І. Б. Трегубенко О. В. Коваль безпека корпоративних мереж. Служба каталогу active directory

Вид материалаДокументы

Содержание


2.19.1. Поняття групової політики
2.19.2. Об'єкти групової політики GPO
Локальні GPO
Нелокальні GPO
2.19.3. Параметри групової політики
Конфігурація Windows
Адміністративні шаблони
2.19.4. Введення групової політики в дію
Подобный материал:
1   ...   7   8   9   10   11   12   13   14   ...   30

2.19. Групові політики


2.19.1. Поняття групової політики


Груповими політиками (group policy) називаються сукупність параметрів конфігурації користувачів і комп'ютерів, що регламентують їхню взаємодію із програмами, мережевими ресурсами та операційними системами в рамках організації.

Групові політики можна встановлювати та застосовувати відносно комп'ютерів, сайтів, доменів та підрозділів.

Виходячи з терміна «групова політика» можна припустити, що вона настроюється окремо для глобальних груп і локальних груп доменів, однак, це не так. Будь-яку групову політику варто інтерпретувати як сукупність параметрів політики, задіяних тільки відносно комп'ютерів, сайтів, доменів або підрозділів.

Групи Active Directory використовуються для визначення того, чи буде дана групова політика застосовуватися до певного користувача.


2.19.2. Об'єкти групової політики GPO


Об'єкт групової політики (Group Policy Object - GPO) - набір параметрів групової політики.

Кожному комп'ютеру, що працює під керуванням Microsoft Windows Server 2003, відповідає один локальний GPO, крім того, він може підпорядковуватися нелокальним (розміщеним в Active Directory) GPO у довільній кількості.

Локальні GPO

На будь-якому комп'ютері зберігається один локальний об'єкт групової політики, незалежно від того, входить цей комп'ютер в середовище Active Directory чи в мережеве середовище. Локальний об'єкт групової політики впливає тільки на той комп'ютер, на якому зберігається. З іншого боку, оскільки параметри локального GPO перевизначаються нелокальними GPO, в умовах участі комп'ютера в середовищі Active Directory значимість локальних GPO знижується. Відповідно, у немережевих середовищах (а також у мережевих середовищах без контролерів, що працюють під керуванням Microsoft Windows 2000 або Windows Server 2003) значимість параметрів локальних GPO підвищується. За замовчуванням, у локальних об'єктів GPO визначені тільки елементи Security Settings (Параметры безопасности); інші параметри не включаються, але й не відключається. Локальні об'єкти групової політики зберігаються в папці %Systemroot%\System32\GroupPolicy.

Нелокальні GPO

Нелокальні об'єкти групової політики створюються в середовищі Active Directory.

Для того щоб поширити їхню дію на користувачів або на комп'ютери, їх необхідно прив'язати до конкретного сайту, домену або підрозділу. Застосування нелокальних GPO можливо лише при наявності контролерів домена, що працюють під керуванням Windows 2000 або Windows Server 2003.

За замовчуванням, в процесі встановлення служби каталогів Active Directory створюються два нелокальних GPO:
  • Default Domain Policy (доменна політика, що використовується за замовчуванням). За рахунок прив'язки до домену та механізму успадковування групових політик дія цього GРО поширюється на всіх користувачів і на всі комп'ютери цього домена (у тому числі на контролери домена).
  • Default Domain Controller Policy - політика контролера домена, що використовується за замовчуванням. Цей GPO прив’язується до підрозділу Domain Controllers (Контроллери домена), відповідно, його дія, в основному, впливає тільки на облікові записи контролерів домена.

Нелокальні GPO зберігаються в папці %Systemroot%\Sysvol\Domain Name\Policies\GPO GUID\Adm де GPO GUID заміняється глобально унікальним ідентифікатором GPO.

Для створення нових об’єктів GPO існує декілька способів.

Перший спосіб полягає у виборі контейнера Active Directory, у якому потрібно створити новий об'єкт GPO. Потім потрібно ввійти у вікно властивостей цього контейнера та вибрати вкладку Group Policy (Групповая политика). Далі клацнувши кнопку New (Новый) необхідно задати ім'я нового об'єкта групової політики.

Другий спосіб - це створення окремої консолі ММС (Microsoft Management Console) і додавання до неї оснащення Редактор об'єктів групової політики (Group Policy Object Editor). Редактор об'єктів групових політик (Group Policy Object Editor) допомагає систематизувати та управляти параметрами групової політики у всіх GPO.

