Лекция 3. Групповые политики доменов. Объекты групповых политик (GPO)
Окружение пользователя Структура многопользовательских операционных систем предполагает возможность создания для отдельного пользователя индивидуального окружения. В окружение пользователя могут входить: конфигурации рабочего стола и индивидуальные настройки оболочки; доступные пользователю приложения; сценарии, выполняющиеся при входе пользователя в системе или выходе из нее; ассоциированные с пользователем права и разрешения на доступ к локальным и сетевым информационным ресурсам. Для управления конфигурациями окружения и разрешениями пользователей в доменах Windows применяется механизм групповых политик.
Понятие групповой политики домена Групповые политики – это механизм, используемый для централизованной защиты, настройки и развертывания обычного набора конфигураций компьютеров и пользователей, настроек безопасности и иногда программного обеспечения на серверах Windows, рабочих станциях Windows и для пользователей в лесе Active Directory. Применение групповых политик – основа централизованного управления конфигурациями пользователей и компьютеров в доменах Windows.
Примеры пприменения групповых политик Инфраструктура групповых политик позволяет организациям внедрять конфигурации, упрощать администрирование рабочих столов, защищать доступ к сетевым ресурсам, а в некоторых случаях и соответствовать законодательным требованиям. Пример: политика, которая включает брандмауэр Windows на клиентских рабочих станциях, удаляет у конечных пользователей возможность отключить его и позволяет корпоративной группе поддержки рабочих компьютеров выполнять удаленное администрирование этих рабочих станций, когда они подключены к корпоративной сети или виртуальной частной сети (VPN).
Основные категории сетевых объектов домена Групповая политика в доменах Windows применяется к двум основным сетевым объектам – компьютерам и пользователям домена. Пользователи Групповая политика определяет параметры окружения конкретных пользователей независимо от того, на каком компьютере эти пользователи работают Компьютеры Групповая политика определяет параметры системы, влияющие на окружение пользователей, для конкретных компьютеров независимо от того, какие пользователи на них работают
применения групповых политик Особенности пприменения групповых политик объекты GPO применяются в отношении контейнеров, а не замыкающих объектов; один контейнер может быть связан с несколькими объектами GPO; объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого контейнера в том порядке, в котором они были назначены; объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и параметры, относящиеся к пользователю; обработку любой из этих составляющих можно отключить; наследование объектов GPO можно блокировать; наследование объектов GPO можно форсировать; применение объектов GPO можно фильтровать при помощи списков ACL
Объекты групповой политики Объекты групповой политики (GPO) – основной элемент групповой политики, выступающий в качестве самостоятельных элементов каталога. Объекты групповой политики входят как объекты службы каталогов Active Directory. С каждым объектом групповой политики связан глобальный уникальный идентификатор – GUID. Для управления ими используются специальные инструменты – редакторы групповых политик, программные интерфейсы.
Обработка СРО компьютеров Компьютер обрабатывает политики в предопределенном порядке и при наступлении определенных событий. Групповые политики применяются к объектам компьютеров во время запуска и остановки, а также периодических фоновых обновлений. По умолчанию на рядовых серверах и рабочих станциях интервал обновлений равен 90 минутам со сдвигом от 0 до 30 минут. На контроллерах доменов групповые политики обновляются каждые 5 минут. Сдвиг нужен, чтобы не все компьютеры домена выполняли обновление или обработку групповых политик одновременно. Если при запуске компьютер может успешно обнаружить контроллер домена с возможностью аутентификации и связаться с ним, выполняется обработка GPO. Обработка GPO компьютера определяется связями GPO, фильтрами безопасности и фильтрами инструментальных средств управления Windows (Windows Management Instrumentation WMI).
Обработка GPO пользователей Отличие обработки GPO пользователей от обработки GPO компьютеров в том, что обработка выполняется при входе и выходе пользователя, а также периодически. Интервал обновления по умолчанию для обработки GPO пользователей равен 90 минутам плюс сдвиг от 0 до 30 минут. Обработка GPO пользователей определяется связями GPO и фильтрами безопасности.
Привязка объектов групповой политики Любой объект групповой политики может быть связан с некоторым объектом контейнерного типа в каталоге, относящемся к одному из трех классов: Узел (сайт); Домен; Организационная единица. На каждом компьютере, под управлением Windows существует специальный объект групповой политики – локальная групповая политика.
Размещение объектов групповой политики Система размещает информацию о GPO в двух местах: Значения всех атрибутов объектов размещаются в специальном контейнере групповой политик (Group Policy Container, GPC) Active Directory. Для размещения файлов, связанных с применением групповых политик, система использует специальную структуру – шаблон групповой политики. Данный шаблон представляет собой папку, которая располагается внутри папки SYSVOL\sysvol\ \policies. По умолчанию папка располагается внутри системной папки Windows (Папка шаблонов групповой политики). Создание и удаление объектов групповой политики разрешено пользователям, являющимся членами групп безопасности Администраторы домена и Администраторы предприятия.
