Групповая политика появилась еще в Windows 2000, тогда она состояла всего лишь из 500 параметров. В Windows XP SP2 было внесено 800 дополнительных параметров. В Windows Vista их насчитывалось 3000. А в Windows Server 2008 было добавлено более 3100 параметров политики в административных шаблонах и более 175 параметров политики безопасности. Групповая политика защищает и регулирует самые важные элементы, необходимые для нормальной работы компании, от критических бизнес-приложений и процессов до настроек компьютеров и принтеров пользователей. Но стоит начать управлять групповыми политиками, как вскоре даже специалисты с подготовкой выше среднего попадают в затруднительное положение.
Можно отказаться от вмешательства в групповую политику или иметь с ней как можно меньше дела. Многие администраторы признаются, что их «стратегия» при определении правильности настройки групповой политики — ждать, пока произойдет сбой. Затем начинаются проблемы.
В лучшем случае другим администраторам и персоналу приходится оставить свои дела и заняться распутыванием узлов групповой политики. В худшем — ошибка в групповой политике останется необнаруженной или некомпетентный администратор изменит параметры политики, ослабив безопасность и подставив под удар данные.
Microsoft не поможет
Консоль управления групповой политикой (GPMC) компании Microsoft — полезное дополнение: с ее помощью администраторам удобнее управлять групповой политикой, особенно в тех компаниях, где обычно вносится мало изменений.
Но если изменения часты и задействовано много администраторов, с помощью консоли GPMC нельзя добиться удовлетворительных результатов в мониторинге и управлении изменениями групповой политики.
Позднее Microsoft предложила продукт Advanced Group Policy Management (AGPM), приобретенный как часть технологии компании Desktop Standard. С помощью AGPM администраторы могут извлекать и изменять объекты GPO с блокировкой оригинала, а также сравнивать две версии GPO и выполнять возврат к предшествующей версии. Еще одна полезная функция — возможность создавать объекты GPO на основе шаблонов и делегировать доступ к объектам GPO. При этом необходимо быть участником программы Windows Software Assurance (SA), так как продукт является частью пакета Microsoft Desktop Optimization Pack (MDOP), доступного только в рамках SA.
Заполняем пробелы
Сторонние поставщики решений предложили свои пути устранения пробелов в управлении групповой политикой. Диапазон решений широк — от инструментов автоматизации задач управления групповой политикой до мониторинга и аудита изменений групповой политики; от средств, которые расширяют групповую политику и помогают защищать рабочие станции с предоставлением минимальных прав, до инструментов, сочетающих различные перечисленные выше возможности.
Можно найти инструменты управления групповой политикой, которые делегируют доступ, обеспечивают извлечение и возврат объектов GPO, отслеживают версии. Кроме того, во многих имеются автономные репозитории объектов GPO, в которых можно изменять и опробовать параметры политики в лабораторных условиях, не перенося их сразу в производственную среду. Многие из этих инструментов расширяют консоль GPMC, упрощая изменения GPO, проверку и сравнение версий. Некоторые помогут добиться унификации настроек рабочих столов и приложений и повысить их защищенность. Отдельные инструменты предупреждают об изменениях в объектах GPO или позволяют создать и использовать параметры политики, которые даже не являются частью групповой политики, чтобы обеспечить соответствие
Сведения о продуктах приведены в таблице. Мы избрали широкую интерпретацию управления: в некоторых инструментах управление групповой политикой выполняется через автоматизацию задач; другие помогут отслеживать изменения объектов GPO; третьи расширяют возможности групповой политики. Цены зависят от условий лицензирования и количества компьютеров.
Кроме того, существуют хорошие инструменты, которые расширяют групповую политику, позволяя выполнять изначально недоступные задачи. Обладателям инструментария управления, желающим получить еще большую отдачу от групповой политики, стоит обратить внимание на следующие решения:
- Avecto Privilege Guard (www.avecto.com);
- BeyondTrust Privilege Manager (www.beyondtrust.com);
- FullArmor Policy Portal (www.fullarmor.com);
- PolicyPak Software PolicyPak Professional with PolicyPak Design Studio (www.policypak.com);
- Special Operations Software Specops Command and Specops Deploy (www.specopssoft.com).
Каролин Марвиц (cmarwitz@windowsitpro.com) — редактор Windows IT Pro, SharePointPro Connections и SQL Server Magazine, специализируется на тематике Active Directory, групповой политике и SharePoint