Управление пользователями и группами. Управление организационными подразделениями, делегирование полномочий. Групповые политики.

Управление пользователями и группами

Учетные записи (accounts) пользователей, компьютеров и групп — один из главных элементов управления доступом к сетевым ресурсам, а значит, и всей системы безопасности сети в целом.

В среде Windows 2003 Active Directory существует 3 главных типа пользовательских учетных записей:

- Локальные учетные записи пользователей. Эти учетные записи существуют в локальной базе данных SAM (Security Accounts Manager) на каждой системе, работающей под управлением Windows 2003. Эти учетные записи создаются с использованием инструмента Local Users and Groups (Локальные пользователи и группы) консоли Computer Management (Управление компьютером). Заметим, что для входа в систему по локальной учетной записи, эта учетная запись обязательно должна присутствовать в базе данных SAM на системе, в которую вы пытаетесь войти. Это делает локальные учетные записи непрактичными для больших сетей, вследствие больших накладных расходов по их администрированию.

- Учетные записи пользователей домена. Эти учетные записи хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу AD. Учетные записи этого типа создаются централизованно при помощи консоли «Active Directory Users and Computers» («Active Directory – пользователи и компьютеры»).

- Встроенные учетные записи.Эти учетные записи создаются самой системой и не могут быть удалены. По умолчанию любая система, будь то изолированная (отдельно стоящая) или входящая в домен, создает две учетные записи – Administrator (Администратор) и Guest (Гость). По умолчанию учетная запись Гость отключена.

Сосредоточим свое внимание на учетных записях пользователей домена. Эти учетные записи хранятся на контроллерах домена, хранящих копию базы данных Active Directory.

Существуют различные форматы, в которых могут быть представлены имена для входа пользователей в систему, потому что они могут отличаться для целей совместимости с клиентами, работающими под управлением более ранних версий Windows (такими как 95, 98, NT). Два основных вида имен входа — это с использованием суффикса User Principal Name (основного имени пользователя) и имя входа пользователя в системах пред-Windows 2000.

Основное имя пользователя (UPN, User Principle Name) имеет такой же формат, как и электронный адрес. Он включает в себя имя входа пользователя, затем значок «@» и имя домена. По умолчанию доменное имя корневого домена выделено в выпадающем окне меню, независимо от того, в каком домене учетная запись была создана (выпадающий список будет также содержать имя домена, в котором вы создали эту учетную запись).

Также можно создавать дополнительные доменные суффиксы (та часть имени, которая стоит после знака @), которые будут появляться в выпадающем списке и могут быть использованы при образовании UPN, если вы их выберете (это делается при помощи консоли «Active Directory – домены и доверие» («Active Directory Domain and Trusts»).

Существует только одно обязательное условие при этом — все UPN в лесе должны быть уникальными (т.е. не повторяться). Если учетная запись входа пользователя использует UPN для входа в систему Windows 2003, вам необходимо только указать UPN и пароль — более нет нужды помнить и указывать доменное имя. Другое преимущество данной системы именования состоит в том, что UPN часто соответствует электронному адресу пользователя, что опять уменьшает количество информации о пользователе, которую необходимо запоминать.

Локальные учетные записи

Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности «Рабочая группа». Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности. Общие правила использования локальных и доменных групп для управления доступом будут описаны ниже.

Управление доменными учетными записями пользователей

Доменные учетные записи пользователей (а также компьютеров и групп) хранятся в специальных контейнерах AD. Это могут быть либо стандартные контейнеры Users для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с названием Domain Controllers.

Рассмотрим на примерах процесс создания учетных записей пользователей в БД Active Directory и разберем основные свойства доменных учетных записей. Учетные записи для компьютеров создаются в процессе включения компьютера в домен.

Создание доменной учетной записи

1. Откроем административную консоль «Active Directory – пользователи и компьютеры».

2. Щелкнем правой кнопкой мыши на контейнере, в котором будем создавать учетную запись, выберем в меню команду «Создать» и далее — «Пользователь».

