Внедрение, управление и поддержка сетевой инфраструктуры MS Windows Server 2003
[+]
Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3515 / 742 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Темы: Сетевые технологии, Операционные системы
Специальности: Архитектор программного обеспечения
Теги: appletalk, BSOD, DFS, EAP, GPOS, MFT, microsoft word, NTLM, PPTP, remote access, tcp-ip, vpn, безопасность, интернет, кластеры, клиенты, компоненты, маршрутизаторы, поиск, политика, приложения, производительность, протоколы, серверы, телефония, теневые копии
Лекция 13:

Использование Group Policy для управления клиентскими и серверными машинами
A
|
версия для печати
< Лекция 12 || Лекция 13: 12345 || Лекция 14 >
Секция Computer Configuration

Эта часть GPO содержит настройки конфигурирования компьютеров, содержащихся в контейнере Active Directory, который присоединен к данному GPO. Эти настройки влияют на всех пользователей такого компьютера. На рис. 13.2 показана раскрытая секция Computer Configuration, где показаны все ваши опции конфигурирования для этого узла. Отмечу, что я разделил снимок экрана на две части и поставил эти части рядом, чтобы вы могли видеть все опции на одной печатной странице.

Теперь рассмотрим группы настроек, содержащихся в секции Computer Configuration.

Настройки ПО (Software Settings)

В этом узле содержится расширение Software Installation. Здесь также содержатся настройки ПО, которые применяются к компьютерам независимо от того, кто выполнил на них вход. Эта папка может также содержать другие настройки, помещаемые сюда пакетами ПО, которые вы развертываете с помощью Group Policy.

Software Installation.Вы используете расширение Software Installation (Установка ПО) для централизованного развертывания, обновления, модернизации и удаления программных приложений без необходимости посещать каждую машину или полагаться на то, что ваши пользователи сами загрузят, обновят или модернизируют нужное им ПО. Вы назначаете приложения компьютеру, чтобы пользователи компьютера получили надежный доступ к нужным приложениям. Эти приложения показаны также в окне Add Or Remove Programs (Установка и удаление программ).

Если вы назначаете пакет ПО компьютерам в сайте, домене или OU, это ПО становится доступно для пользователей при следующей перезагрузке или при следующем входе. Соответствующее приложение может быть также полностью установлено пользователем из меню Start (Пуск), из окна Add Or Remove Programs, с помощью ярлыка рабочего стола или путем открытия документа (по требованию), имеющего расширение имени файла, ассоциированное с этим приложением.

Это ПО может удалить только локальный или сетевой администратор, хотя пользователь может вносить исправления в это ПО. Пользователь может временно удалить это ПО и затем при необходимости снова выполнить его установку. Однако, используя Group Policy, вы гарантируете, что назначенные приложения будут доступны по требованию, даже если их удаляют пользователи, и эти приложения будут доступны снова при следующем входе пользователя или перезагрузке компьютера.

Расширение Software Installation использует пакеты ПО, поддерживающие Windows Installer ( .msi -файлы). Если вам нужно развертывать пакеты ПО, не поддерживающие Windows Installer, то вы будете использовать специальные программы "пакетирования", чтобы создать необходимые .msi -файлы, или создадите простые текстовые .zap -файлы. Файлы Windows Installer ( .msi -файлы) дают много преимуществ по сравнению с .zap -файлами, поэтому используйте по возможности такие файлы.

После того как вы назначили ПО компьютерам в сайте, домене или OU, это ПО автоматически устанавливается при следующей перезагрузке компьютера или входе пользователя. После установки вы можете не беспокоиться, что пользователи удалят (деинсталлируют) его (это может сделать только локальный или сетевой администратор), хотя пользователь может внести в него исправления с помощью средства Repair в окне Add Or Remove Programs.

Настройки Windows (Windows Settings)

Секция Windows Settings имеется в узлах Computer Configuration и User Configuration оснастки GPOE. Настройки Windows Settings в узле Computer Configuration применяются ко всем пользователям целевого компьютера. В эту секцию включены два расширения Security Settings (Настройки безопасности) и Scripts (Скрипты).

Scripts.Вы можете использовать передаваемые с помощью Group Policy скрипты для автоматизации загрузки и завершения работы с помощью расширения Scripts. Эти скрипты выполняются с использованием полномочий Local System.

Для объектов GPO Windows Server 2003 и Windows 2000 вы можете ограничивать эти скрипты с помощью наследования, а также средств WMI Filtering и Security Filtering, как это описано выше в этой лекции.

