Использовать на компьютерах групповую политику или параметры реестра
Среди новых технологий, появившихся в Windows Server 2008 и Windows Vista, одной из наиболее притягательных является технология настроек групповой политики (GPP), которая намного расширяет границы того, что администратор может сделать с помощью групповой политики. Настройки групповой политики предоставляют более 3000 параметров в 22 различных областях внутри объекта групповой политики (GPO) и включают в себя установку сопоставлений дисков и принтеров, а также контроль над членством в локальной группе. И особенно замечательно то, что для всего этого не нужно устанавливать новой инфраструктуры, поскольку технология работает с существующей инфраструктурой Active Directory и средой групповых политик. Чтобы заставить ее работать, достаточно административного средства и клиента DLL. В этой статье я углублюсь в настройки групповой политики, чтобы продемонстрировать как их полезность, так и простоту их развертывания и администрирования.
История групповых политик
Для операционных систем Windows концепция групповых политик не является инновационным шагом в области системной безопасности и настройки операционных систем. Первые политики появились еще в Windows NT 4.0 и назывались системными политиками. Эти политики предназначались только для изменения данных системного реестра и основывались на файлах, которые назывались шаблонами adm. Для создания этих политик использовался специальный редактор системных политик. На то время системные политики были значительным шагом в обеспечении безопасности операционных систем Windows, несмотря на то, что объекты локальной политики не использовались, и система Windows NT 4.0 не поддерживала службы Active Directory.
Групповые политики появились в операционной системе Windows 2000 и включали в себя около 900 настроек для пользователей и компьютеров, которые могли в полной мере применяться к клиентским компьютерам. Из утилиты, предназначенной для изменения данных системного реестра, групповые политики операционной системы Windows 2000 превратились в компонент, предназначенный для изменения параметров конфигурации операционной системы. Групповые политики по-прежнему расположены в шаблонах ADM. Система Windows 2000 Server уже позволяет распространять объекты групповых политик для компьютеров, расположенных в домене и подразделениях (OU) в Active Directory.
В операционных системах Windows XP и Windows Server 2003 возможности групповых политик были расширены. С появлением этих систем у администраторов появилась возможность управлять параметрами безопасности и установкой приложений, а количество политик увеличилось до 1400. Локальные объекты групповой политики существовали независимо от того, входит ли компьютер в состав домена, рабочей группы или вовсе не принадлежит к сетевой среде. Все это объекты хранились в папке %SystemRoot%\System32\Group Policy. Политики распространялись только на тот компьютер, где хранятся сами GPO. В том случае, если компьютер не принадлежал к домену, локальная политика использовалась только для настройки конфигурации локального компьютера. Но если он входил в состав домена Active Directory, то параметры, привязанные к инфраструктурной единице домена (домен, лес, сайт) заменяли параметры локального объекта групповой политики.
Операционные системы Windows Vista и Windows Server 2008 уже поддерживают около 2500 настроек групповых политик. Новые категории управления политиками теперь уже обеспечивают управление питанием, возможность блокировки установки устройств, улучшенные параметры безопасности, расширение настроек Internet Explorer, а также возможность делегировать пользователям право устанавливать драйверы принтеров. В этих операционных системах было создано расширение для формата шаблонов политик. У форматов adm был значительный недостаток – для реализации локализации групповых политик нужно было создавать отдельный adm-файл для каждого языка. Теперь административные шаблоны представляют собой пару XML-файлов - *.admx файл, который определяет изменения в реестре, а также .adml файл, который отвечает за языковые настройки указанной политики. Несмотря на эти изменения, в одной системе могут сосуществовать как adm, так и admx/adml шаблоны без всяких проблем. В операционной системе Windows Server 2008 можно создавать стартовые объекты групповой политики. Использование стартового объекта групповой политики позволяет хранить набор параметров административных шаблонов политик в одном объекте и включать эти параметры в новые объекты групповой политики. Также для каждого объекта групповых политик появились возможности добавления комментариев, а сведения о подключенных сетях обеспечивают улучшение отклика групповой политики на изменение сетевых условий.
В операционной системе Windows Server 2008 появился следующий функционал:
В операционных системах Windows 7 и Windows Server 2008 R2 уже насчитывается около 3200 настроек групповых политик, а также появились следующие изменения по сравнению с предыдущими версиями Windows:
- Командлеты Windows PowerShell для управления групповой политикой. Теперь, в операционных системах Windows 7 и Windows Server 2008 R2 появилась возможность управления групповыми политиками средствами мощнейшей оболочки и языка сценариев Windows – PowerShell. Для выполнения этих задач можно использовать свыше 25 командлетов.
- Изменения в предпочтениях групповых политик. С появлениями новых систем также обновились предпочтения групповых политик. Простейшим примером того служит улучшение расширения предпочтения «Параметры обозревателя», где добавлены элементы предпочтения для Internet Explorer 8.
- Изменения в начальных объектах групповых политик. Помимо начальных объектов групповых политик в Windows 7 и Windows Server 2008 R2 появились системные начальные объекты групповой политики. Это объекты, предназначенные только для чтения, и представляющие основу для параметров определенного сценария.
- Улучшение пользовательского интерфейса параметров политик. В новейших операционных системах очень сильно изменился внешний вид параметров политики. В предыдущих версиях Windows диалоговое окно свойств политики административного шаблона содержало три отдельных вкладки: Параметр, Объяснение и Комментарий. В Windows Server 2008 R2 эти настройки выполняются в одном месте диалогового окна свойств.
