначении Совет. Нельзя использовать опцию Advanced для назначения альтернативных мест расположения папки для индивидуальных учетных записей пользователя. Помните, что эта групповая политика применяется только к учетным записям пользователя, которые находятся в контейнере, в котором вы конфигурируете групповую политику. Если вы конфигурируете опцию Advanced, чтобы переадресовать групповую папку в определенное место, установка применится только к тем учетным записям пользователей данной группы, которые расположены в данном контейнере. Если группа содержит пользователей из других контейнеров, переназначение папки к ним применяться не будет.

Как только выбраны параметры настройки для переадресования папок, можно сконфигурировать целевое место расположения папки. Имеется несколько опций, предназначенных для выбора места хранения папки.

Х Redirect To The User's Home Directory (Переадресовать в основной каталог пользователя). Используется для переадресации папки My Documents в основной (домашний) каталог пользователя, который определен в свойствах учетной записи пользователя. Используйте эту опцию, только если вы уже создали основной каталог. Если основной каталог не создан, конфигурирование этой опции его не создаст. Опция доступна только для папки My Documents.

Х Create a Folder For Each User Under The Root Path (Создать папку для каждого пользователя в корневом каталоге). Используется для указания корневого каталога, в котором будут храниться папки. Когда вы выбираете эту опцию, папка будет создана в корневом каталоге каждого пользователя. Имя папки будет основано на переменной входа в систему %username %.

Х Redirect To The Following Location (Переадресовать по следующему адресу).

Используется для указания корневого каталога и места расположения папки для каждого пользователя. Вы можете использовать UNC-путь или путь к локальному диску.

Используйте переменную %username % для создания индивидуальных папок. Эта опция используется также для переадресации нескольких пользователей к одной и той же папке.

Например, если нужно сконфигурировать стандартное Start Menu для группы пользователей, можно указать для всех один и тот же файл.

Х Redirect To The Local Userprofile Location (Переадресовать в место расположения локального профиля пользователя). Эта установке является заданной по умолчанию конфигурацией, если никакие политики не включены. После установки опции папки не будут переадресовываться на сетевой ресурс.

Вы можете также сконфигурировать другие параметры настройки для переадресованных папок.

Чтобы сделать это, щелкните на вкладке Settings в окне Properties объекта (см. рис. 13-4).

Рис. 13-4. Конфигурирование параметров настройки переназначения папки Вкладка Settings (Параметры настройки) имеет несколько опций конфигурации.

Х Grant The User Exclusive Rights To foldername (Предоставить пользователю исключительные права на имя папки). Предоставляет пользователю и системной учетной записи полный контроль над папкой. Учетная запись Administrator (Администратор) не будет иметь никакого доступа к этой папке. Если вы очистите флажок, то разрешения на доступ к папке будут сконфигурированы на основе унаследованных разрешений.

Х Move The Contents Of foldername To The New Location (Переместить содержимое папки имя папки в новое место). Перемещает текущее содержимое переадресованной папки в целевое место расположения. Если опция не выбрана, содержимое текущей папки не будет скопировано в целевое место расположения.

Х Policy Removal (Удаление политики). Используется для выбора действий в случае удаления политики. Если вы примете заданную по умолчанию опцию Leave The Folder In The New Location When Policy Is Removed (Оставить папку в новом месте, когда политика удалена), то содержимое переадресованной папки не будет перемещено в локальный пользовательский профиль, если политика удалена. Выбор опции Redirect The Folder Back To The Local Userprof ile Location When Policy Is Removed (Переадресовать папку назад к месту расположения локального профиля пользователя, когда политика удалена) переместит содержимое папки, когда политика будет удалена.

Х My Pictures Preferences (Предпочтения, касающиеся папаки My Pictures). Эта установка используется для конфигурирования того, будет ли папка My Pictures включена в переназначение папки My Documents.

Когда вы используете переназначение, чтобы переадресовать папку My Documents, содержимое папки не копируется на сервер и обратно, как это делается в случае с роуминговыми пользовательскими профилями. Содержимое папки расположено на сервере, как и любые другие данные сетевого ресурса. Следовательно, часть содержимого папки пересекает сеть только тогда, когда пользователь открывает файл в папке. Это справедливо и для папки Desktop (Рабочий стол).

Если на рабочем столе имеется большой файл, то этот файл хранится на сетевом ресурсе и копируется на компьютер клиента, когда пользователь открывает файл. Тот факт, что данные пересекают сеть только по требованию, может значительно улучшать выполнение входа в систему, особенно если у вас имеется большое количество пользователей, одновременно загружающих свои роуминговые профили.

Одно из преимуществ использования пользовательских профилей для сохранения папок типа папки My Documents состоит в том, что после начального входа в систему на рабочей станции копия пользовательского профиля всегда сохраняется в местном масштабе, т.е. если сервер профиля недоступен или рабочая станция отключена от сети, то профиль, укомплектованный папкой My Documents, будет доступен на рабочей станции. Когда рабочая станция повторно связывается с сетью, изменения, сделанные к пользовательскому профилю, копируются на сервер.

Вы можете достичь этого, комбинируя переназначение папки с автономными файлами.