При виборі цього оснащення необхідно вказати об'єкт групової політики, що планується змінити. За замовчуванням завантажується Local Computer Policy (Локальная компьютерная политика). Щоб завантажити будь-який GPO з домена або сайту потрібно клацнути на кнопці Browse (Просмотр).

Щоб створити новий об'єкт групової політики за допомогою Welcome To The Group Policy Wizard (Мастер групповой политики), потрібно перейти в потрібне місце домена та клацнути на кнопці Create New Group Policy Object (Создать новый объект групповой политики).

Незалежно від того, який інструмент використовується при створення нового GPO, створюється нова групова політика та зв'язується з об'єктом, у якому створюється GPO. Пізніше об'єкт групової політики можна змінити відповідно до вимог.

Для того, щоб створювати, редагувати або видаляти об'єкти групової політики та щоб змінювати послідовність їхнього застосування, потрібно бути членом однієї із груп:
  • Domain Admins;
  • Аdministrators;
  • Enterprise Admins;
  • Group Policy Creators.


2.19.3. Параметри групової політики


Параметри групової політики діляться на дві категорії: параметри конфігурації користувачів і параметри конфігурації комп'ютерів. Вони знаходяться в деревах GPO User Configuration (Конфигурация пользователя) і Computer Configuration (Конфигурация компьютера), відповідно.

В дереві Computer Configuration (Конфигурация компьютера) знаходяться параметри групової політики, що застосовуються до комп'ютерів незалежно від того, які користувачі на них реєструються. Параметри конфігурації комп'ютера активуються під час ініціалізації операційної системи.

В дереві User Configuration (Конфигурация пользователя) розміщуються параметри групової політики, що застосовуються до користувачів незалежно від того, на яких комп'ютерах вони реєструються. Параметри конфігурації користувачів вступають в дію в момент їхньої реєстрації на комп'ютері.

Існують деякі параметри групової політики, які присутні в обох деревах.

В обох деревах присутні:
  • параметри встановлення програмного забезпечення – це дерево Software Settings (Конфигурация программ);
  • параметри доступу до операційної системи Windows Server 2003. Вони представлені деревом Windows Settings (Конфигурация Windows);
  • параметри доступу до реєстру - це дерево Administrative Templates (Административные шаблоны).

Конфігурація програм

В обох деревах — Computer Configuration (Конфигурация компьютера) і User Configuration (Koнфигурация пользователя) — є вузли Software Settings (Конфигурация програм) з одним-єдиним прийнятим за замовчуванням розширенням Software Installation (Установка программ). Воно визначає механізм встановлення та обслуговування додатків в рамках компанії, а також передбачає можливість задання параметрів програмних продуктів третіх виробників.

Параметри програми, встановлені в розширенні Software Installation (Установка программного обеспечения), поширюються тільки на поточний об'єкт групової політики, що, в свою чергу, асоціюється з доменом або підрозділом Active Directory. Керування програмами здійснюється в одному із двох режимів: у режимі призначення або в режимі публікації. Призначенням називається надання програми комп'ютерам і користувачам, що перебувають під керуванням даного об'єкта групової політики. Публікація означає забезпечення доступності програми для користувачів, керованих GPO, на випадок, якщо вони захочуть до неї звернутися.

Конфігурація Windows

В деревах Computer Configuration (Конфигурация компьютера) і User Configuration (Koнфигурация пользователя) є дерево Windows Settings (Конфигурация Windows). Воно, в свою чергу, включає в себе розширення Scripts (Сценарии) і дерево Security Settings (Параметри безопасности).

Розширення Scripts (Сценарии) дозволяє визначати сценарії двох типів:
  • сценарії запуску/завершення роботи (в дереві Computer Configuration (Конфигурация компьютера)) - виконуються при завантаженні та вимиканні комп'ютера відповідно.
  • сценарії входу/виходу (в дереві User Configuration (Конфигурация пользователя)) - запускаються при реєстрації користувача на комп'ютері та виході із нього.

Якщо користувачеві або комп'ютеру призначено кілька сценаріїв входу/виходу або запуску/завершення роботи, за замовчуванням Windows Server 2003 виконує їх послідовно, починаючи зверху та рухаючись донизу. Визначити порядок виконання декількох сценаріїв дозволяють параметри у вікні Properties (Свойства).

