|
Читайте также: |
Политика представляет собой способ автоматизации работы администратора по настройке рабочих столов. В зависимости от контекста, может обозначать групповую политику, системную политику Windows NT 4.0 или конкретный параметр объекта групповой политики.
Объект групповой политики представляет собой набор параметров групповой политики. Объектами групповой политики главным образом являются документы, создаваемые оснасткой Групповая политика, служебной программой Windows. Объекты групповой политики хранятся на уровне домена и оказывают влияние на пользователей и компьютеры узлов, доменов и подразделений. Кроме того, каждый компьютер с операционной системой Windows имеет единственную хранящуюся локально группу параметров, которая называется локальным объектом групповой политики.
Системная политика – политика Windows NT 4.0, основанная на параметрах реестра, созданная при помощи Poledit.exe (редактора системной политики).
Групповая политика (рис.1, рис. 2.) представляет собой оснастку[1] консоли MMC (Microsoft Management Console), используемую для редактирования объектов групповой политики. Консоль – основа для построения средств администрирования, состоит из инструментов, папок или других контейнеров, веб-страниц и других компонентов управления. Эти объекты отображаются в левой области консоли, называемой деревом консоли. Консоль имеет одно или несколько окон, обеспечивающих представление ее дерева. Главное окно консоли MMC предоставляет меню и кнопки для производных консолей. Чтобы открыть групповую политику нужно:
- нажать кнопку Пуск;
- в Главном меню выбрать команду Выполнить;
- в строке Открыть ввести команду gpedit.msc и нажать кнопку ОК.
В открытой оснастке Групповая политика имеется два параметра в узле Политика локального компьютера (рис. 2.): Конфигурация компьютера и Конфигурация пользователя. С помощью параметра Конфигурация компьютера можно устанавливать политики, которые будут применяться к компьютеру независимо от того, кто использует его для входа в сеть. С помощью параметра Конфигурация пользователя можно устанавливать политики, которые будут применяться к каждому пользователю, работающему на компьютере.
Рис. 1. Оснастка Групповая политика
Рис. 2. Окна настройки сценариев
Среду рабочего стола можно настраивать, включая или выключая те или иные параметры политики. Например, с помощью групповой политики можно удалить значки с рабочего стола, изменить содержимое меню Пуск и упростить структуру панели управления. Можно также добавлять сценарии, которые должны будут выполняться на компьютере при его запуске и завершении работы (рис. 2.), при входе пользователей в систему и выходе из нее; допускается даже настройка обозревателя Internet Explorer.
Параметры групповой политики определяют различные компоненты окружения пользовательского рабочего стола, которыми управляет системный администратор (например, программы, доступные пользователям; программы, отображающиеся на пользовательском рабочем столе, и параметры меню Пуск). Параметры групповой политики содержатся в объекте групповой политики, который в свою очередь связан с выбранными объектами Active Directory: сайтами, доменами или подразделениями.
Active Directory – служба каталогов, хранящая сведения об объектах сети и предоставляющая эти данные пользователям и администраторам. Active Directory позволяет пользователям сети осуществлять доступ к ресурсам в рамках одного процесса подключения и обеспечивает администраторов иерархическим представлением сети и единым инструментом администрирования всех сетевых объектов.
Групповая политика применяется не только к пользователям и компьютерам, но и к рядовым серверам, контроллерам доменов и другим компьютерам под управлением Windows. По умолчанию групповая политика, применяемая к домену (на уровне домена, расположенного над корневым узлом оснастки Active Directory Пользователи и компьютеры), влияет на все компьютеры и пользователей домена. Использование групповой политики и ее расширений предоставляет следующие возможности:
1. Управление политикой на основе реестра посредством административных шаблонов. Групповая политика создает файл, содержащий параметры реестра, записанные в область базы данных реестра пользователя и локального компьютера. Параметры профиля пользователя, индивидуальные для пользователя, входящего на этот сервер или рабочую станцию, записываются в раздел реестра HKEY_CURRENT_USER (HKCU), а параметры компьютера записываются в раздел HKEY_LOCAL_MACHINE (HKLM).
2. Назначение сценариев, например, сценариев запуска и отключения, сценариев входа и выхода.
3. Перенаправление папок – возможность перенаправлять папки, такие как Мои документы и Мои рисунки, из папки Documents and Settings локального компьютера в сетевые расположения.
4. Управление приложениями – возможность назначать, публиковать и восстанавливать приложения при использовании расширения Установка программного обеспечения.
5. Задание параметров безопасности (рис. 3.).
Рис. 3. Окна настройки параметров безопасности
С помощью параметров безопасности можно изменить политику безопасности для подразделения, домена или узла с любого компьютера, присоединенного к домену. Администратор безопасности с помощью компонента Параметры безопасности может изменить параметры безопасности, назначенные объекту групповой политики. Для изменения параметров безопасности на локальном компьютере используется раздел Локальная политика безопасности.
1.2. Программа Локальная политика безопасности
Все политики безопасности являются политиками безопасности для компьютера. Оснастка Локальная политика безопасности применяется для прямого изменения политик учетных записей, локальных политик, политик открытого ключа и политик безопасности IP локального компьютера.