Автономные файлы доступны на рабочих станциях с системами Windows 2000, или более поздними, и могут использоваться для поддержки синхронизированной копии общей папки между локальной рабочей станцией и сетевым ресурсом. По умолчанию переадресованные папки сконфигурированы для автономного использования с клиентами, имеющими систему Windows XP Professional. Если имеются клиенты с системой Windows 2000, можно щелкнуть правой кнопкой мыши на папке My Documents, расположенной на рабочем столе, и выбрать Make Available Offline (Сделать доступным в автономном режиме). Включение автономных файлов означает, что переадресованная папка будет скопирована клиентам, делая папку доступной даже в том случае, если сетевое место, в которое была переадресована папка, недоступно.

Конфигурирование параметров настройки защиты с помощью групповых политик Один из критических моментов в управлении пользовательским рабочим столом состоит в конфигурировании на них защиты. Поддержание согласованной конфигурации защиты для тысяч рабочих столов почти невозможно без центрального управления. Для обеспечения централизованного управления могут использоваться групповые политики. Некоторые параметры настройки защиты, сконфигурированные с помощью групповых политик, могут быть реализованы только на уровне домена, некоторые - на любом контейнерном уровне.

Конфигурирование политики безопасности на уровне домена Account Policies (Политики учетных записей), расположенные в контейнере Computer Conf iguration\ Windows Settings\Security Settings, содержат параметры настройки защиты, которые могут быть сконфигурированы только на уровне домена. Account Policies включает три группы политик: Password Policy (Политика паролей), Account Lockout Policy (Политика блокировки учетных записей) и Kerberos Policy (Политика Kerberos) (см. рис. 13-5). Эти политики, за исключением Kerberos Policy, применяются ко всем пользователям в домене, независимо от того, с какой рабочей станции пользователи вошли в сеть. Политика Kerberos Policy применяется только на тех компьютерах домена, на которых вы полняются системы Windows 2000, Windows XP Professional или Windows Server 2003.

Рис. 13-5. Отображение политик безопасности уровня домена Политика паролей Опции конфигурации политики паролей содержат параметры настройки для истории пароля, его длины и сложности. В таблице 13-3 описывается каждая установка.

Табл. 13-3. Политики паролей установки Описание Параметры Значение по умолчанию конфигурации Enforce Password History Определяет количество новых 24 пароля запоминается (Предписанная история уникальных паролей, которые для контроллеров домена пароля) должны быть введены, прежде и компьютеров-членов чем пользователь сможет домена;

0 для повторно использовать старый автономных серверов.

пароль. Возможные значения:

от 0 до Maximum Password Age Определяет количество дней, в 42 дня.

(Максимальное время течение которых может использования пароля) использоваться пароль, прежде чем пользователь должен будет его изменить. Чтобы сконфигурировать пароль для бесконечно долгого использования, установите число дней на 0. Возможные значения: от 0 до Minimum Password Age Определяет количество дней, в 1 день для контроллеров (Минимальное время течение которых пароль должен домена и компьютеров использования пароля) использоваться, прежде членов домена;

0 -для чем пользователь сможет его автономных серверов.

изменить. Чтобы позволить немедленное изменение пароля, установите это значение на 0.

Возможные значения: от 0 до Minimum Password Length Определяет наименьшее 7 символов для (Минимальная длина количество символов, контроллеров домена и пароля) требуемых для пароля. Если компьютеров-членов никакого пароля не требуется, домена;

0 - для установите значение на 0. автономных серверов.

Возможные значения: от 0 до Passwords Must Meet Увеличение сложности пароля Включено для Complexity Requirements за счет предписания : контроллеров домена и (Пароли должны условия, что пароль не должен компьютеров-членов удовлетворять содержать какую-либо часть домена. Выключено для требованиям имени пользователя - этой автономных серверов.

определенной сложности) учетной записи, должен содержать по крайней мере символов, содержать символы, принадлежащие трем из четырех перечисленных ниже категорий: английские прописные буквы, английские буквы нижнего регистра, цифры от 0 до 10, специальные символы (типа !, $,#) Store Password Using Использование этой установки Заблокировано.

Reversible Encryption означает то же самое, что и (Хранить пароль, сохранение паролей в открытом используя обратимое тексте. Эта политика кодирование) обеспечивает поддержку для приложений, которые требуют доступа к паролю для аутентификации.

Политика блокировки учетных записей Опции конфигурации политики блокировки учетных записей содержат параметры настройки для порога и продолжительности блокировки пароля, а также для повторной устаовки пароля. В таблице 13-4 описаны все установки.

Табл. 13-4. Политики блокировки учетных записей Параметры настройки Объяснение Значение по умолчанию конфигурации Account Lockout Определяет количество минут, в Никакого значения.

Duration течение которых Установите значение на (Продолжительности заблокированная учетная запись 30 минут, если порог блокировки учетной остается заблокированной. После блокировки учетной записи) указанного числа минут учетная записи установлен на 1, запись будет автоматически или больше.

разблокирована. Разблокировать учетную запись должен администратор, установив это значение на 0. Любое значение, отличное от нуля должно быть равно или больше, чем значение, установленное в опции Reset Account Lockout Counter After.

