Microsoft расширяет возможности групповых политик

Три года назад инструкторы Microsoft Certified Trainers (MCT) в разбросанных по всему миру центрах технической подготовки сертифицированных специалистов Microsoft Certified Technical Education Centers (CTEC) вселяли в администраторов Windows NT уверенность, произнося с теми или иными вариациями примерно следующие слова: «Да, система Windows 2000 наделена сотнями новых возможностей. Но ведь никто же не заставляет вас использовать все эти новые средства». Многие администраторы отнесли данное замечание и к групповой политике Group Policy, а точнее говоря — попросту оставили без внимания это мощное средство Windows 2000. Между тем групповая политика открыла перед администраторами возможность управления множеством параметров настройки компьютеров и пользовательской среды с помощью структурных элементов (узлов, доменов и организационных единиц — Organizational Units, OU) службы Active Directory. К примеру, существует возможность настраивать объекты групповых политик Group Policy Objects (GPO) таким образом, чтобы задавать правила безопасности, основываясь на функциях серверов, и ограничивать возможности пользователей в том, что касается изменения настроек настольных систем.

К сожалению, корпорация Microsoft реализовала все эти мощные средства не самым лучшим образом. Так, имеющиеся в Windows 2000 средства управления Group Policy не могли дать исчерпывающего представления о применяемых политиках и их действии. Разработчики системы Windows Server 2003 попытались исправить положение; для этого было предусмотрено несколько новых вариантов политик и два инструментальных средства административного управления объектами GPO.

Недостатки Group Policy в системе Windows 2000

Group Policy — одно из наиболее значительных и сложных нововведений, реализованных в системе Windows 2000, и, к сожалению, приходится признать, что пользователи так и не разобрались с данной функцией до конца. Организациям, которые хотели бы реализовать Group Policy, нужно было определиться с этим решением еще на ранних стадиях планирования процесса миграции, и многие из них отказались от использования данного средства для того только, чтобы облегчить процесс миграции. В тех же организациях, которые все-таки взяли Group Policy на вооружение, многие администраторы сочли, что средства управления Group Policy слишком неудобны.

Для того чтобы обратиться к средству управления групповыми политиками в Windows 2000, которое не запускается по умолчанию, приходится обычно открывать оснастку Active Directory Users and Computers консоли управления Management Console (MMC) или оснастку MMC Active Directory Sites and Services, переходить в содержащий GPO контейнер (скажем, домен, узел или OU) и затем из этого контейнера вручную запускать оснастку Group Policy. Если же потребуется исследовать или отредактировать политики в двух различных контейнерах — даже в тесно связанных между собой контейнерах, таких как OU-предок и OU-потомок, — придется для каждого из них запускать оснастку Group Policy по отдельности. Более того, если связать несколько GPO с одним контейнером, необходимо будет просматривать каждый объект GPO в отдельном окне MMC.

Организационные единицы можно встраивать друг в друга, так что получается целая иерархия уровней OU. Объекты GPO могут принадлежать узлам и доменам, кроме того, они могут относиться к десяткам различных категорий. С учетом всех этих обстоятельств планирование GPO превращается в сложную задачу. Даже такая операция, как выяснение результирующего действия объединенных параметров GPO (проще говоря, попытка понять, как регулируется работа конкретного пользователя, зарегистрировавшегося на конкретной машине), становится настоящим детективным расследованием.

Разработчики Windows 2003 не обошли вниманием практически ни одну из проблем, имеющих отношение к Group Policy. Самые важные изменения, внесенные в Windows 2003, связаны с появлением консоли управления Group Policy Management Console (GPMC) и оснастки MMC Resultant Set of Policies (RSoP).

Консоль GPMC

Консоль GPMC в комплект поставки Windows 2003 не входит, но ее можно загрузить с Web-узла Microsoft. После загрузки средства нужно просто выполнить двойной щелчок на файле gmpc.msi и следовать инструкциям по его установке. Процедура установки не только добавляет в папку Administrative Tools аббревиатуру GPMC, но и обновляет закладку Group Policy на страницах свойств узлов, доменов и организационных единиц в оснастках Active Directory Users and Computers и Active Directory Sites and Services, с тем чтобы обеспечить возможность прямой связи с GPMC. Кроме того, консоль GPMC можно запустить, щелкнув на кнопке Start, а затем на Run и введя в текстовое поле символы:

gpmc.msc

Консоль GPMC следует запускать в среде Windows 2003 или Windows XP Professional Edition с пакетом Service Pack 1 (SP1) или более поздней версии, но с помощью этого средства можно управлять объектами GPO и в доменах Windows 2000. Узлами, доменами и организационными единицами можно управлять с помощью одного инструментального средства и при этом видеть несколько доменов и лесов на одном экране. Как показано на экране 1, на панели просмотра дерева консоли GPMC отображается представление лесов высшего уровня с содержащимися в них контейнерами. Содержимое правой панели изменяется в зависимости от того, какой объект выбирается в панели просмотра дерева.