При вимиканні комп'ютера Windows Server 2003 спочатку виконує сценарії виходу, а потім - сценарії завершення роботи. За замовчуванням час очікування при обробці сценаріїв становить 10 хвилин. Якщо на обробку сценаріїв виходу та завершення роботи потрібно більше 10 хвилин, потрібно змінити це значення часу очікування в програмній політиці. Для написання сценаріїв використовуються будь-які мови з підтримкою ActiveX. Серед можливих варіантів - Microsoft Visual Basic Scripting Edition (VBScript), Microsoft JScript, Perl і командні файли типу MS-DOS (з розширеннями .bat і .xmd).

Дерево Security Settings (Параметри безопасности) дозволяє адміністраторам «вручну» надбудовувати рівні безпеки локальних і нелокальних об'єктів GPO. Робиться це після, або навіть замість, настроювання параметрів безпеки системи за допомогою шаблона безпеки.

В папці Windows Settings (Конфигурация Windows) в дереві User Configuration (Конфигурация пользователя) містяться ряд додаткових дочірніх папок:
  • Remote Installation Services (Службы удаленной установки),
  • Folder Redirection (Перенаправления папок)
  • Internet Explorer Maintenance (Настройка Internet Explorer).

Remote Installation Services, RIS (Службы удаленной установки) застосовуються для керування поведінкою віддаленої інсталяції операційних систем Windows Server 2003. Крім того, вони передбачають спеціальні факультативні пакети для клієнтів Active Directory, що працюють під керуванням інших операційних систем. (Групові політики діють тільки на тих клієнтських машинах, які управляються операційними системами Windows 2003 або Windows 2000; клієнтів Active Directory під керуванням версій перед-Windows 2000 вони не стосуються.)

Дерево Folder Redirection (Перенаправления папок) дозволяє переміщувати спеціальні папки Windows 2000 (Application Data, My Documents, папки робочого столу та меню Пуск) із прийнятого за замовчуванням місця розташування профілю користувача в інші мережеві папки для забезпечення централізованого керування ними.

Дерево Internet Explorer Maintenance (Настройка Internet Explorer) призначено для адміністрування та індивідуального настроювання браузера Microsoft Internet Explorer на комп'ютерах, що працюють під керуванням Windows Server 2003.

Адміністративні шаблони

Підпапка Administrative Templates (Административные шаблоны), міститься в складі папок Computer Configuration (Конфигурация компьютера) і User Configuration (Конфигурация пользователя) та включає в себе параметри реєстру, обумовлені груповою політикою. Таких параметрів, призначених для настроювання користувацького середовища, більше 550.

Описи кожного параметра приводяться в трьох місцях.
  • У вкладках Explain (Объяснение) діалогових вікон Properties (Свойства) окремих параметрів. Крім того, в них вказуються операційні системи, під керуванням яких параметри будуть діяти.
  • У довідці по адміністративних шаблонах (це функція з'явилася в Windows Server 2003 вперше). Тут також вказуються операційні системи, що підтримують кожний з параметрів.
  • У вкладці Extended (Расширенное), що відкривається за замовчуванням (також нова функція Windows Server 2003) редактора об'єктів групових політик. У вкладці Extended приводяться описи всіх параметрів, відображених у стовпці між деревом консолі та панеллю параметрів. Як і в двох перших випадках, тут вказується перелік операційних систем, що підтримують обрані параметри.

Для кожного параметра дерева Administrative Templates (Административные шаблоны) передбачено кілька значень:
  • Not Configured (Не задан) - Реєстр не модифікується.
  • Enabled (Включен) - Реєстр відображає включений стан параметра політики.
  • Disabled (Отключен) - Реєстр відображає відключений стан параметра політики.

Параметри, задані в підпапці Administrative Templates (Административные шаблоны) папки Computer Configuration (Конфигурация компьютера), зберігаються в розділі реєстру HKEY_LOCAL_MACHINE (HKLM).

Для зберігання параметрів дочірнього елемента дерева User Configuration (Конфигурация пользователя) застосовується розділ реєстру HKEY_CURRENT_USER (HKCU). Для розміщення інформації, що задається груповими політиками, у розділах HKLM і HKCU передбачені чотири зарезервованих дерева:
  • HKEY_LOCAL_MACHINE\Software\Policies (параметри комп'ютера);
  • HKEY_CURRENT_USER\Software\Policies (параметри користувача);
  • HKEY_LOCAL_MACHINE\Softwarе\Microsoft\Windows\ CurrentVersion\Policies (параметри комп'ютера);
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies (параметри користувача).

