Читайте также: |
|
ГРУППОВЫЕ ПОЛИТИКИ БЕЗОПАСНОСТИ
В ОС WINDOWS 2003 SERVER
Абакан
Цель работы
Освоить основы использования групповых политик безопасности в ОС Windows 2003 Server.
Необходимое оборудование и ПО
Компьютер, с установленной операционной системой Windows 2003 Server и установленной службой каталогов Active Directory.
Теоретическая часть
Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, разрешениями и возможностями пользователей и компьютеров. Групповая политика позволяет:
· создавать централизованно управляемые специальные папки, например «Мои документы» (My Documents);
· управлять доступом к компонентам Windows, системным и сетевым ресурсам, инструментам панели управления, рабочему столу и меню «Пуск» (Start);
· настроить сценарии пользователей и компьютеров на выполнение задачи в заданное время;
· настраивать политики паролей и блокировки учетных записей, аудита, присвоения пользовательских прав и безопасности.
Групповую политику можно рассматривать как набор правил управления пользователями и компьютерами. Групповую политику разрешается применять в нескольких доменах, в индивидуальных доменах, в подгруппах внутри домена или в индивидуальных системах. В индивидуальных системах применяется локальная групповая политика (local group policy) — она хранится только на локальной системе. Другие групповые политики представлены как объекты в службе Active Directory.
Чтобы понять, что такое групповая политика, нужно знать структуру службы каталогов Active Directory. В Active Directory логические объединении доменов называются сайтами (sites), а подгруппы внутри домена — организационными подразделениями (organizational units).
Групповая политика применяется только в системах с Windows 2000, Windows XP Professional и Windows Server 2003. Параметры групповой политики хранятся в объекте групповой политики (Group Policy Object, GPO). К одному и тому же сайту, домену или подразделению разрешено применять несколько объектов GPO. Поскольку политика в реальности представляет собой объект, для нее действительны многие понятия объектно-ориентированного программирования (ООП). Человек, знакомый с ООП, не удивится, узнав о том, что в отношении политик действуют концепции родительских и дочерних объектов, а также наследования.
С помощью наследования политика, примененная к родительскому контейнеру, передается дочернему контейнеру. Например, если вы применяете политику в домене, ее параметры наследуются подразделениями этого домена. В данном случае объект GPO домена является родительским, а объект GPO подразделения — дочерним.
Порядок наследования таков: Сайт -> Домен -> Подразделение
Это означает, что параметры групповых политик сайта передаются доменам этого сайта, а параметры домена передаются его организационным подразделениям (ОП). Разумеется, при желании наследование параметров можно отменить.
Если политик несколько, они применяются в определенном порядке.
1. Политики Windows NT 4.0 (NTConfig.pol).
2. Локальные групповые политики.
3. Групповые политики сайта.
4. Групповые политики домена.
5. Групповые политики ОП.
6. Групповые политики дочернего ОП.
Если параметры политик конфликтуют, то параметры политики, назначенные позже, обладают приоритетом и заменяют заданные ранее. Например, политика ОП приоритетнее групповой политики домена. У правила приоритета есть и исключения.
Параметры политики делятся на две основные категории:
• для компьютеров;
• для пользователей.
Первые применяются обычно при загрузке системы, вторые — при входе в систему. Точная последовательность событий часто важна при устранении неполадок в системе. Во время загрузки и регистрации происходят следующие события.
1. После запуска сети Windows Server 2003 применяет параметры политики для компьютеров. По умолчанию они начинают действовать одна задругой в указанном выше порядке. Интерфейс пользователя при обработке компьютерных политик не отображается.
2. Windows Server 2003 выполняет сценарии загрузки. По умолчанию они исполняются один за другим. Для выполнения очередного сценария нужно, чтобы выполнился предыдущий или истекло его время ожидания. Исполнение сценария на экране не отображается, если это не было задано.
3. Пользователь нажимает Ctrl+Alt+Delete для входа в систему. Проверив его регистрационные данные, Windows Server 2003 загружает профиль пользователя,
4. Windows Server 2003 применяет параметры политики для пользователей. По умолчанию они применяются одна за другой в указанном выше порядке. При обработке политик пользователя отображается пользовательский интерфейс.
5. Windows Server 2003 выполняет сценарии входа в систему. Сценарии входа в систему из состава групповой политики по умолчанию исполняются одновременно. Исполнение сценария не отображается для пользователя, если это не было задано. Сценарии в общем ресурсе Netlogon выполняются последними в окне обычной командной оболочки.
6. Windows Server 2003 отображает стартовый интерфейс, настроенный в групповой политике. По умолчанию групповая политика обновляется только при выходе пользователя из системы или при перезапуске компьютера. Вы можете изменить интервал обновления, введя в командной строке команду gpupdate. Некоторые параметры пользователей, например перенаправление папок, нельзя обновить в ходе сеанса. Чтобы изменения в них вступили в силу, пользователь должен выйти из системы и войти в нее снова. Чтобы автоматически выйти из системы после обновления политики, воспользуйтесь командой gpupdate /logoff. Аналогично, некоторые параметры компьютера обновляются только при его перезапуске. Чтобы перезагрузить компьютер после обновления, введите в командной строке gpupdate /boot.
Групповые политики впервые появились в Windows 2000 и действуют только в системах, работающих под управлением Windows 2000, Windows XP Professional и Windows Server 2003. Не удивительно, что с каждой новой версией в групповые политики вносились дополнительные изменения. Иногда это приводило к тому, что политика устаревала и в новых версиях Windows работать уже не могла.
Тем не менее в большинстве случаен политики, впервые появившиеся в Windows 2000, способны работать не только в этой ОС, но и в Windows XP Professional и Windows Server 2003.
С другой стороны, политики Windows XP Professional, как правило, не совместимы с Windows 2000, а политики Windows Server 2003 не применимы к Windows 2000 или Windows XP Professional.
Неприменимость политики к определенной версии Windows означает, что вам не удастся применять данную политику на компьютерах, работающих под управлением этой версии.
Выяснить, действует ли данная политика в данной версии Windows, очень просто. В окне свойств каждой групповой политики имеется поле «Поддерживается» (Supported On), в котором отмечена совместимость политики с различными версиями Windows.
В редакторе объектов групповой политики для просмотра требований к групповой политике нужно перейти к расширенному представлению и выделить ее.
Новые политики добавляются в систему при установке пакетов обновления, приложений и компонентов Windows. Так что вопросы совместимости политики вам придется решать довольно часто.
Дата добавления: 2015-07-19; просмотров: 73 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Эффект группового эгоизма | | | Управление локальными групповыми политиками. |