3. Заполним поля «Имя», «Фамилия», например, «Иван» и «Иванов» (в английской версии — First Name, Last Name), поле «Полное имя» (Full Name) заполнится само.

4. Введем «Имя входа пользователя» (User logon name), например, User1. К этому имени автоматически приписывается часть вида «@<имя домена>», в нашем примере — «@world.ru» (полученное имя должно быть уникальным в масштабах леса).

5. В процессе формирования имени входа автоматически заполняется «Имя входа пользователя (пред-Windows 2000)» (User logon name (pre- Windows 2000)), создаваемое для совместимости с прежними версиями Windows (данное имя должно быть уникально в масштабе домена). В каждой организации должны быть разработаны схемы именования пользователей (по имени, фамилии, инициалам, должности, подразделению и т.д.) В нашем примере получится имя «WORLD\User1». Нажмем кнопку «Далее» (рис. 4.43):

Рис. 4.43

6. Вводим пароль пользователя (два раза, для подтверждения).

7. Укажем начальные требования к паролю:

- Требовать смену пароля при следующем входе в систему (полезно в случае, когда администратор назначает пользователю начальный пароль, а затем пользователь сам выбирает пароль, известный только ему);

- Запретить смену пароля пользователем (полезно и даже необходимо для учетных записей различных системных служб);

- Срок действия пароля не ограничен (тоже используется для паролей учетных записей служб, чтобы политики домена не повлияли на функционирование этих служб, данный параметр имеет более высокий приоритет по сравнению с политиками безопасности);

- Отключить учетную запись.

Нажмем кнопку «Далее» (рис. 4.44):

Рис. 4.44

9. Получаем итоговую сводку для создаваемого объекта и нажимаем кнопку «Готово».

Внимание! В упражнения лабораторных работ дается задание настроить политики, которые сильно понижают уровень требований к паролям и полномочиям пользователей:

- отключается требование сложности паролей,

- устанавливается минимальная длина пароля, равная 0 (т.е. пароль может быть пустым),

- устанавливается минимальный срок действия паролей 0 дней (т.е. пользователь может в любой момент сменить пароль),

- устанавливается история хранения паролей, равная 0 (т.е. при смене пароля система не проверяет историю ранее используемых паролей),

- группе «Пользователи» дается право локального входа на контроллеры домена.

Данные политики устанавливаются исключительно для удобства выполнения упражнений, которые необходимо выполнять с правами простых пользователей на серверах-контроллерах домена. В реальной практике администрирования такие слабые параметры безопасности ни в коем случае устанавливать нельзя, требования к паролям и правам пользователей должны быть очень жесткими (политики безопасности обсуждаются далее в этом разделе).

Правила выбора символов для создания пароля:

- длина пароля — не менее 7 символов;

- пароль не должен совпадать с именем пользователя для входа в систему, а также с его обычным именем, фамилией, именами его родственников, друзей и т.д.;

- пароль не должен состоять из какого-либо слова (чтобы исключить возможность подбора пароля по словарю);

- пароль не должен совпадать с номером телефона пользователя (обычного или мобильного), номером его автомобиля, паспорта, водительского удостоверения или другого документа;

- пароль должен быть комбинацией букв в верхнем и нижнем регистрах, цифр и спецсимволов (типа @#$%^*&()_+ и т.д.).

И еще одно правило безопасности — регулярная смена пароля (частота смены зависит от требований безопасности в каждой конкретной компании или организации). В доменах Windows существует политика, определяющая срок действия паролей пользователей.

Обзор свойств учетных записей пользователей.

Свойства учетной записи пользователя содержат большой набор различных параметров, размещенных на нескольких закладках при просмотре в консоли «Active Directory – пользователи и компьютеры», причем при установке различных программных продуктов набор свойств может расширяться.

Рассмотрим наиболее важные с точки зрения администрирования свойства.

Откроем консоль «Active Directory – пользователи и компьютеры» и посмотрим свойства только что созданного нами пользователя.