1. Политики учетных записей определяются на компьютерах и определяют взаимодействие учетных записей с компьютером и доменом. Существуют три политики учетных записей:
- политика паролей – используется для учетных записей доменов и локальных компьютеров и определяет параметры паролей, такие как, соответствие обязательным условиям и срок действия;
- политика блокировки учетной записи – используется для учетных записей доменов и локальных компьютеров и определяет условия и период времени блокировки учетной записи;
- политика Kerberos – используется для учетных записей пользователей домена и определяет параметры Kerberos, такие как срок жизни и соответствие обязательным условиям (политики Kerberos не входят в состав политики локального компьютера).
Для учетных записей доменов допускается использование только одной политики учетных записей. Политика учетных записей должна быть определена в политике домена по умолчанию и реализовываться контроллерами домена, образующими этот домен. Контроллер домена всегда получает политику учетных записей от объекта групповой политики Политика по умолчанию для домена, даже если имеется другая политика учетных записей, примененная к организационному подразделению, которое содержит контроллер домена. Присоединенные к домену рабочие станции и серверы по умолчанию также получают эту политику учетных записей для локальных учетных записей. Однако локальные политики учетных записей могут отличаться от политики учетных записей домена, например, когда политика учетных записей определяется непосредственно для локальных учетных записей.
В окне Параметры безопасности доступны две политики, имеющие с политиками учетных записей похожую функциональность:
- Network Access: Allow anonymous SID/NAME translation;
- Сетевая безопасность: Принудительный выход из системы по истечении допустимых часов работы.
2. Локальные политики представляют собой группу политик, которые применяется на компьютерах, в их состав входят три политики:
- Политики аудита – определяют, какие события безопасности заносятся в журнал безопасности данного компьютера, и заносить ли в журнал безопасности успешные попытки, неудачные попытки или и те и другие. (Журнал безопасности является частью оснастки Просмотр событий);
- Назначение прав пользователя – политики определяют, какие пользователи и группы обладают правами на вход в систему и выполнение различных задач;
- Параметры безопасности – политики отвечают за включение или отключение параметров безопасности: цифровая подпись данных; имена учетных записей администратора и гостя; доступ к дисководам гибких дисков и компакт-дисков; установка драйверов; приглашение на вход в систему. Параметры безопасности обновляются:
- после перезарузки компьютера;
- каждые 90 минут на рабочей станции или сервере;
- каждые 5 минут на контроллере домена;
- каждые 16 часов независимо от наличия изменений.
Для параметров безопасности, определенных для нескольких политик, установлен следующий порядок приоритета (от высокого до низкого): подразделение, домен, сайт. Какие политики применены к компьютеру и какой у них порядок приоритета определено оснасткой Результирующая политика (RSoP), которая является дополнением к групповой политике и интегрированной частью оснастки Управление изменением и настройкой. RSoP собирает данные Active Directory, групповой политики и IntelliMirror, чтобы помочь снизить время, затрачиваемое на устранение неполадок, связанных с объектами групповой политики (GPO). Эта оснастка проверяет внедрение политики, сценарии развертывания установки программ и развертывание сценариев. Параметры безопасности могут продолжать действовать даже, если они не определены в политике, к которой они изначально были применены. Постоянство действия параметров безопасности возникает в следующих случаях:
- параметр не был предварительно определен на локальном компьютере, в то время как политика уже была применена;
- параметр определен для объекта реестра в ветви узла Реестр;
- параметр определен для объекта файловой системы;
Каждый раз при применении групповой политики в базе сохраняются локальные параметры безопасности. Если объект групповой политики определяет параметр безопасности, а затем не определяет его, для параметра устанавливается исходное локальное значение, сохраненное в базе. При отсутствии значения в базе, если у параметра нет настройки к которой можно вернуться, то параметр определяется как изначально. Иногда такое поведение называют tattooing. Настройка реестра и файлов сохраняет параметры безопасности, примененные политикой, до тех пор пока значение параметра не изменится.
3. Политики открытого ключа имеют параметры, которые доступны в оснастке Групповая политика, с их помощью можно выполнять следующие задачи:
- настройку компьютеров на автоматическую отправку запросов в центр сертификации предприятия и установку выдаваемых сертификатов, что позволяет обеспечить наличие на компьютерах сертификатов, необходимых для выполнения в организации криптографических операций с открытым ключом (например, связанных с использованием протокола IPSec или с проверкой подлинности клиентов;
- создание и распространение списка доверия сертификатов (CTL) – подписанных списков сертификатов корневых центров сертификации, признанных администратором пригодными для тех или иных целей, например, для проверки подлинности клиента или защиты электронной почты;
- установку общих доверенных корневых центров сертификации, которые позволяют привязать компьютеры и пользователей к общим корневым центрам сертификации (в добавление к тем, которые они уже признали доверенными в индивидуальном порядке)[2];
- добавление агентов восстановления шифрованных данных и изменение параметров политики восстановления шифрованных данных.
Параметры политики открытого ключа необязательно использовать в групповой политике для развертывания инфраструктуры открытых ключей в рамках организации. Однако данные возможности позволяют более гибко контролировать установку доверительных отношений с центрами сертификации, выдачу сертификатов компьютерам и развертывание шифрованной файловой системы (EFS, Encrypting File System) в домене.
Дата добавления: 2015-08-18; просмотров: 192 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Классификация объектов недвижимости | | | Политика паролей |