Возможные значения: от 0 до Account Lockout Определяет количество 0 недопустимых попыток Threshold (Порог неудавшихся попыток входа в входа в систему.

блокировки учетной систему, которое позволяется записи) сделать, прежде чем учетная запись пользователя будет заблокирована. Значение означает, что учетная запись никогда не будет заблокирована.

Возможные значения: от 0 до Reset Account Lockout Определяет число минут, Никакого значения.

Counter After (Сброс которые должны пройти после Установите значение на счетчика блокировки неудавшейся попытки входа в 30 минут, если порог учетной записи) систему, прежде чем счетчик блокировки учетной неудачных входов в систему записи установлен на будет сброшен на 0. Любое или больше.

значение, отличное от нуля, должно быть равно или меньше, чем значение, заданное для Account Lockout Duration.

Возможные значения: от 1 до Политики Kerberos Опции конфигурации политик Kerberos содержат параметры настройки билета Kerberos Ticket Granting Ticket (TGT), сроков службы билета сеанса и параметров настройки временной метки. В таблице 13-5 описаны все установки.

Табл. 13-5. Политики Kerberos Параметры настройки Объяснение Значение по конфигурации умолчанию Enforce User Logon Требует, чтобы центр распределения Включено.

Restrictions (Предписать ключей (Key Distribu tion Center - KDC) выполнение подтверждал каждый запрос на билет ограничений на вход сеанса по отношению к политике User пользователей в Rights (Права пользователя) целевого систему) компьютера Maximum Lifetime For Определяет максимальное время в минутах, 600 минут (10 часов).

Service Ticket в течение которого билет службы пригоден (Максимальный срок для обращения к ресурсу. Возможные пригодности билета значения: 10, вплоть до значений, меньших службы) или равных значению в минутах параметра Maximum Lifetime For User Ticket, но не превышающих 99999. Значение 0 приведет к тому, что время пригодности билета станет бесконечным, значение Maximum Lifetime For User Ticket будет установлено^на 1, a значение Maximum Lifetime For User Ticket Renewal будет установлено на Maximum Lifetime For Определяет максимальное время в часах, в 10 часов.

User Ticket течение которого может использоваться (Максимальный срок билет TGT. Когда это время истекает, службы рабочая станция должна получить новый пользовательского билет TGT. Возможные значения: от 0 до билета) 99999. Значение 0 указывает, что срок службы билета не будет истекать, а опция Maximum Lifetime For User Ticket Renewal будет установлена на значение Not Defined Maximum Lifetime For Определяет время в днях, в течение 7 дней.

User Ticket Renewal которого билет TGT пользователя может (Максимальный срок, в быть возобновлен вместо получения нового течение которого билета. Значение 0 указывает, что пользовательский билет возобновление билета заблокировано может быть возобновлен) Maximum Tolerance For Определяет различие между временем на 5 минут.

Computer Clock компьютере клиента и временем на часах Synchronization сервера в минутах, которое допускает (Максимальный допуск протокол Kerberos. Обратите внимание, что в синхронизации эта установка переустанавливается на компьютерных часов) заданное по умолчанию значение при каждом перезапуске компьютера Политики учетных записей должны быть установлены на уровне Domain Security Policy (Политики безопасности домена) на контроллере домена. Эти параметры настройки затрагивают всех пользователей и все компьютеры в домене. Хотя эти политики могут быть сконфигурированы на уровне OU, они не будут влиять на тех, кто входит в систему домена. Если вы устанавливаете политику для OU, она затронет только местную базу данных безопасности для компьютеров, входящих в эту OU. Когда эти политики сконфигурированы на уровне OU, они применяются только тогда, когда пользователи входят в систему в местном масштабе. Когда пользователи входят в домен, политики домена всегда подменяют локальную политику.

Конфигурирование других параметров безопасности В дополнение к политике безопасности уровня домена групповые политики обеспечивают большое количество связанных с безопасностью параметров настройки. Как и в случае с политиками Account Policies, многие из этих параметров настройки конфигурируются при выборе контейнера Computer Conf iguration\Windows Settings\Security Settings. Некоторые дополнительные параметры настройки конфигурируются при выборе контейнера User Configuration\Windows Settings\Security Settings. На рисунке 13-6 показаны опции, находящиеся в каждой из папок Security Settings (Параметров настройки безопасности), в таблице 13-6 они суммированы для каждого заголовка.

Рис. 13-6. Дополнительные политики, имеющиеся в папке Security Settings Использование групповых политик для настройки безопасности компьютеров вашей сети значительно облегчает создание и поддержание безопасной сетевой среды. Намного легче конфигурировать безопасность, используя групповые политики, чем иметь дело с каждой рабочей станцией индивидуально. Все, что вы должны сделать, - это создать централизованные политики безопасности, сконфигурировать их в объекте GPO и связать его с контейнерным объектом Active Directory. В следующий раз, когда будет применяться объект GPO, защита будет сконфигурирована на всех компьютерах в контейнере. Использование групповых политик облегчит постоянное управление параметрами настройки защиты для ваших компьютеров.

Параметры настройки защиты, которые устанавливаются политиками, непрерывно обновляются.