Создание объекта групповой политики Для создания объектов групповой политики используется специальная оснастка консоли управления Windows – Редактор объектов групповой политики.
Создание объекта групповой политики В Мастере групповой политики выбрать в качестве объекта с помощью кнопки Обзор – Домен/Подразделение нужный объект. Если есть необходимость создания нового объекта групповой политики, то используется специальная кнопка.
Локальные групповые политики К Windows-системам и учетным записям пользователей Windows-систем могут применяться два различных типа политик: локальные групповые политики и групповые политики Active Directory. Локальные групповые политики существуют во всех Windows-системах, а групповые политики Active Directory доступны только в лесе Active Directory.
Локальные групповые политики В Windows Vista, Windows Server 2008 и выше администраторы имеют возможность создавать несколько локальных групповых политик. На компьютерах можно создавать отдельные групповые политики пользователей для всех пользователей, для пользователей, которые не являются администраторами, и для пользователей- членов группы локальных администраторов. Эта возможность полезна для повышения безопасности и надежности компьютеров из состава рабочих групп или обособленных компьютеров.
Шаблоны безопасности В каждой политике локального компьютера и в узле конфигурации компьютера GPO имеется раздел Security Settings (Параметры безопасности). Раздел содержит параметры для политик аудита компьютера, параметры управления учетными записями и права, присвоенные пользователям. Данный раздел политики можно импортировать и экспортировать отдельно. В различных версиях Windows шаблоны безопасности были сформированы заранее, что давало администраторам возможность быстро загрузить набор рекомендованных параметров конфигурации безопасности. Примеры шаблонов: базовые шаблоны рабочей станции и сервера, а также шаблоны высокой безопасности, совместимой безопасности и безопасности контроллера домена.
Элементы групповых политик Group Policy Objects (GPO) - определенный набор доступных значений, которые могут быть применены к объектам компьютеров и/или пользователей Active Directory. Параметры, доступные в каком-либо GPO, создаются с помощью сочетания файлов административных шаблонов, включенных в данный GPO или упомянутых в нем. Если управление компьютером или пользователем нужно изменить, в этот GPO можно импортировать дополнительные административные шаблоны, расширяющие его функциональность.
Хранение объектов групповых политик Объекты групповых политик хранятся и в файловой системе, и в базе данных Active Directory. Каждый домен в лесе Active Directory хранит полную копию всех GPO этого домена. Загрузка и обработка GPO, имеющих связи с другими доменами с помощью сайтов или просто междоменных связей GPO может занять большее время. Параметры GPO хранятся в файловой системе всех контроллеров домена, в папке sysvol. Эта папка совместно используется всеми контроллерами домена. У каждого GPO домена имеется соответствующая ему папка, которая находится в подпапке sysvol\Имя_домена\Policies. В качестве имени папки GPO берется глобально уникальный идентификатор (globally unique identifier GUID), присвоенный этому GPO при его создании. Этот GUID выводится при просмотре свойств GPO домена в консоли управления групповыми политиками. В папке GPO находится обычный набор подпапок и файлов: папка User, папка Machine, иногда папка ADM и файл gpt.ini.
Структура хранилища Подпапка user Подпапка User (Пользователь) содержит файлы и папки, используемые для хранения параметров, программ, сценариев и других настроек для политик пользователя и объекта пользователя, сконфигурированных в данном GPO. Подпапка Machine Подпапка Machine (Компьютер) содержит файлы и папки, используемые для хранения параметров, программ, сценариев и других настроек для политик компьютера или объекта компьютера, сконфигурированных в данном GPO.
Структура хранилища Подпапка adm Подпапка ADM создается для новых GPO, если в них импортируются файлы административных шаблонов старого формата. Все GPO, созданные с помощью клиентских программ, содержат подпапку ADM, где хранятся все файлы административных шаблонов, которые импортированы в этот GPO и на которые есть ссылки в этом GPO. Файлы registry.pol Многие параметры GPO определяют ключи и значения системного реестра. Состояние и значение таких ключей хранятся в файлах registry.pol в одной из папок User или Machine. Для оптимизации работы файл registry.pol содержит только параметры, настроенные в GPO.