Закладка «Общие». На данной закладке содержатся в основном справочные данные, которые могут быть очень полезны при поиске пользователей в лесе AD. Наиболее интересные из них:

- «Имя»

- «Фамилия»

- «Выводимое имя»

- «Описание»

- «Номер телефона»

- «Электронная почта

Закладка «Адрес» — справочная информация для поиска в AD.

Закладка «Учетная запись» — очень важный набор параметров (параметры «Имя входа пользователя» и «Имя входа пользователя (пред-Windows 2000)» обсуждались выше при создании пользователя):

- кнопка «Время входа» — дни и часы, когда пользователь может войти в домен;

- кнопка «Вход на…» — список компьютеров, с которых пользователь может входить в систему (регистрироваться в домене);

- Поле типа чек-бокс «Заблокировать учетную запись» — этот параметр недоступен, пока учетная запись не заблокируется после определенного политиками некоторого количества неудачных попыток входа в систему (попытки с неверным паролем), служит для защиты от взлома пароля чужой учетной записи методом перебора вариантов; если будет сделано определенное количество неудачных попыток, то учетная запись пользователя автоматически заблокируется, поле станет доступным и в нем будет установлена галочка, снять которую администратор может вручную, либо она снимется автоматически после интервала, заданного политиками паролей;

- «Параметры учетной записи» (первые три параметра обсуждались выше):

o «Требовать смену пароля при следующем входе в систему»

o «Запретить смену пароля пользователем»

o «Срок действия пароля не ограничен»

o «Отключить учетную запись» — принудительное отключение учетной записи (пользователь не сможет войти в домен);

o «Для интерактивного входа в сеть нужна смарт-карта» — вход в домен будет осуществляться не при помощи пароля, а при помощи смарт-карты (для этого на компьютере пользователя должно быть устройство для считывания смарт-карт, смарт-карты должны содержать сертификаты, созданные Центром выдачи сертификатов);

- «Срок действия учетной записи» — устанавливает дату, с которой данная учетная запись не будет действовать при регистрации в домене (этот параметр целесообразно задавать для сотрудников, принятых на временную работу, людей, приехавших в компанию в командировку, студентов, проходящих практику в организации и т.д.)

Закладки «Телефоны», «Организация» — справочная информация о пользователе для поиска в AD.

Закладка «Профиль»

Профиль (profile) — это настройки рабочей среды пользователя. Профиль содержит: настройки рабочего стола (цвет, разрешение экрана, фоновый рисунок), настройки просмотра папок компьютера, настройки обозревателя Интернета и других программ (например, размещение папок для программ семейства Microsoft Office). Профиль автоматически создается для каждого пользователя при первом входе на компьютер. Различают следующие виды профилей:

- локальные — хранятся в папке «Documents and Settings» на том разделе диска, где установлена операционная система;

- перемещаемые (сетевые, или roaming) — хранятся на сервере в папке общего доступа, загружаются в сеанс пользователя на любом компьютере, с которого пользователь вошел (зарегистрировался) в домен, давая возможность пользователю иметь одинаковую рабочую среду на любом компьютере (путь к папке с профилем указывается на данной закладке в виде адреса \\server\share\%username%, где server — имя сервера, share — имя папки общего доступа, %username% — имя папки с профилем; использование переменной среды системы Windows с названием %username% позволяет задавать имя папки с профилем, совпадающее с именем пользователя);

- обязательные (mandatory) — настройки данного типа профиля пользователь может изменить только в текущем сеансе работы в Windows, при выходе из системы изменения не сохраняются.

Параметр «Сценарий входа» определяет исполняемый файл, который при входе пользователя в систему загружается на компьютер и исполняется. Исполняемым файлом может быть пакетный файл (.bat, .cmd), исполняемая программа (.exe, .com), файл сценария (.vbs, js).

Закладка «Член групп» — позволяет управлять списком групп, в которые входит данный пользователь.

Закладка «Входящие звонки».