Даже если пользователь изменит конфигурацию защиты на рабочей станции, политика будет повторно применена в следующем цикле обновления. Изменить параметры настройки защиты просто, потому что вы можете изменить групповую политику и применить параметры настройки ко всем компьютерам, на которые воздействует данная политика.

Табл. 13-6. Параметры настройки защиты в групповых политиках Опция конфигурации Пояснение Local Policies\Audit Используется для конфигурирования параметров Policy (Локальные настройки аудита. Можно устанавливать политику политики\Политика аудита для таких опций, как действия по управлению аудита) учетными записями, события входа в систему, изменения политик, использование привилегий и системных событий.

Local Policies\User Используется для конфигурирования прав Rights Assignment пользователей на компьютерах, подверженных (Локальные полити- воздействию этой политики. Можно устанавливать ки\Назначение прав разнообразные политики, включая конфигурирование пользователей) локального входа в систему, доступа к компьютеру из сети, резервного копирования файлов и папок, входа в систему для служебных целей и т.п.

Local Policies\Security Используется для конфигурирования опций Options (Локальные безопасности для компьютеров, на которые политики\Опции воздействует эта политика. Можно конфигурировать безопасности) переименование учетной записи локального администратора, управление установкой принтера, установкой драйверов, не имеющих подписи, возможностью хранения паспорта Microsoft.NET на рабочих станциях и т.п.

Event Log (Журнал Используется для конфигурирования параметров регистрации событий) журнала регистрации событий для всех компьютеров, на которые воздействует данная политика. Можно конфигурировать максимальный размер журнала, разрешение на просмотр, сохранение всех журналов.

Restricted Groups Используется для ограничения членства локальных (Ограниченные группы) групп на компьютерах, которые повержены воздействию данной политики. Эта опция обычно используется для конфигурирования членства в группе локальных администраторов на компьютерах с системами Windows 2000 или более поздних. Если эта опция используется для конфигурирования членства локальной группы, то все пользователи или группы, которые являются частью локальной группы, но не входят в список членов, подверженных влиянию этой политики, будут удалены при следующем обновлении политики.

System Services Используется для управления службами на (Системные службы) компьютерах: для определения автоматически запускаемых службы или для выключения служб.

Registry (Системный Используется для конфигурирования защиты на ключах реестр) системного реестра. Вы можете добавить любой ключ системного реестра к политике, а затем применит определенную защиту к этому ключу.

File System(Файловая Используется для конфигурирования защиты на файлах система ) и папках. Можно добавить любые файлы или папки к политике, а затем применить управление доступом и аудит для этих объектов файловойсистемы.

Wireless Network (IEEE Используется для создания беспроводных сетевых 802.11) Policies политик, которые затем могут использоваться для (Политика управления требованиями безопасности для беспроводных сетей) компьютеров, использующих беспроводные сетевые подключения.

Public Key Policies Используется для конфигурирования политик, (Политика открытых связанных с цифровыми сертификатами и с ключей). Эта установка управлением сертификатами. Можно также создавать включена как в раздел агентов восстановления данных, использующихся для Computer Configuration, восстановления файлов, которые были зашифрованы на так и в раздел User локальных рабочих станциях с помощью системы Configuration. Раздел шифрования файлов (Encrypting File System - EFS).

User Configuration включает только опцию Enterprise Trust (Доверительные отношения предприятия).

IP Security Policies On Используется для конфигурирования политик IP Active Directory безопасности (IP Security - IPSec). Можно (domainname) (Политика сконфигурировать политику, точно определяющую, IP безопасности в Active какой сетевой трафик должен быть защищен с Directory) помощью IPSec, на каком компьютере она должна использоваться в обязательном порядке.

Примечание. Политики Software Restriction (Ограничения программного обеспечения) включены в раздел Security Settings как для параметров настройки User Configuration, так и для Computer Configuration. Они будут подробно рассмотрены в следующем разделе.

Политики ограничения программного обеспечения В Active Directory Windows Server 2003 имеется один специальный тип конфигурации защиты, которого не было в Active Directory Windows 2000 -это политики ограничения программного обеспечения. Одно из самых больших беспокойств связано с пользователями, запускающими неизвестное или%е пользующееся доверием программное обеспечение. Во многих случаях пользователи запускают потенциально опасное программное обеспечение непреднамеренно.

Например, миллионы пользователей запускали вирусы или устанавливали приложения типа троянский конь, не имея ни малейших намерений выполнять опасное программное обеспечение.

Политика ограничения программного обеспечения предназначена для предотвращения таких случаев.

Политика ограничения программного обеспечения защищает ваших пользователей от выполнения опасных программ, определяя, какие приложения можно выполнять, а какие -нет. Эта политика позволяет выполняться любому программному обеспечению, за исключением того, которое вы специально заблокируете. Или можно определить политику, не позволяющую выполнять никакое программное обеспечение за исключением того, которое вы явно позволите выполнять. Хотя вторая опция более безопасна, усилия, необходимые для перечисления всех приложений, которым позволяется выполняться в среде Сложного предприятия, слишком серьезны. Большинство компаний выберут первую опцию, разрешающую выполнение всего программного обеспечения и блокирующую только избранное программное обеспечение. Однако если вы развертываете среду с высоким уровнем безопасности, примените более безопасную опцию.