Підпапка Administrative Templates (Административные шаблоны) у складі папок Computer Configuration (Кон­фигурация компьютера) і User Configuration (Конфигурация пользователя) містить, в свою чергу, підпапки:
  • Windows Components (Компоненты Windows);
  • System (Система);
  • Network (Сеть).

Елементи папки Windows Components (Компоненты Windows) призначені для адміністрування таких компонентів Windows Server 2003, як Microsoft NetMeeting, Internet Explorer, Application Compatibility (Совместимость приложений), Task Scheduler (Планировщик заданий), Terminal Services (Службы терминалов), Microsoft Windows Installer, Microsoft Windows Messenger, Microsoft Media Player і Microsoft Update. Крім того, у папці Windows Components (Компоненты Windows) дерева Computer Configuration (Конфигурация компьютера) є дочірній елемент Internet Information Services (Службы IIS). В папці Windows Components (Компоненты Windows) дерева User Configuration (Конфигурация пользователя) є підпапки Help and Support Center (Центр справки и поддержки), Windows Explorer (Проводник) і ММС.

Параметри, розмішені в підпапці System (Система), призначені для керування доступом до операційної системи Windows Server 2003 і використанням її ресурсів, зокрема, тут настроюються профілі користувачів, сценарії, функції реєстрації в системі та виходу з неї, а також самі групові політики. Окремо для Computer Configuration (Конфигурации компьютера) тут передбачені параметри дискових квот, служби Net Logon (Сетевой вход в систему), віддаленого помічника, відновлення системи, складання звітів про помилки, зашитих файлів Windows, віддаленого виклику процедур і Windows Time Service (Службы времени Windows). В дереві User Configuration (Конфигурация пользователя) елемент System (Система) містить параметри сполучення клавіш Ctrl+Alt+Del і керування режимом електроживлення.

Параметри, розміщені у папці Network (Сеть), регламентують доступ до мережі і її використання, зокрема, мова йде про автономні файли, мережеві з’єднання та з’єднання, що комутуються. В дереві Computer Configuration (Конфигурация компьютера) папка Network (Сеть) додатково містить параметри клієнта системи доменних імен (Domain Name System, DNS), служби планування пакетів «якість обслуговування» (quality of service, QoS) і cпрощеного протоколу керування мережею (Simple Network Management Protocol, SNMP).

Папка Administrative Templates (Административные шаблоны) дерева Computer Configuration (Конфигурация ком­пьютера) містить додаткові параметри групової політики на основі реєстру, що регламентують поведінку пристроїв з папки Принтери (Printers).

Що ж стосується дерева User Configuration (Конфигурация пользователя), то тут підпапка Administrative Templates (Административные шаблоны) має у своєму складі реєстрові параметри меню Start (Пуск), панелі задач, панелі керування (Control Panel) і загальних папок.

Оскільки в складі папки Administrative Templates (Административные шаблоны) міститься велика кількість параметрів, в яких легко заплутатися, в Windows Server 2003 з'явилася нова функція — фільтрація представлень адміністративних шаблонів. Для накладення фільтрів потрібно звернутися до редактора об'єктів групових політик. Представлення адміністративних шаблонів дозволяють сховати в редакторі параметри, які на даний момент не потрібні.

Процедура застосування фільтрації представлення адміністративних шаблонів складається з наступних дій:

1. Необхідно відкрийти редактор об'єктів групових політик, в дереві консолі клацнути правою кнопкою миші на підпапці папки Administrative Templates (Административные шаблоны) з параметрами, які передбачається відфільтрувати та виконати команду View\Filtering (Вид\Фильтрация).