Экран 1. Отображение лесов и контейнеров в консоли GPMC

Когда пользователь выбирает какой-либо контейнер, в правой панели появляются три окна с закладками — Linked Group Policy Objects, Group Policy Inheritance и Delegation (см. экран 2). На закладке Linked Group Policy Objects отображаются все объекты GPO, непосредственно связанные с выбранным контейнером. Там же показан порядок, в котором они применяются. Не покидая этой закладки, можно запустить редактор Group Policy Editor (GPE) или создать новый объект GPO.

Экран 2. Просмотр домена средствами GPMC

В закладке Group Policy Inheritance приводится список всех объектов GPO, действующих в избранном контейнере, включая и те объекты, которые связаны с контейнером более высокого уровня и действуют в выбранном контейнере благодаря механизму наследования. Это представление весьма удобно. В нем учитываются такие обстоятельства, как блокировка наследования или отмена блокировки. Однако в закладке Group Policy Inheritance не находят отражения объекты GPO, применяемые на уровне узла для доменов или организационных единиц. В закладке Delegation отображаются профили пользователей, имеющих санкцию на управление объектами GPO в выбранном контейнере.

В консоли GPMC отображаются четыре контейнера, которых нет в средстве управления службы AD Windows 2000. На экране 2 эти контейнеры отображаются в панели просмотра дерева.

  • Контейнер Group Policy Objects существует в каждом домене и на каждом узле. Он содержит те же объекты GPO, которые перечислены в отдельных контейнерах. Резервировать и восстанавливать объекты GPO можно из контейнера Group Policy Objects.
  • Group Policy в Windows 2003 позволяет фильтровать объекты GPO по зависящим от конкретной среды параметрам Windows Management Instrumentation (WMI). В контейнере WMI Filters отображаются все объекты GPO. Этот контейнер дает возможность импортировать и исследовать фильтры WMI.
  • Контейнер Group Policy Modeling интегрирует средство Resultant Set of Policies (RSoP) в режиме Planning с тем, чтобы моделировать эффект от применения каждого нового объекта GPO. Пользоваться средством Group Policy Modeling можно лишь в том случае, если в лесу имеется по меньшей мере один контроллер домена, функционирующий в среде Windows 2003.
  • Контейнер Group Policy Results тоже интегрируется со средством RSoP. В нем отображаются действующие параметры для любого сценария. Контейнер может отображать результирующий эффект от применения объектов GPO домена, узла и организационной единицы.

Кроме того, консоль GPMC расширяет возможности использования сценариев. Все функции GPMC наделены развитыми средствами обработки сценариев. Несколько эталонных сценариев (для выполнения таких задач, как резервное копирование и создание объектов GPO) можно найти в каталоге program filesgpmcscripts.

Средство RSoP

Разработанное Microsoft средство RSoP не имеет отношения к созданию или подключению объектов GPO; оно предназначено для исследования воздействия этих объектов. Можно сказать, что RSoP — это инструмент «только для чтения». RSoP функционирует в двух режимах и представляет собой сочетание механизма формирования запросов и средства генерирования отчетов. В режиме регистрации (Logging Mode) отображается действие объектов GPO, применяемых в данное время, а в режиме планирования (Planning Mode) — совокупное действие ныне применяемых и предлагаемых GPO. Не стоит тратить время на поиски средства RSoP в папке Administrative Tools Windows 2003; чтобы воспользоваться им, следует создать специализированную оснастку в консоли MMC или ввести символы

rsop.msc

в окне командной строки.