При создании политики ограничения программного обеспечения можно сконфигурировать пять типов правил, характеризующих приложения, на которые воздействует данная политика.

Х Hash rules (хэш-правила). Хэш-правило Ч это криптографический идентификатор, который уникально идентифицирует определенный файл приложения независимо от имени файла или его местоположения. Если в папке Security Levels (Уровни безопасности) был выбран объект Unrestricted (He ограничен), и нужно ограничить выполнение определенного приложения, создайте хэш-правило, используя политику ограничения программного обеспечения. Когда пользователь попытается выполнить это приложение, рабочая станция проверит его хэш-значение и предотвратит выполнение. Если политика блокирует выполнение всех приложений, используйте хэш-правило для допуска определенных приложений.

Х Certificate rules (Правила сертификата). Можно создавать правила сертификата так, что критерием выбора приложений будет сертификат издателя программного обеспечения.

Например, если у вас есть собственное приложение, которое вы сами разработали, назначьте сертификат этому приложению, а затем сконфигурируйте правило ограничения программного обеспечения, состоящее в доверии соответствующему сертификату.

Х Path rules (Правило путей). Можно создавать правила, основанные на пути, характеризующем место, где расположено выполняемое приложение. Если вы выберете папку, то это правило будет распространяться на приложения, расположенные в этой папке. Можно использовать переменные среды (типа %systemroot %), чтобы определить путь и подстановочные знаки (типа *.vbs).

Х Registry path rules (Правило пути системного реестра). Можно создавать правила, основанные на месте расположения системного реестра, которые использует данное приложение. Каждое приложение имеет заданное по умолчанию место расположения в пределах системного реестра, где оно хранит специфическую для приложения информацию, позволяющую создавать правила, блокирующие или разрешающие выполнение приложений, основанные на этих ключах системного реестра. В меню не имеется никакой опции, специфичной для системного реестра, предназначенной для создания правил пути системного реестра, но опция New Path Rule (Новое правило пути) позволяет создавать этот уникальный набор правил. При создании новой политики ограничения программного обеспечения формируются четыре заданных по умолчанию правила пути системного реестра. Эти правила конфигурируют неограниченную программную групповую политику для приложений, расположенных в системной корневой папке и в заданной по умолчанию папке программных файлов.

Х Internet zone rules (Правило зон интернета). Заключительный тип правил основан на интерне-зоне, из которой было загружено программное обеспечение. Например, нужно сконфигурировать правило, позволяющее выполнение всех приложений, загруженных из зоны Trusted Sites (Доверенные сайты), или правило, предотвращающее выполнение любого программного обеспечения, загруженного из зоны Restricted Sites (Ограниченные сайты).

Если вы сконфигурируете свое ограничение так, что все приложения должны выполняться, за исключением указанных приложений, то эти правила определят те приложения, которые не будут выполняться. Если вы создаете более ограничительное правило, блокирующее все приложения, то оно определяет те приложения, которым позволено выполняться.

Политики ограничения программного обеспечения могут быть определены для компьютеров в разделе Computer Configuration\Windows Settings\Security Settings, для пользователей - в разделе User Configuration\Windows Settings\Security Settings. По умолчанию в Active Directory не ус танавливается политики ограничения программного обеспечения. Чтобы создать политику, щелкните правой кнопкой мыши на папке Software Restrictions Policies (Политики ограничений программного обеспечения) и выберите New Software Restrictions Policy (Новая политика). В результате будет создана заданная по умолчанию политика (см. рис. 13-7).

Рис. 13-7. Создание новой политики ограничения программного обеспечения Папка Security Levels (Уровни безопасности) используется для определения заданного по умолчанию уровня защиты. Внутри папки имеются два объекта: Disallowed (Запрещенный) и Unrestricted (Неограниченный). Если нужно сконфигурировать защиту так, чтобы выполнялись все приложения за исключением специально указанных, щелкните правой кнопкой мыши на объекте Unrestricted и выберите Set As Default (Установить по умолчанию). Если вы хотите задать более ограничительную установку, щелкните правой кнопкой мыши на Disallowed и установите его заданным по умолчанию.

Папка Additional Rules (Дополнительные правила) используется для конфигурирования правил ограничений программного обеспечения. Чтобы сконфигурировать правило, щелкните правой кнопкой мыши на папке Additional Rules и выберите тип правила, которое вы хотите создать.

Например, для нового хэш-правила выберите New Hash Rule. Чтобы создать новое хэш-правило, щелкните на кнопке Browse (Обзор) и найдите файл, который вы хотите идентифицировать хэш значением. При выборе файла хэш-значение файла будет создано автоматически. За тем можно сконфигурировать, будет ли это приложение разрешено для выполнения или заблокировано (см. рис. 13-8).

Рис. 13-8. Конфигурирование хэш-правила Объект Enforcement (Принуждение) используется для определенного указания приложения, на которое оказывается воздействие. Можно сконфигурировать правила, которые будут применяться или ко всем приложениям, или ко всем приложениям, кроме DLL. Правила могут применяться или ко всем пользователям, или ко всем пользователям, кроме местных администраторов.