Управление доступом пользователя в корпоративную систему через средства удаленного доступа системы Windows Server (например, через модем или VPN-соединение). В смешанном режиме домена Windows доступны только варианты «Разрешить доступ» и «Запретить доступ», а также параметры обратного дозвона («Ответный вызов сервера»). В режимах «Windows 2000 основной» и «Windows 2003» доступом можно управлять с помощью политик сервера удаленного доступа (не надо путать с групповыми политиками). Подробнее данный вопрос обсуждается в разделе, посвященном средствам удаленного доступа.

Закладки «Профиль служб терминалов», «Среда», «Сеансы», «Удаленное управление» — данные закладки управляют параметрами работы пользователя в на сервере терминалов:

- управление разрешением пользователя работать на сервере терминалов;

- размещение профиля при работе в терминальной сессии,

- настройка среды пользователя в терминальной сессии (запуск определенной программы или режим рабочего стола, подключение локальных дисков и принтеров пользователя в терминальную сессию);

- управление сеансом пользователя на сервере терминалов (длительность сессии, тайм-аут бездействия сессии, параметры повторного отключения к отключенной сессии);

- разрешение администратору подключаться к терминальной сессии пользователя.

Управление группами

Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы «своего» домена и глобальные и универсальные группы всего леса.

Рассмотрим подробнее, какие группы могут создаваться в Active Directory.

В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

Типы групп

- Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.

- Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

Область действия групп

- Локальные в домене
могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса,
используются — при назначении прав доступа только к ресурсам «своего» домена;

- Глобальные
могут содержать — только глобальные учетные записи пользователей «своего» домена,
используются — при назначении прав доступа к ресурсам любого домена в лесе;

- Универсальные
могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса,
используются — при назначении прав доступа к ресурсам любого домена в лесе.

В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.

Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.

Маркер доступа.

При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа (Access Token), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.

Стратегия создания и использования групп.

При создании и использовании групп следует придерживаться следующих правил:

1) Включать глобальные учетные записи пользователей (Accounts) в глобальные группы (Global groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.

2) Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции (Local groups). Локальные группы формируются на основе разрешений для доступа к конкретным ресурсам.

3) Давать разрешения (Permissions) на доступ к ресурсам локальным группам.

По первым буквам английских слов эту стратегию часто обозначают сокращенно AGLP. В основном режиме и режиме Windows 2003 с использованием универсальных (Universal) групп эта стратегия может быть в более общем виде представлена как аббревиатура AGG…GULL…LP. Такой подход облегчает управление доступом к ресурсам по сравнению с назначением разрешений напрямую учетным записям пользователей. Например, при переходе сотрудника с одной должности на другую или из одного подразделения в другое достаточно соответствующим образом поменять его членство в различных группах, и разрешения на доступ к сетевым ресурсам автоматически будут назначены уже исходя из его новой должности.

Встроенные и динамически формируемые группы.

Кроме тех групп, которые создает администратор, на компьютерах локально или во всем домене существуют встроенные группы, созданные во время установки системs или создания домена. Кроме встроенных групп в процессе работы системы формируются динамические группы, состав которых меняется в зависимости от ситуации.

Перечислим наиболее часто используемые на практике встроенные и динамические группы.

Управление Организационными подразделениями, делегирование полномочий

Назначение Организационных подразделений (ОП, Organizational Units, OU) — организация иерархической структуры объектов AD внутри домена. Как правило, иерархия ОП в домене отражает организационную структуру компании.

На практике использование ОП (кроме иерархической организации объектов) сводится к двум задачам:

- делегирование административных полномочий на управление объектами ОП какому либо пользователю или группе пользователей;

- применение групповых политик к объектам, входящим в ОП.

Делегирование административных полномочий на управление объектами ОП какому-либо пользователю или группе позволяет в больших организациях распределить нагрузку по администрированию учетными записями между различными сотрудниками, не увеличивая при этом количество пользователей, имеющих административные права на уровне всего домена.