Структура хранилища Файл gpt.ini В корне папки sysvol GPO имеется файл с именем gpt.ini, который содержит номер ревизии GPO. Этот номер используется при обработке GPO объектом компьютера или пользователя. При первой обработке GPO номер ревизии сохраняется в системе, а при последующих обработках номер из файла gpt.ini сравнивается со значением, хранящимся в кэше локальной системы. Если этот номер не изменился, некоторые части GPO не обрабатываются. При каждом изменении GPO номер ссылки или ревизии увеличивается, и хотя файл gpt.ini содержит одно число, оно на самом деле представляет собой отдельный номер ревизии для раздела компьютера и пользователя данного GPO. Однако имеются и такие части GPO, которые обрабатываются всегда например, сценарии.
Параметры политики Параметры политики это параметры, доступные для настройки в конкретном GPO. Данные параметры берутся из базовых административных шаблонов, настроек безопасности, сценариев, QOS на основе политик и, в некоторых случаях, из пакетов развертывания ПО или соответствуют один к одному некоторым ключам и значениям системного реестра. Параметры политик GPO обычно имеют одно из трех значений: не указано, включен или выключен.
Конфигурирование объектов групповой политики Папка «Конфигурация пользователя» оснастки Групповая политика используется для задания политик, применяемых к пользователям независимо от того, какой компьютер используется для входа в систему. Узел «Конфигурация пользователя» содержит элементы: «Конфигурация программ», «Конфигурация Windows», «Административные шаблоны»,
Конфигурирование объектов групповой политики С помощью узла «Конфигурация компьютера» в оснастке Групповая политика можно устанавливать политики, применяемые к компьютерам, вне зависимости от того, кто работает на них. Узел «Конфигурация компьютера» содержит подузлы: «Конфигурация программ», «Конфигурация Windows», «Административные шаблоны». Редактор объектов групповой политики допускает добавление или удаление расширений.
Конфигурирование групповой политики Выделяются следующие уровни конфигурирования групповой политики: Конфигурация программ. Здесь размещены расширения mmc, применяемые для конфигурирования параметров групповых политик: Установка программ.
Конфигурирование групповой политики Конфигурация Windows: Содержимое контейнера различается для групповых политик пользователя или компьютера: Сценарии. Определяются сценарии, которые будут выполняться при запуске/выключении компьютера (при входе/выходе пользователя в систему). Параметры безопасности. В данном расширении выполняется управление параметрами групповой политики, связанными с функционированием системы безопасности.
Управление групповой политикиой
Управление объектами групповой политики
Конфигурирование Windows через GPO Службы удаленной установки. Данное расширение используется для определения параметров удаленной установки на клиентском компьютере. Настройка Internet Explorer. Используется для конфигурирования Internet Explorer на компьютерах домена, работающих под управлением Windows. Перенаправление папок. С помощью данного расширения можно осуществлять перенаправление папок из пользовательского профиля в некоторый сетевой ресурс.
Сценарии входа, выхода, запуска и завершения работы Редактор объектов групповой политики включает в себя два расширения для развертывания сценариев: Сценарии (запуск/завершение). Это расширение, расположенное в узле дерева консоли редактора объектов групповой политики «Конфигурация компьютера\Конфигурация Windows», используется для указания сценариев, выполняемых при запуске и завершении работы компьютера. Эти сценарии выполняются с правами локальной системы. Сценарии (вход/выход из системы). Это расширение, расположенное в узле дерева консоли редактора объектов групповой политики «Конфигурация пользователя\Конфигурация Windows», используется для указания сценариев, выполняемых при входе и выходе пользователя из системы. Эти сценарии запускаются с правами пользователя, а не администратора. Операционные системы семейства Windows Server содержат сервер сценариев Windows: Включена поддержка как сценариев Visual Basic Scripting Edition (файлы.vbs), так и сценариев и JScript (файлы.js).
Шаблоны групповой политики Административный шаблон. Данный контейнер содержит параметры групповой политики, применяемые для управления содержимым системным реестром.
Применение групповой политики Для связывания объекта групповой политики с контейнером каталога используется административная оснастка Управление групповой политикой.
Принудительное применение связей групповой политики Microsoft предоставляет администраторам несколько способов управления инфраструктурой, включая принудительное нисходящее распространение конфигураций. "Принудительное применение" (enforcement) связей GPO – это параметр связи GPO, который можно установить, чтобы гарантировать применение данной политики, даже если в другом GPO этот параметр имеет другое значение.
Наследование групповых политик Объекты GPO можно привязать к сайту, домену и различным уровням OU. Если, к примеру, инфраструктура Active Directory содержит объекты GPO, привязанные на уровне домена, все контейнеры и OU под этим корневым доменом наследуют все привязанные политики. Например, OU "Domain Controllers" (Контроллеры домена) наследует стандартную политику домена.