2. Коли на екрані з'явиться діалогове вікно Filtering (Фильтрация), для фільтрації параметрів варто виконати одну з наступних дій:
  • Якщо потрібно сховати окремі типи параметрів, необхідно встановити прапорець Filter By Requirements Information (Фильтрация по полю «Требования»), а потім, звернувшись до списку Select The Items To Be Displayed (Выделите элементы для отображения), зняти записи категорій, які не потрібні. За замовчуванням, записи всіх типів параметрів у цьому списку виділені (тобто відображаються).
  • Якщо важливішим було б сховати ненастроєні параметри, потрібно встановити прапорець Only Show Configured Policy Settings (Показывать только настроенные параметры политики). У такому випадку відображатися будуть тільки включені (Enabled) і відключені (Disabled) параметри.
  • Для того щоб сховати параметри системної політики, успадковані від Windows NT 4, необхідно встановити прапорець Оnly Show Policy Settings That Can Be Fully Managed (Показывать только управляемые параметры политики).


2.19.4. Введення групової політики в дію


Оскільки нелокальні об'єкти групової політики вводяться в дію в ієрархічному порядку, конкретна конфігурація користувача або комп'ютера являє собою сполучення параметрів об'єктів GPO сайту, домена та підрозділу. Параметри групової політики вводяться в дію в наступній послідовності:
  1. Локальний об'єкт GPO. На кожному комп'ютері, що працює під керуванням Windows Server 2003, зберігається один, і тільки один локальний об'єкт GPO.
  2. Об'єкти GPO сайту. В другу чергу активізуються параметри об'єктів GPO, прив'язаних до сайту. Введення в дію параметрів GPO виконується в синхронному режимі. Порядок обробки об'єктів GPO із числа прив'язаних до сайту задається адміністратором.
  3. Об'єкти GPO домена. Якщо до домена прив'язано кілька об'єктів GPO, вони вводяться в дію в синхронному режимі, послідовність їхньої обробки вказує адміністратор.
  4. Об'єкти GPO підрозділу. Об'єкти GPO, прив'язані до найвищого підрозділу в ієрархічній системі Active Directory, вводяться в дію першими; далі обробляються параметри об'єктів, прив'язані до їхній дочірніх підрозділів і т.д. В останню чергу обробляються параметри тих об'єктів GPO, в яких безпосередньо міститься користувач або комп'ютер, що розглядається.

До кожного рівня ієрархії підрозділів Active Directory об'єкти GPO прив’язуються в довільній кількості. У такий спосіб на кожному з рівнів Active Directory може застосовуватися більше одної групової політики. У цьому випадку порядок їх застосування визначається порядком, в якому об'єкти GPO перераховані в адміністративному вікні знизу догори.

Таким чином, локальний об'єкт GPO обробляється першим, а об'єкти, прив'язані до підрозділу, до якого безпосередньо відноситься користувач або комп'ютер, - останніми, тим самим перевизначаючи всі попередні об'єкти.

Приміром, настроївши в об'єкті GPO домена певні параметри, можна дозволити інтерактивну реєстрацію користувачів. В той же час, цей дозвіл буде перевизначено об'єктом GPO підрозділу, що відповідає одному з контролерів домена, який, скажімо, може заборонити реєстрацію для всіх користувачів, крім учасників окремих адміністративних груп.

Як видно, порядок застосування групових політик важливий, якщо вони змінюють одні і тіж самі параметри настроювання. Наприклад, якщо об'єкт GPO рівня домена видаляє команду Run з усіх комп'ютерів, а об'єкт GPO організаційної одиниці нижчого рівня додає команду Run, то команда Run буде доступна на всіх комп'ютерах OU. Такий конфлікт виникає, якщо обидві політики змінюють одну і ту ж установку. Також об'єкт GPO вищого рівня може бути зконфігурований для видалення команди Run, а об'єкт GPO нижчого рівня - для видалення значка конфігурації з панелі управління. Оскільки немає ніякого конфлікту між цими параметрами настроювання, застосовуються обидва настроювання.

Більшість параметрів настроювання об'єкта GPO включають три опції конфігурації: Enabled (Включен), Disabled (Заблокирован) і Not Configured (He сконфигурировано). Якщо встановлено опцію Enabled, то незалежно від того, яка групова політика зконфігурована, вона буде застосована. Якщо встановлено опцію Disabled, то незалежно від того, яка групова політика зконфігурована, вона буде заблокована. Якщо встановлено Not Configured, параметри настроювання політики не зміняться, і будуть підтримуватися установки, успадковані від більш високого рівня.

Якщо між параметрами конфігурацій комп'ютера та користувача виникає конфлікт, пріоритет віддається останнім, пояснюється це тим, що параметри користувача більшою мірою конкретизовані.