Объект Designated File Types (Отмеченные типы файлов) определяет все расширения файлов, которые рассматриваются как расширения исполняемых файлов и поэтому подчиняются этой политике. Вы можете добавлять или удалять файловые расширения из этого списка.

Объект Trusted Publishers (Доверенные издатели) используется для определения того, кто может выбирать, является ли издатель доверенным или нет. Вы можете указать всех пользователей, только локальных администраторов или только администраторов предприятия. Вы можете также сконфигурировать, должна ли рабочая станция проверять факт возможной отмены действия сертификата перед выполнением приложения.

Шаблоны защиты Как показано в предыдущих разделах, существуют сотни опций, предназначенных для конфигурирования безопасности с использованием групповых политик в сети Windows Server 2003. На первый взгляд можете показаться, что количество опций непомерно велико. Трудно даже определить, с него начать конфигурирование опций безопасности. К счастью, компания Microsoft разработала шаблоны защиты, которые позволяют справиться с этой задачей.

Шаблоны защиты предопределяют наборы конфигураций защиты, которые вы можете применять к компьютерам вашей сети. Вместо того чтобы просматривать каждый параметр защиты, можно выбрать шаблон защиты, соответствующий тому, чего вы хотите добиться, а затем применить этот шаблон, используя групповые политики. Например, если вы развертываете рабочие станции в среде, где требуются строгие параметры настройки защиты, выберите один из шаблонов сильной защиты. Если вы развертываете рабочие станции, которые нуждаются в меньшей защите, то для этих рабочих станций выберите другой шаблон. Шаблоны защиты можно модифицировать. Если вы не найдете шаблон защиты, который точно отвечает вашим потребностям, можно выбрать один из предопределенных шаблонов, а затем изменить несколько параметров настройки.

Почти все параметры настройки защиты, сконфигурированные с помощью групповых политик, могут быть сконфигурированы с использованием шаблон защиты. (Исключения составляют политики IPSec и политики открытых ключей.) Вы можете создать ваш собственный шаблон защиты или использовать один из предопределенных шаблонов. Если вы изменяете шаблон, сохраните его так, чтобы он был доступен другим объектам GPO. При сохранении шаблона он записывается в виде текстового.inf файла.

Предопределенные шаблоны защиты Чтобы облегчить применение защиты, компания Microsoft создала разнообразные предопределенные шаблоны защиты. Эти шаблоны сконфигурированы в соответствии с категориями защиты, такими как default (заданная по умолчанию), secure (безопасная) и high security (сильная защита). Шаблоны хранятся в папке %systemroot %\security\templates. Когда вы устанавливаете на компьютере системы Windows Server 2003 или Windows XP Professional, к компьютеру применяется шаблон Setup Security.inf. Этот шаблон различен для рабочих станций и серверов, он также зависит от того, была ли ваша операционная система установлена как обновление или как чистая инсталляция. Вы можете повторно применять шаблон защиты в любое время после начальной инсталляции. Например, если изменяются параметры настройки защиты на компьютере и нужно вернуть заданные по умолчанию параметры, можно повторно применить этот шаблон. Он создается в процессе установки для каждого компьютера и должен применяться только локально. Он содержит много параметров настройки, которые не конфигурируются в составе какого-либо другого шаблона. Следовательно, не нужно ис пользовать групповые политики для развертывания заданного по умолчанию шаблона. Их можно использовать для развертывания дополнительных шаблонов защиты, которые могут изменять некоторые параметры настройки, сконфигурированные в заданном по умолчанию шаблоне.

Если вы устанавливаете на компьютере системы Windows Server 2003 или Windows XP Professional как обновление предыдущей операционной системы, заданные по умолчанию шаблоны на компьютере не применяются. Это гарантирует, что после обновления будут поддерживаться любые предыдущие конфигурации защиты.

Если заданные по умолчанию параметры настройки защиты не отвечают вашим потребностям, примените другие конфигурации защиты, используя шаблоны. Они предназначены для использования на тех компьютерах, где уже выполняются заданные по умолчанию шаблоны защиты. Компания Microsoft включила следующие шаблоны в систему Windows Server 2003.

Х Compatwsinf. Этот шаблон может применяться к рабочим станциям или серверам.

Windows Server 2003 сконфигурирован так, чтобы быть более безопасным, чем предыдущие версии Windows. Это означает, что некоторые приложения, работающие в предыдущих операционных системах, не будут выполняться в системах Windows Server 2003 или Windows XP Professional. Особенно справедливо это для несер-тифицированных приложений, которым требуется доступ пользователя к системному реестру. Один из способов выполнить такие приложения состоит в том, чтобы сделать пользователя членом группы Power Users (Полномочные пользователи), которая имеет более высокий уровень разрешений, чем обычный пользователь. Другой вариант состоит в том, чтобы ослабить параметры настройки защиты на выбранных файлах и ключах системного реестра так, чтобы группа Users (Пользователи) имела больше разрешений. Шаблон Compatws.inf может использоваться для применения второго варианта. Применение этого шаблона изменяет заданный по умолчанию файл и разрешения системного реестра так, чтобы члены группы Users могли выполнять большинство приложений.