Блокировка наследования групповых политик Наряду с наследованием GPO в Active Directory имеется возможность блокировки наследования от всех GPO из родительских контейнеров. Эта возможность может пригодиться, если контейнер содержит объекты пользователей и/или компьютеров, которые очень важны для безопасности или производства. Например, может быть создана OU, содержащая системы для работы службы удаленного рабочего стола, которая не будет правильно функционировать, если применить GPO уровня домена. В такой OU можно задать блокировку наследования, чтобы гарантировать, что к ней будут применяться только политики, привязанные к данной OU. Если к такому контейнеру нужно применить какие-то GPO, необходимо создать связи на уровне этого конкретного контейнера либо указать принудительную привязку к GPO из родительского контейнера, что перекроет блокировку наследования.
Анализ действия групповой политики Для анализа действия групповой политики используется инструмент – Результирующая политика
Группы безопасности и групповая политика Объекты групповой политики рассматриваются в качестве субъекта системы безопасности. Каждый объект имеет собственный дескриптор безопасности, который определяет атрибуты безопасности объекта, в том числе – избирательный список контроля доступа (DACL).
Анализ и настройка безопасности Оснастка «Анализ и настройка безопасности» используется для анализа и настройки безопасности локального компьютера. Средство управления настройкой безопасности Описание Шаблоны безопасности Определение политики безопасности в шаблоне. Эти шаблоны могут применяться к групповой политике или к локальному компьютеру. Расширение «Параметры безопасности» для групповой политики Изменение отдельных параметров безопасности домена, узла или подразделения Локальная политика безопасности Изменение отдельных параметров безопасности локального компьютера. Secedit Автоматизация выполнения задач по настройке безопасности с помощью командной строки.
Шаблоны безопасности Шаблоны безопасности (Security Templates) – файл, содержащий параметры безопасности. Шаблоны безопасности могут быть применены на локальном компьютере, импортированы в объект групповой политики или использованы для анализа безопасности. Конфигурации безопасности может быть применена к локальному компьютеру или импортирована в объект групповой политики (GPO) Active Directory. При импорте шаблона безопасности в GPO групповая политика обрабатывает шаблон и соответствующим образом изменяет члены GPO, которыми могут являться пользователи или компьютеры.
Графический интерфейс работы с шаблонами безопасности
Анализ и настройка безопасности Для тестирования шаблонов безопасности в Windows может быть использован графический интерфейс оснасти «Анализ и настройка безопасности». При выполнении прогнозов безопасности данный инструмент анализирует параметры настройки безопасности на локальном компьютере и сравнивает ее с тем шаблоном, что вы собираетесь применить. Данная операция производится путем импорта шаблона (.inf-файла) в файл базы данных(.sdb-файл). Командный интерфейс для выполнения анализа шаблонов задается командой: secedit secedit /analyze secedit /configure secedit /export secedit /import secedit /validate secedit /GenerateRollback
Выводы Операционные системы семейства Windows обладают усовершенствованными технологиями управления конфигурацией пользователей и компьютеров, входящих в домен. Использование механизмов групповых политик позволяет администраторам настроить среду работы пользователя, организовать конфигурирование пользовательских приложений, обеспечить выполнение выбранной политики безопасности. Групповые политики могут быть использованы для управления конфигурациями отдельных пользователей, групп пользователей и компьютеров в рамках домена Windows. Допускается механизм наследования выработанных политик в рамках леса.
Выводы Параметры политики хранятся в объектах групповой политики. Редактор объектов групповой политики можно рассматривать как приложение, типом документов которого является объект групповой политики, так же как текстовый редактор использует файлы.doc или.txt. Существует два типа объектов групповой политики: локальные и нелокальные. Локальные объекты групповой политики хранятся на локальном компьютере. На компьютере существует только один локальный объект групповой политики, содержащий набор параметров, доступных в нелокальном объекте групповой политики. В случае конфликта параметры локального объекта будут перезаписаны нелокальными параметрами или применены совместно. Нелокальные объекты групповой политики хранятся на контроллере домена и доступны только в среде Active Directory. Они применяются к пользователям или компьютерам в сайте, домене или подразделении, связанном с объектом групповой политики.
Выводы В общем случае групповая политика передается от родительских контейнеров к дочерним в домене, который можно просмотреть с помощью оснастки Active Directory пользователи и компьютеры. Групповая политика не наследуется от родительских доменов к дочерним, например от веб-узла wingtiptoys.com к узлу sales.wingtiptoys.com. На каждом компьютере Windows имеется по крайней мере один локальный объект групповой политики. Объекты групповой политики в отличие от локальных объектов этой политики являются виртуальными. Сведения о параметрах политики для GPO фактически хранятся в двух расположениях: в контейнере и в шаблоне групповой политики. Контейнер групповой политики представляет собой объект службы каталогов. Он состоит из субконтейнеров для хранения сведений о групповой политике пользователя и компьютера. Шаблон групповой политики это папка контроллеров домена для хранения домена объекта групповой политики.