Первое окно, открывающееся перед пользователем после запуска программы RSoP, — это экран Mode Selection; с его помощью можно выбрать нужный режим (Logging или Planning). В режиме Logging на экране отображаются все применяемые настройки. В режиме Planning интерфейс мастера позволяет пользователю модифицировать существующие объекты GPO, добавлять новые GPO, перемещать учетные записи пользователей или компьютеров в новые организационные единицы или на новые узлы, изменять состав групп безопасности и применять фильтры WMI.

По завершении процедуры выбора режима система предложит ввести имя пользователя и компьютера, который предстоит исследовать. После этого RSoP отобразит действие указанной политики или сочетания политик. RSoP — превосходное средство для проверки той или иной версии политики до того, как она будет применена к реальным пользователям.

Другие изменения в Group Policy

В системе Windows 2003 реализовано множество других усовершенствований Group Policy. Ниже указано пять наиболее значительных нововведений.

  • Редактор Group Policy Object Editor, занявший место оснастки MMC Group Policy, наделен интерфейсом на базе Web и функцией Extended View, которая предоставляет подробные разъяснения по любой выбранной пользователем политике. Объекты, представляемые редактором Group Policy Object Editor, можно фильтровать по операционной системе (Windows 2003, Windows XP или Windows 2000), по действующим установкам (Configured Settings) или по управляемым установкам (Managed Settings). Для запуска редактора Group Policy Object Editor нужно открыть одну из оснасток Active Directory Sites and Services или Active Directory Users and Computers, щелкнуть правой кнопкой мыши на узле, домене или организационной единице, выбрать страницу Properties и, наконец, щелкнуть на закладке Group Policy.
  • В Windows 2003 дополнительно реализовано новое средство развертывания программного обеспечения средствами групповой политики. Функция Install this application at logon обеспечивает более действенный метод для развертывания приложений, нежели средства Windows 2000.
  • Функция WMI Filters дает возможность конфигурировать GPO таким образом, чтобы они вступали в действие при выполнении определенных условий. Так, можно подключать или отключать GPO в зависимости от типа операционной системы, уровня пакета обновлений, типа компьютера и от значений многих других переменных среды.
  • Система Windows 2003 предусматривает ограниченную возможность применения GPO на пространстве нескольких лесов. Назначать один объект GPO сразу нескольким лесам нельзя, но если между двумя лесами Windows 2003 существуют доверительные отношения и кто-нибудь с помощью учетной записи одного леса зарегистрируется на компьютере из другого леса, Windows передаст GPO одного леса в другой, чтобы были применены соответствующие настройки пользователя и компьютера.
  • Gpupdate.exe, новая утилита командной строки, реализованная в системах Windows 2003 и Windows XP, позволяет обновлять настройки Group Policy на компьютере. Программа gpupdate.exe используется вместо ключа /refreshpolicy команды Secedit.

Новые настройки Group Policy

В системе Windows 2003 реализовано свыше 160 новых настроек Group Policy, причем многие из них наделены расширенными средствами обеспечения безопасности. Кроме того, некоторые настройки Windows 2000 в Windows 2003 получили новые имена.

  • Настройка Windows SettingsSecurity SettingsSoftware Restriction Policies позволяет определять, какие приложения Windows могут выполняться в системе.
  • Настройка Administrative TemplatesSystemUser Profiles определяет профили пользователей как обязательные, локальные или допускающие возможность перенаправления.
  • Настройка Administrative TemplatesSystemNet Logon контролирует процедуры регистрации, включая создание автоматических записей DNS SRV и обнаружение контроллеров доменов.
  • Настройка Administrative TemplatesSystemSystem Restore дает возможность включать и отключать реализованную в системе Windows XP автоматическую функцию резервного копирования данных о состоянии системы.
  • Настройка Administrative TemplatesNetworkSNMP позволяет конфигурировать из единого центра настройки SNMP, которые обеспечивают функции мониторинга и управления.

Значительный эффект при меньших затратах

В Group Policy нашли отражение многие типичные функциональные аспекты службы AD, которые компания Microsoft впервые использовала в системе Windows 2000. Однако для реализации всего потенциала Group Policy в системе Windows 2000 требовались столь же значительные усилия — как на этапе внедрения, так и на этапе планирования. Теперь же, когда разработчики Microsoft реализовали в Windows 2003 новые инструменты и средства общей тонкой подстройки, оснований для того, чтобы пренебречь возможностями Group Policy, стало гораздо меньше.

Джо Рудич (joe@rudich.com) - сетевой администратор из Сан-Паула, шт.Миннесота.