Х Securewsinf и Securedcinf. Эти шаблоны обеспечивают усиленную защиту для политики учетных записей, аудита и разрешения на доступ к системному реестру. Они ограничивают использование NTLM-аутентификации, включая подписи на серверах пакетов блока серверных сообщений (Server Message Block - SMB). Шаблон Securews.inf применим для любой рабочей станции или сервера, а шаблон Securedcinf - только для контроллеров домена.

Х Hisecwsinf и Hisecdc.inf. Эти шаблоны последовательно увеличивают защиту, которая создается другими шаблонами. Защита усиливается в областях, затрагивающих сетевые протоколы связи. Они должны использоваться только в сетях, включающих компьютеры с системами Windows Server 2003, Windows 2000 или Windows XP, и должны быть протестированы и применены на всех компьютерах, чтобы убедиться, что все они работают на одном и том же уровне защиты. Шаблон Hisecws.inf применяется для любой рабочей станции или сервере, а шаблон Hisecdc.inf - только для контроллеров домена.

Х DC security.inf. Этот шаблон применяется автоматически всякий раз, когда сервер-член домена с системой Windows Server 2003 назначается контроллером домена. Он дает возможность администратору повторно применить начальную защиту контроллера домена, если возникает такая потребность.

Х Notssid.inf. Этот шаблон удаляет идентификатор безопасности SID группы безопасности Terminal Users (Пользователи терминала) из всех тисков управления разграничительным доступом DACL на сервере. Используется для повышения безопасности терминальных серверов, потому что все пользователи терминального сервера будут иметь разрешения, полученные через членство индивидуальных пользователей и групп, а не через общую группу безопасности Terminal Users. Этот шаблон включен только в Windows Server 2003, который сконфигурирован как терминальный сервер в режиме приложений.

Х Rootsec.inf. Этот шаблон переустанавливает заданные по умолчанию разрешения системной корневой папки и распространяет унаследованные разрешения на все подпапки и файлы, расположенные в корневой папке. Применение этого шаблона не изменяет явные разрешения, назначенные на файлы.

После того как вы решили, какой шаблон защиты использовать, ими можно управлять через редактор объектов групповых политик. Если нужно установить один из настроенных шаблонов, щелкните правой кнопкой мыши на папке Security Settings и выберите Import Policy (Импорт политики). По умолчанию диалоговое окно откроет папку %systemroot %\Security\Templates, где расположены предопределенные шаблоны защиты. Когда вы выберете один из шаблонов, он загрузится в редактор объектов групповых политик. Затем можно применить эту групповую политику к выбранному контейнерному объекту. Вы можете изменить импортированный шаблон защиты так, чтобы он точно удовлетворял вашим требованиям. После этого экспортируйте шаблон, чтобы он был доступен для импортирования в другую групповую политику.

Дополнительная конфигурация защиты и инструментальные средства анализа Система Windows Server 2003 обеспечивает инструментальные средства, которые могут использоваться для управления шаблонами защиты. Одно из этих средств - оснастка Security Configuration And Analysis (Конфи гурация защиты и анализ), которая используется для создания или изменения существующих шаблонов защиты. Затем шаблон загружается в оснастку Security Configuration And Analysis и используется для анализа определенных компьютеров. Например, можно загрузить шаблон сильной защиты, а затем проанализировать, имеются ли различия между шаблоном и текущей компьютерной конфигурацией. На рисунке 13-9 показан пример результатов такого анализа.

Вы можете использовать этот инструмент и для применения шаблона защиты к компьютеру.

Щелкните правой кнопкой мыши на Security Configuration And Analysis и выберите Configure Computer Now (Сконфигурировать компьютер сейчас). Все параметры настройки защиты на компьютере будут изменены в соответствии с шаблоном защиты.

Рис. 13-9. Анализ конфигурации защиты компьютера с помощью оснастки Security Configuration And Analysis Оснастка Security Configuration And Analysis не предназначена для использования с групповыми политиками. Этот инструмент использует те же самые предопределенные шаблоны защиты, что и редактор объектов групповых политик, но он предлагает альтернативные средства для развертывания шаблонов. Он предназначен прежде всего для использования с автономными компьютерами.

Инструмент командной строки Secedit обеспечивает похожие функциональные возможности. С помощью него можно анализировать параметры настройки компьютера, основанные на шаблоне, а затем применять эти параметры. Одна из полезных функций инструмента командной строки Secedit состоит в том, что вы можете использовать его для гене рации отката конфигурации перед применением шаблона защиты. Эта опция обеспечивает простой план возврата, если применяемый вами шаблон защиты окажется неподходящим.

Административные шаблоны Одна из наиболее мощных опций, предназначенных для управления рабочими столами пользователей с помощью групповых политик, состоит в использовании административных шаблонов. Административные шаблоны применяются для конфигурирования параметров настройки системного реестра на компьютерах с системами Windows 2000 Server, Windows Professional, Windows XP Professional или Windows Server 2003. Административные шаблоны могут использоваться для конфигурирования большого количества разнообразных параметров настройки, которых существует более 700. Их так много, что этот раздел, возможно, не сможет охватить их все. В таблице 13-7 приводится краткий обзор только нескольких административных шаблонов, чтобы вы почувствовали силу групповых политик. Административные шаблоны имеются также и в Active Directory Windows 2000, но в Windows Server 2003 добавлено около новых параметров настройки. В таблице 13-7 перечисляются также некоторые новые функции, которые доступны в Active Directory Windows Server 2003 клиентам с Windows XP Professional.