В Windows Server 2003 включена поддержка WSH (Windows Script Host) - независимого от языков сервера скриптов Windows для 32-битных платформ, включая файлы Visual Basic Scripting Edition ( .vbs -файлы) и JScript ( .js -файлы), а также файлы WSH ( .wsf -файлы). WSH включен в Windows Server 2003 и Windows 2000. Вы можете использовать WSH для запуска скриптов .wsf, .vbs и .js непосредственно на клиентском компьютере или в командной консоли с помощью двойного щелчка на файле скрипта или путем ввода скрипта в командной строке.

Вы можете использовать для создания скриптов любой язык, поддерживаемый WSH. Существует много источников поддержки WSH от поставщиков ПО для языков сценариев, таких как Perl и JavaScript, а также для пакетных файлов (с расширением .bat и .cmd ).

Конфигурируя расширение Group Policy Scripts, вы создаете новые скрипты, которые сохраняются в соответствующей подпапке папки <windir>\System32\ GroupPolicy\Machine\Scripts\. Чтобы сконфигурировать скрипт в объекте GPO, откройте окно Properties, дважды щелкнув на этой настройке, щелкнув на ссылке Properties в описании или щелкнув правой кнопкой на этой настройке и выбрав затем пункт Properties. Появится окно конфигурирования для этой настройки.

Security Settings (Настройки безопасности).Вы используете секцию Security Settings, чтобы конфигурировать защиту компьютеров и вашей сети в целом. Вы можете задавать настройки безопасности для своего сайта, домена или OU любого уровня. В табл. 13.4 показаны типы настроек, которые можно задавать с помощью расширения Group Policy Security Settings в узле Computer Configuration.

Таблица 13.4. Типы настроек Security Settings в узле Computer Configuration, доступные с помощью Group Policy
Тип настроек безопасности Описание
Account Policies (Политики учетных записей) Управляют политиками Password policy, Account Lockout и Kerberos policy. Применяются только на уровне домена. Если они конфигурируются на уровне сайта или OU, то они не обрабатываются и не применяются.
Local Policies (Локальные политики) Управляют политиками Auditing policy (Политика аудита), User Rights assignment (Назначение прав пользователей) и Security options (Параметры безопасности).
Public Key Policies (Политики открытых ключей) Управляют настройками Encrypting File System (Шифрующая файловая система), Automatic Certificate Request settings (Настройки запросов автоматического получения сертификатов), Trusted Root Certification Authorities (Доверяемые корневые центры сертификации) и Enterprise Trust settings (Настройки доверительных отношений предприятия). Активизируют также политику Enterprise Trust для автоматической регистрации пользователей в программах сертификации.
Event Log (Журнал событий) Содержит настройки для журналов событий System и Security. Управляет такими настройками, как размер и хранилище для журналов событий Application, Security и System.
Restricted Groups (Группы с ограниченным доступом) Управление и реализация членства для связанных с безопасностью групп, а также определение дополнительных групп, которым принадлежит такая группа.
System Services (Системные службы) Управление режимом загрузки и полномочиями доступа для системных служб.
Registry (Реестр) Конфигурирование полномочий безопасности для разделов реестра, включая управление доступом, аудит и владение.
File System (Файловая система) Конфигурирование полномочий безопасности для папок и файлов, включая управление доступом, аудит и владение.
Software Restriction Policies (Политики ограничения ПО) Указание программ, запускаемых на компьютерах, а также управление возможностью их запуска. По умолчанию Software Restriction Policies разрешают запускать любые программы с полномочиями User. Вы можете конфигурировать эти полномочия, запрещая, например, запускать любые программы независимо от прав пользователя.
Wireless Network (IEEE 802.11) Policies Конфигурирование настроек для службы Wireless Configuration Service, которая управляет установленными адаптерами беспроводной сети IEEE 802.11.
IPSec Policies Конфигурирование политик Client Policy, Secure Server Policy и Server Policy, а также распространение конфигураций IPSec на компьютерные учетные записи, управляемые данным объектом GPO. В одном GPO может быть назначена только одна политика IPSec. Отметим, что IPSec имеет также в собственную оснастку MMC.

Как можно видеть из этой таблицы, вы можете использовать расширение Group Policy Security Settings для передачи и реализации разнообразных конфигураций безопасности на машинах Windows XP Professional, Windows 2000 и Windows Server 2003. Эти политики безопасности применяются к компьютерам при каждой обработке GPO, который присоединен к контейнеру Active Directory, содержащему эти машины. Некоторые настройки начинают действовать только после перезагрузки. Чтобы определить, какие объекты GPO, содержащие настройки безопасности, были применены при последнем обновлении политик, посмотрите локальный кэш в файлах <windir>\security\templates\policies\gpt*.*. Каждый файл представляет шаблон безопасности в одном GPO, и в этом файле хранится GUID (глобально уникальный идентификатор) для данного GPO.