Из цикла статей, посвященных, посвященных групповым политикам Windows вы узнаете о функционале:
- оснастки консоли управления «Редактор локальной групповой политики»;
- локальных политиках безопасности (поднаборе политик, связанных с безопасностью компьютера);
- шаблонах безопасности и групповых политик;
- управлении политиками средствами PowerShell;
- создании собственных административных шаблонов.
В статьях, посвященных функционалу групповых политик в Windows Server 2008/2008R2 вы узнаете о работе:
- оснастки «Консоль управления групповой политикой»;
- предпочтениях групповых политик;
- использовании приоритетов для одного и того же параметра политики в подразделении;
- фильтрах инструментария управления Windows;
- начальных объектах групповой политики;
- делегировании прав групповых политик;
- анализе и настройке безопасности.
Также будут рассмотрены утилиты командной строки, которые являются аналогами мастера результатов групповой политики, оснастки «Анализ и настройка безопасности», оснастки «Мастер настройки безопасности», а также предназначенные для включения аудита успешных изменений службы каталогов на контроллере домена.
Как я уже много раз говорил в своих статьях, групповые политики позволяют снизить стоимость управления компьютерными системами, а также обеспечить пользователей и компьютеры вашей организации оптимальными настройками. Групповые политики могут полностью удовлетворить как потребности ваших пользователей в плане настройки рабочих мест, так и любые параметры безопасности, обеспечивающие стабильную и защищённую структуру вашей организации. При помощи данной технологии вы можете управлять пользовательскими настройками, сложностью паролей пользовательских учетных записей, настраивать параметры безопасности, управлять состоянием системных служб и отображением разделов системного реестра, настраивать брандмауэр Windows в режиме повышенной безопасности, устанавливать программное обеспечение. Разумеется, этот список не является окончательным и можно еще долго рассматривать возможности, которые предоставляют групповые политики. Некоторые такие возможности я уже рассматривал в своих статьях, а остальные еще будут рассмотрены. Но, разумеется, в операционной системе, а тем более в программном обеспечении сторонних производителей, можно найти различные параметры, для которых не существует параметров политики, расположенных в оснастке «Редактор управления групповыми политиками».
К счастью, как для большинства настроек операционной системы Windows, так и для настройки большей части программного обеспечения сторонних производителей, изменения заносятся в системный реестр Windows. А, как вы, скорее всего, знаете, реестром Windows является иерархическая база данных, которая хранит конфигурационную информацию операционной системы, приложений, а также информации о пользователях и оборудовании, где для удобства использования структура данных предоставлена в древовидном формате. Соответственно, есть большая вероятность того, что установив или сняв, скажем, флажок в диалоговых окнах настроек того или иного программного обеспечения, это изменение будет сохранено в реестре на пользовательском компьютере.
Для того чтобы не настраивать программные продукты на пользовательских компьютерах в ручном режиме, вы можете воспользоваться несколькими методами:
- Создать reg-файлы и запустить их на выполнение на каждом пользовательском компьютере. Это можно сделать, написав пакетный файл и распространив его средствами GPO (Конфигурация компьютера или пользователя\Политики\Конфигурация Windows\Сценарии);
- Создать образ операционной системы с установленным софтом и измененными параметрами системного реестра, а потом распространить этот образ на пользовательские компьютеры при помощи роли Windows Server «Службы развертывания Windows» или используя продукт System Center Configuration Manager;
- Написать новый административный шаблон, а затем, используя оснастку «Редактор управления групповыми политиками» обеспечить ваших пользователей эксклюзивными настройками;
- Создать объект групповой политики с настроенными элементами предпочтения «Реестр» предпочтений групповой политики.
Элемент предпочтения групповой политики «Реестр» предоставляет вам возможность гибко управлять настройкой реестра. В предыдущих статьях я уже рассмотрел четыре различных элемента предпочтений групповой политики, предназначенных для настройки переменных сред, файлов, папок, а также сопоставления дисков. В отличие от предыдущих элементов предпочтений, с параметрами настройки реестра связана динамическая библиотека userenv.dll и GUID , отвечающая за текущее расширение клиентской стороны.
Совместимость настроек групповой политики
GPP можно администрировать только в среде Active Directory, содержащей минимум один сервер Windows Server 2008 или настольный компьютер Windows Vista, поскольку только они могут поддерживать новую консоль управления групповыми политиками (GPMC). GPMC необходима для поддержки и администрирования параметров GPP, она также запускает новый редактор групповых политик (GPME), отображающий GPP, которые можно администрировать.
Однако ситуация существенно другая, когда дело доходит до применения параметров, связанных с GPP; для этого поддерживаются и операционные системы, предшествовавшие Windows Server 2008 и Windows Vista. Говоря конкретно, GPP поддерживает Windows Server 2003 с пакетом обновления 1 и Windows XP Professional с пакетом обновления 2 (SP2), а также все операционные системы, появившиеся после них. На рис. 1 представлена сводка того, какие операционные системы могут администрировать GPPs и какие могут применять GPP.
Рис. 1. Поддержка операционных систем |
Рис. 2. Настройки и политики групповой политики* |
Рис. 1. Поддержка операционных систем |