Рассмотрим на примере процедуру предоставления какому-либо пользователю административных прав на управление ОП.

1. Откроем консоль «Active Directory – пользователи и компьютеры».

2. Создадим в домене подразделение, скажем, с именем OU-1, переместим в это ОП несколько имеющихся в домене учетных записей (или создадим новые).

3. Щелкнем правой кнопкой мыши на подразделении OU-1 и выберем пункт меню «Делегирование управления…». Запустится «Мастер делегирования управления»

4. Выберем пользователя (или группу), которому будем делегировать управление данным ОП. Пусть это будет пользователь User1 (рис. 4.45). Нажмем «Далее».

Рис. 4.45

5. Выберем набор административных задач, которые делегируются данному пользователю (рис. 4.46):

Рис. 4.46

6. По завершении мастера — нажмем кнопку «Готово».

Если теперь войти в систему на контроллере домена с учетной записью User1 (при условии, что у пользователя User1 есть права локального входа в систему на контроллере домена), запустить консоль «Active Directory – пользователи и компьютеры», то пользователь User1 сможет выполнять любые операции с объектами организационного подразделения OU-1.

Кроме удобных консолей с графическим интерфейсом система Windows 2003 оснащена мощным набором утилит командной строки для управления объектами Active Directory:

- dsadd — добавляет объекты в каталог;

- dsget — отображает свойства объектов в каталоге;

- dsmod — изменяет указанные атрибуты существующего объекта в каталоге;

- dsquery — находит объекты в каталоге, удовлетворяющие указанным критериям поиска;

- dsmove — перемещает объект из текущего местоположения в новое родительское место;

- dsrm — удаляет объект или все поддерево ниже объекта в каталоге.

Примеры.

1. Создание подразделения OU-New в домене world.ru:

dsadd ou “ou=OU-New,dc=world,dc=ru”

2. Создание пользователя User-New в подразделении OU-New в домене world.ru:

dsadd user “cn=User-New,ou=OU-New,dc=world,dc=ru”

3. Модификация параметра «Номер телефона» у пользователя User-New:

dsmod user “cn=User-New,ou=OU-New,dc=world,dc=ru” –tel 123-45-67

4. Получение списка пользователей домена, у которых имя начинается с символа “u”:

dsquery user -name u*

Далее рассмотрим применение групповых политик (как для отдельных ОП, так и для других структур Active Directory).

Групповые политики: назначение, состав, стандартные политики домена, порядок применения политик (локальные, сайт, домен, ОП), применение политик и права доступа, наследование и блокировка применения

Управление рабочими станциями, серверами, пользователями в большой организации — очень трудоемкая задача. Механизм Групповых политик (Group Policy) позволяет автоматизировать данный процесс управления. С помощью групповых политик (ГП) можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.

Каждый объект групповых политик (GPO, Group Policy Object) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container)Ю хранящегося в БД Active Directory, и шаблона групповых политик (GPT, Group Policy Template), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, — это папка «%systemroot%\SYSVOL\sysvol\<имя домена>\Policies», и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.

Каждый объект политик содержит два раздела: конфигурация компьютера и конфигурация пользователя. Параметры этих разделов применяются соответственно либо к настройкам компьютера, либо к настройкам среды пользователя.

Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD.

Каждый объект политик может быть привязан к тому или иному объекту AD — сайту, домену или организационному подразделению (а также к нескольким объектам одновременно).

Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD («Active Directory – сайты и службы», «Active Directory – пользователи и компьютеры», локальная политика компьютера редактируется консолью gpedit.msc, запускаемой из командной строки). На рис. 4.47 показана закладка «Групповые политики» свойств домена world.ru. На данной закладке можно выполнить следующие действия:

- кнопка «Создать» — создать новый объект ГП;

- кнопка «Добавить» — привязать к данному объекту AD существующий объект ГП;

- кнопка «Изменить» — открыть редактор групповых политик для выбранного объекта ГП;

- кнопка «Параметры» — запретить перекрывание (поле «Не перекрывать») параметров данной объекта ГП другими политиками или блокировку на более низком уровне иерархии AD или отключить (поле «Отключить») данный объект ГП;

- кнопка «Удалить» — удалить совсем выбранный объект ГП или удалить привязку объекта ГП к данному уровню AD;

- кнопка «Свойства» — отключить компьютерный или пользовательский разделы политики или настроить разрешения на использование данного объекта ГП;

- поле «Блокировать наследование политики» — запретить применение политик, привязанных к более высоким уровням иерархии AD;

- кнопки «Вверх» и «Вниз» — управление порядком применения политик на данном уровне AD (политики, расположенные в списке выше, имеют более высокий приоритет).

Рис. 4.47

При загрузке компьютера и аутентификации в домене к нему применяются компьютерные разделы всех привязанных политик. При входе пользователя в систему к пользователю применяется пользовательский раздел всех групповых политик. Политики, привязанные к некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:

- локальная политика;

- политики сайта Active Directory;

- политики домена;

- политики организационных подразделений.

Если в процессе применения политик какие-либо параметры определяются в различных политиках, то действующими значениями параметров будут значения, определенные позднее.

Имеются следующие методы управления применением групповых политик (см. рис. 4.47):

- блокировка наследования политик на каком либо уровне иерархии AD;

- запрет блокировки конкретного объекта групповых политик;

- управление приоритетом применения политик на конкретном уровне AD (кнопками «Вверх» и «Вниз»);

- разрешение на применение политик (чтобы политики какого-либо объекта ГП применялись к пользователю или компьютеру, данный пользователь или компьютер должен иметь разрешения на этот объект ГП «Чтение» и «Применение групповой политики»).

Кроме применения политик в момент загрузки компьютера или входя пользователя в систему, каждый компьютер постоянно запрашивает обновленные политики на контроллерах домена, загружает их и применяет обновленные параметры (и к пользователю, и к компьютеру). Рабочие станции домена и простые серверы запрашивают обновления каждые 90 ± 30 минут, контроллеры домена обновляют свои политики каждые 5 минут. Обновить набор политик на компьютере можно принудительно из командной строки командой gpupdate (на компьютерах с системами Windows XP/2003) или командами «secedit /refreshpolicy machine_policy» и «secedit /refreshpolicy user_policy» (на компьютерах с системой Windows 2000).

На практических занятиях необходимо изучить работу редактора групповых политик, ознакомиться с набором параметров стандартных политик домена и выполнить задания по настройке рабочей среды пользователей с помощью групповых политик.

Управление приложениями

Рассмотрим немного подробнее использование групповых политик для развертывания приложений в сетях под управлением Active Directory.

Групповые политики могут использоваться для установки прикладных программ в масштабах всего домена или отдельного организационного подразделения.

Используются следующие способы управления установкой приложений:

- назначение приложений компьютерам (при данном способе приложение, назначенное компьютеру, автоматически устанавливается при загрузке компьютера);

- назначение приложений пользователям (приложение устанавливается при первом вызове данного приложения — при открытия ярлычка приложения или файла, соответствующего данному приложению);

- публикация приложений пользователям (название приложения добавляется к списку доступных для установки программ в окне «Установка и удаление программ» в Панели управления).

С помощью политик можно управлять установкой приложений, которые устанавливаются с помощью компоненты Windows Installer, т.е. для них установочный пакет должен быть создан в формате файла с расширением «.msi». Если приложение можно установить только с помощью установочной программы типа setup.exe или install.exe, то такие приложения могут быть опубликованы (но не назначены) после создания файла типа «.zap», в котором заданны соответствующие параметры, необходимые для публикации средствами ГП.

Рассмотрим на примерах процессы назначения и публикации приложений.

Пример 1. Назначение пакета Group Policy Management Console («Консоль управления групповыми политиками») всем компьютерам домена world.ru.

1. Откроем закладку «Групповые политики» свойств домена. Создадим новый объект ГП с именем «GPMC» (рис. 4.48).