Настройки Security Settings повышают возможности существующих средств безопасности для остальной части Group Policy, а также вкладок Security окон Properties для файлов, папок, объектов Active Directory и т.д. Отметим, что настройки Security Settings могут отражаться и в реестре, даже если определенная настройка больше не задана в GPO, который применил ее, или сам GPO удален или отсоединен.

Administrative Templates

Большинство людей, когда слышат термин "Group Policy", ассоциируют его с административными шаблонами, которые централизованно конфигурируют реестр клиентских компьютеров. Это расширение применяется в том месте Group Policy, где находятся связанные с реестром административные шаблоны ( .adm -файлы). Примерно 700 уникальных настроек доступны за счет использования .adm -файлов.

Windows Components (Компоненты Windows).Конфигурирование настроек для таких компонентов операционной системы, как NetMeeting, Internet Explorer и Terminal Services.

System (Система).Конфигурирование различных системных компонентов для управления такими средствами, как дисковые квоты, скрипты и вход, а также отчетами об ошибках. Дисковые квоты ограничивают объем пространства на диске, которое может заполняться специальными папками пользователей.

Network (Сеть).Эти настройки позволяют вам конфигурировать компоненты операционной системы, которые связывают клиентскую машину с сетью. Здесь можно указывать первичный суффикс DNS и запрещать пользователям его изменение. Вы можете также конфигурировать в этой секции автономные файлы (Offline Files) и службу SNMP (Simple Network Management Protocol).

Printers (Принтеры).Эта секция содержит много настроек для управления конфигурациями сетевых принтеров и опциями публикования.

User Configuration

Эта часть GPO содержит настройки для конфигурирования пользователей в контейнере Active Directory, который присоединен к этому GPO. На рис. 13.3 показана раскрытая секция User Configuration, где показаны все ваши опции конфигурирования для этого узла. Отмечу, что я разделил снимок экрана на две части и поставил эти части рядом, что вы могли видеть все опции на одной странице.

Теперь рассмотрим группы настроек, содержащихся в секции User Configuration.

Настройки ПО (Software Settings)

В этом узле содержится расширение Software Installation. Здесь также содержатся настройки ПО, которые применяются к пользователям независимо от компьютера, который они используют. Эта папка может также содержать другие настройки, помещаемые сюда пакетами ПО, которые вы развертываете с помощью Group Policy.

Software Installation.Вы используете расширение Software Installation (Установка ПО) для централизованного развертывания, обновления, модернизации и удаления программных приложений без необходимости посещать каждую машину или полагаться на то, что ваши пользователи сами загрузят, обновят или модернизируют нужное им ПО. Вы назначаете или публикуете приложения для пользователей, чтобы они получили надежный доступ к нужным приложениям. Эти приложения показаны также в окне Add Or Remove Programs для инициируемого пользователем обновления, удаления (в случае публикации) или повторной установки.

ПО, опубликованное для пользователей в сайте, домене или OU, можно устанавливать путем открытия документа с ассоциированным расширением имени (если у вас выбран вариант автоматической установки - Auto-Install) или с помощью окна Add Or Remove Programs. Если вы присоединили GPO для развертывания ПО и хотите, чтобы это ПО было доступно сразу, то обновите этот GPO, прежде чем соответствующее приложение появится в окне Add Or Remove Programs. Пользователь может удалить это ПО и в дальнейшем снова установить его, используя Add Or Remove Programs.

Секция User Configuration в Group Policy

увеличить изображение
Рис. 13.3. Секция User Configuration в Group Policy

ПО, назначенное пользователям в сайте, домене или OU, автоматически устанавливается при следующей перезагрузке компьютера или входе пользователя. После установки вы можете не беспокоиться, что пользователи удалят (деинсталлируют) его (это может сделать только локальный или сетевой администратор), хотя пользователь может вносить в него исправления с помощью средства Repair в окне Add Or Remove Programs.

Расширение Software Installation использует пакеты ПО, поддерживающие Windows Installer ( .msi -файлы). Если вам нужно развертывать пакеты ПО, не поддерживающие Windows Installer, то вы будете использовать специальные программы "пакетирования", чтобы создать необходимые .msi -файлы, или создадите простые текстовые .zap -файлы. Файлы Windows Installer ( .msi -файлы) дают много преимуществ по сравнению с .zap -файлами, поэтому используйте по возможности такие файлы.

Дальше >>
< Лекция 12 || Лекция 13: 12345 || Лекция 14 >

Вопросы и ответы

вопросов: 0