- •Технологическая карта 2.7. Особенности политики безопасности
- •Создание групповой политики безопасности.
- •Программа Resultant Set of Policy Wizard.
- •Запуск Resultant Set of Policy Wizard
- •Режим регистрации
- •Режим планирования
- •Содержание отчета:
- •Контрольные вопросы.
- •Приложение.
- •Создание групповых политик
- •Средства администрирования
- •Применение групповых политик
- •Разрешение конфликта двух политик
- •Наследование политик
- •Применение нескольких политик в отношении одного контейнера
- •Блокирование наследования политики
- •Фильтрация политик
- •Отладка процесса обработки политик и профилей
- •Клиенты, которые могут использовать групповую политику
- •Сценарии подключения и отключения
- •Сценарии, определенные в рамках пользовательского объекта
- •Сценарии, определенные в рамках групповой политики
- •Делегирование прав на администрирование групповых политик
- •Управление пользовательскими документами и кэшированием на стороне клиента
- •Рекомендации по использованию групповых политик
Сценарии, определенные в рамках групповой политики
Эти сценарии применяются в отношении контейнеров OU. Иными словами, чтобы назначить пользователю сценарий подключения или отключения, следует сделать пользователя членом контейнера OU, для которого определена политика, в рамках которой назначен сценарий подключения или отключения. Этот метод является более гибким. Если вы переводите свою сеть на использование Windows 2003, вы также должны учитывать некоторые другие особенности, связанные со сценариями. Во многих сетях наряду с машинами Windows 2003 используются компьютеры, оснащенные более ранними версиями Windows, по этой причине рекомендуется выполнять обновление сервера, содержащего общую папку NETLOGON, в последнюю очередь. Это связано с тем, что служба репликации, используемая в Windows 2003 (FRS), не совместима со службами репликации NT. Таким образом, обновляя сеть, вы должны быть уверены в том, что абсолютно все клиенты имеют возможность доступа к папке Netlogon и сценариям подключения вне зависимости от того, какую операционную систему они используют. Следует также учитывать, что в Windows NT сценарии подключения работают в контексте безопасности пользователя. В Windows 2003 это справедливо лишь отчасти. В Windows 2003 сценарии, имеющие отношение к пользователю (подключения к системе и отключения от системы), также выполняются в контексте безопасности пользователя, в то время как сценарии, имеющие отношение к компьютеру (начала работы системы и завершения работы системы), выполняются в контексте безопасности LocalSystem.
Делегирование прав на администрирование групповых политик
Возможность управления объектами GPO можно делигировать другим ответственным лицам. Делегирование осуществляется при помощи списков ACL. Списки ACL объекта GPO позволяют назначить в отношении этого объекта разрешения на модификацию этого GPO или на назначение GPO в отношении некоторого контейнера. Таким образом, можно запретить создание неавторизированных объектов GPO. Например, создание и модификацию GPO можно доверить группе администраторов домена, в то время как назначение этих GPO могут осуществлять администраторы отдельных контейнеров OU. Администратор контейнера OU может выбрать наиболее подходящий объект GPO и применить этот GPO в отношении любо-го из подконтрольных ему OU. Однако при этом он не сможет изменить содержимое этого GPO или создать новый GPO.
Управление пользовательскими документами и кэшированием на стороне клиента
Групповая политика позволяет перенаправлять некоторые пользовательские каталоги таким образом, чтобы при обращении к ним пользователь на самом деле обращался к сетевым каталогам или определенным местам локальной файловой системы. Набор папок, которые можно перенаправить таким образом, включает в себя:
Application data
Desktop (Рабочий стол)
My Documents (Мои документы)
My Pictures (Мои рисунки)
Start Menu (Главное меню).
Механизм перенаправления пользовательских папок является частью технологии IntelliMirror, цель которой — обеспечить доступ к рабочим файлам и конфигурационной информации вне зависимости от того, какую рабочую станцию пользователь использует для работы. Как следствие, технология Intellimirror обеспечивает сохранность пользовательских файлов и конфигурационных данных в случае, если рабочая станция пользователя выходит из строя. Перенаправление каталогов настраивается в разделе User Configuration (конфигурация пользователя) Windows Settings (параметры Windows) Folder Redirection (перенаправление папок) объекта групповой политики. В этом разделе отображаются все ранее перечисленные папки. Чтобы перенаправить одну из этих папок в новое место, правой кнопкой мыши щелкните на ее имени и в появившемся меню выберите пункт Properties (Свойства).
На вкладке Target (Цель) вы можете выбрать один из трех вариантов перенаправления пользовательской папки.
No administrative policy specified (административная политика не назначена).
Basic (базовый). Перенаправляет папку в новое место вне зависимости от того, к какой группе принадлежит пользователь. Новое место должно быть указано с использованием формата UNC. При указании нового места можно использовать такие переменные, как %username%. Таким образом, для разных пользователей папка может быть перенаправлена в разные каталоги, однако все эти каталоги должны располагаться в одной и той же сетевой папке общего доступа.
Advanced (усложненный). Для разных групп пользователей можно указать разные местоположения папки. Для разных групп можно указать различные UNC-имена. Соответствующие папки могут располагаться на разных серверах.