Рис. 4.48

2. Откроем редактор политик для политики GPMC, откроем «Конфигурация компьютера», «Конфигурация программ», на параметре «Установка программ» щелкнем правой кнопкой мыши и выберем «Создать — Пакет» (рис. 4.49):

Рис. 4.49

3. Укажем сетевой путь к пакету «\\DC1\Soft\GPMC\gpmc.msi». Выберем метод развертывания «Назначенный», нажмем «ОК». В окне редактора политик появится значение параметра (рис. 4.50):

Рис. 4.50

4. При загрузке компьютера в домене в процессе применения политик будет установлен данный программный пакет (рис. 4.51):

Рис. 4.51

Пример 2. Публикация пакета Microsoft Office 2003 всем пользователям домена world.ru.

1. Откроем закладку «Групповые политики» свойств домена. Создадим новый объект ГП с именем «MS Office 2003».

2. Откроем редактор политик для политики MS Office 2003, откроем «Конфигурация пользователя», «Конфигурация программ», на параметре «Установка программ» щелкнем правой кнопкой мыши и выберем «Создать — Пакет».

3. Укажем сетевой путь к пакету «\\DC1\Soft\Office 2003\PRO11.msi». Выберем метод развертывания «Публичный», нажмем «ОК».

4. После применения политик откроем Панель управления, выберем «Установка и удаление программ», нажмем кнопку «Установка программ», в окне доступных для установки программ появится название пакета «Microsoft Office 2003» (рис. 4.52).

Рис. 4.52

Group Policy Management Console

В качестве примера установки пакета с помощью назначения мы выбрали пакет MS Group Policy Management Console (Консоль управления групповыми политиками). Установочный комплект можно найти в Центре загрузка сайта корпорации Microsoft (пакет распространяется бесплатно).

Рассмотрим теперь подробнее, как работает этот пакет.

Во-первых, установить его можно на компьютер с системам Windows XP/2003. При этом управлять политиками пакет может и в доменах под управлением Windows 2000.

Во-вторых, при просмотре свойств какого либо домена или ОП закладка «Групповые политики» после установки GPMC выглядит по-другому (рис. 4.53):

Рис. 4.53

На этой закладке вместо списка политик и множества кнопок теперь всего одна кнопка «Open» («Открыть»).

Отметим основные преимущества этой консоли по сравнению с базовыми возможностями системы.

1. Наглядное отображение иерархии внутри домена со всеми объектами ГП, привязанными к разным уровням иерархии ОП (рис. 4.54):

Рис. 4.54

На рисунке хорошо видна вся иерархия подразделений внутри домена world.ru. Причем на каждом уровне отображается список политик, привязанных к данному уровню. Например, на уровне домена привязаны политики: стандартная политика домена, политика GPMC (назначение пакета GPMC) и политика MS Office 2003 (публикация пакета MS Office). На уровне подразделения OU-1 включено блокирование наследования политик (синий значок с восклицательным знаком). Стандартная политика домена Default Domain Policy имеет свойство «Не перекрывать» (небольшой значок справа от стрелки на пиктограмме объекта ГП). Включение параметра «Не перекрывать» в этой консоли делается так: щелкнуть правой кнопкой мыши на объекте ГП и в контекстном меню выбрать пункт «Enforce».

В контейнере «Group Policy Objects» приведен полный список всех объектов ГП.

Для вызова редактора политик нужно щелкнуть правой кнопкой мыши на объекте ГП и в контекстном меню выбрать пункт «Edit».

В разделе «Group Policy Modeling» можно определить, какой набор политики будет применяться на том или ином уровне иерархии AD (на рис. 4.55 выведен список политик, примененных к подразделению OU-1):

Рис. 4.55

В разделе «Group Policy Results» можно определить набор параметров, примененных к определенному пользователю или компьютеру в результате наложения всех политик (рис. 4.56, список политик для пользователя Администратор):

Рис. 4.56