Табл. 13-7. Образец административных шаблонов Место расположения Пояснение административного шаблона Computer Conf iguration\ Обеспечивает разнообразные параметры Administrative Templates\ настройки, управляющие местом System\Net Logon расположения клиентского компьютера и кэшированием записей DNS контроллера домена.

Computer Configuration\ Обеспечивает параметры настройки для Administrative Templates\ функции Remote Assistance (Удаленная System\Remote Assistance помощь), имеющейся в системе Windows ХР Professional.

Computer Conf iguration\ Обеспечивает параметры настройки, которые Administrative Templates\ Windows могут использоваться для конфигурирования Components\ Terminal Services служб терминала Terminal Services на сервере и на клиентах.

User Conf iguration\ Administrative Обеспечивает конфигурирование параметров Templates\ Network\Network настройки, предназначенных для управления Connections сетевыми связями, и ограничения доступа пользователей к сетевым подключениям.

User Conf iguration\ Admin istrative Обеспечивает конфигурацию частей панели Templates\Control Panel управления и возможности пользователей по User Conf iguration\ Administrative изменению параметров настройки через Templates\ Windows Components\ панель управления.

Internet Explorer Обеспечивает разнообразные параметры настройки, предназначенные для управления конфигурацией приложения Internet Explorer.

Требуется Internet Explorer версии 5.01 или более поздней.

Дополнительная информация. Полный список всех параметров настройки групповых политик смотрите по адресу www.microsoft.com/windowsxp/prdytechinfo/administration/ policy /winxpgpset.xls.

Одно из усовершенствований Active Directory Windows Server 2003 Ч это улучшенная справка по административным шаблонам. Теперь Active Directory поставляется с полным набором справочных файлов, детализирующих каждую подборку административных шаблонов. Чтобы получить доступ к расширенной справке по административным шаблонам, щелкните правой кнопкой мыши на папке Administrative Templates в редакторе объектов групповой политики и выберите Help (Справка). Затем выберите подходящую категорию административного шаблона.

На рисунке 13-10 показаны детали, касающиеся категории System (Система).

Системные политики в Windows NT обеспечивают функциональные возможности, подобные функциональности административных шаблонов в Active Directory Windows Server 2003. Оба инструмента позволяют делать изменения системного реестра в системе клиентов для модификации конфигурации рабочей станции. Однако административные шаблоны обеспечивают существенные преимущества по сравнению с системными политиками. Одно из самых больших преимуществ состоит в том, что они не оставляют неудаляемых следов в системном реестре, как это делают системные политики. Когда вы делаете изменение, используя системную политику, оно записывается в системный реестр, и для того чтобы изменить эту установку снова, надо делать это вручную или использовать системную политику. Если вы удалите системную политику, изменения, сделанные к системному реестру, не будут удалены.

В Active Directory изменения системного реестра, сделанные административными шаблонами, записываются в специальные подключи в системном реестре. Любые изменения, сделанные в разделе User Configuration, записываются в ключе HKEY_CURRENT_USER и сохраняются в папке \Software\Policies или \Software\Microsoft\Windows\CurrentVersion\Policies. Изменения, сделанные в разделе Computer Configuration, сохраняются под теми же самыми подключами в ключе НКЕY_LOCAL_MACHINE. При начальной загрузке компьютера или при входе пользователей в систему загружаются обычные параметры настройки системного реестра, а затем эти ключи исследуются на наличие дополнительных параметров настройки. Если эти параметры будут найдены, то они загрузятся в системный реестр, записываясь поверх существующих записей, если такие записи имеются. Если административный шаблон удален, или компьютер (пользователь) будет перемещен в другой контейнер, где данный шаблон не применяется, информация в ключах Policies удаляется. Это означает, что административные шаблоны больше не применяются, но обычные параметры настройки системного реестра будут применяться.

Рис. 13-10. В Центре справки и поддержки имеется детальное описание каждой опции административного шаблона Административные шаблоны хранятся в нескольких текстовых файлах.adm. По умолчанию эти файлы расположены в папке %systemroot %\Inf. В таблице 13-8 перечислены файлы административных шаблонов, которые по умолчанию устанавливаются с системой Windows Server 2003.

Табл. 13-8. Заданные по умолчанию шаблоны, загружаемые в систему Windows Server Административный Параметры настройки конфигурации шаблон System.adm Системные параметры настройки.

Inetres.adm Параметры настройки приложения Internet Explorer.

Wmplayer.adm Параметры настройки приложения Microsoft Windows Media Player.

Conf.adm Параметры настройки приложения Microsoft NetMeeting.

Wuau.adm Параметры настройки Windows Update.

Pages:     | 1 |   ...   | 5 | 6 | 7 | 8 |    Книги, научные публикации