3(или даже 4-я) лекция ко второй аттестации Адм ИС ФКН ВГУ 2012

(приведу в читабельный вид чуть позже - пока можете почитать pdf)

16.11-2012 Коваль Андрей Сергеевич. Администрирование в ИС 2012

Каталоги

В каталоге могут быть как каталоги групповой политики так и ссылки на них.
Политики состоят из логических разделов:

• 1) Пользовательского
• 2) Компьютерная

(компьютерная и пользовательская конфигурации) Обе эти политики работают только на соответствующие объекты.

Внутри обеих политик есть похожая структура:
1) Шаблоны подразумевают настройки, которые реализованы исключительно через реестр.
Software settings – управляем настройкой программного обеспечения.

Administrative Templates (административные шаблоны)- призваны обеспечить настройку компьютера по некоему лекалу. – такие шаблоны есть как у компьютерной так и пользовательской конфигурации.

Существует интерфейс добавления/удаления шаблонов

Шаблон - это файл который описывает конфигурационные параметры – их значения по умолчанию и их местоположение.

Шаблоны позволяют формализовать процедуру настройки компьютеров подразделений и ввести административный порядок. Описывает виды настроек и их значения - число, символьные строчки и т.д.
Они определяют в том числе и структуры в редакторах групповых политик – то есть в внешний вид их иерархии.

Каждому параметру шаблона соответствует ветка в реестре и какое-то значение в нём.
Групповые политики привязаны к структуре Active Directory/

В реестре пользовательские политики хранят настройки в разделе Current User.

Если нужно выполнить точечную правку рестра – то в файле описывающем шаблон можно поискать элемент полики по названию – просто поиском – и найдя его узнать путь и имя параметра в реестре.

Но если вы не помните, что именно испортили – то придётся целиком удалять каталог.-
Но восстановление удалённого подразумевается в нашей теме именно для шаблонов – а не для всех значений реестра.

Для того, чтобы политику отозвать – нужно удалить её - чтобы отозвать связь с контейнером ,но в некоторых случаях это может не решить проблему с неверными настройками –например может потребоваться рестарт сервисов – поэтому оперативно можно править напрямую через реестр.

Так можно проверять шаблоны в тестовой лаборатории.
А затем такие шаблоны применяются для организации или её части – обычно «приём» этих шаблоном закрепляется приказом о соответствии шаблонам.

В небольших компаниях администратор может использовать шаблоны для унификации настроек.
Шаблон может быть импортирован в политики параметры безопасности.

При удалении шаблонов из Administrative Templates количество настроек уменьшается, что вернуть инструмент в первоначальное состояние следует добавить те шаблоны что ранее использовались.

Шаблон может называться например Windows System Administration
Редактирование шаблонов не влияет на саму политику,

а влияет только на присутствие или отсутствие пунктов меню

– таким образом число параметров можно регулировать.

В 2008 сервере (windows server 2008) шаблоны пишутся на XML - но главное в том, что теперь эти шаблоны хранятся централизовано – в прошлых же версиях когда шаблоны находились в локальной файловой системе, то могла возникнуть ситуация – вы настроили политики доменов используя шаблоны на контроллере домена – а на некоторых машинах в связи с локализацией они могли оказаться на немецком например -
И другие рассогласования среди политик также имели место.

Поставляемые шаблоны

(административные шаблоны, поставляются вместе с системой)
Наиболее распространены:

Common
Conf
Common.adm  Административный шаблон, используемый для настройки параметров системы на 
Windows 9х/NТ-клиентах 
Conf.adm  Административный шаблон, используемый для настройки NetMeeting 
Inetcorp.adm  Административный шаблон, используемый для настройки браузера Internet Explorer для 
работы в корпоративной среде 
Inetres.adm  Административный шаблон, используемый для настройки ограничений браузера Internet 
Explorer 
Inetset.adm  Административный шаблон, используемый для настройки браузера Internet Explorer 
System. adm  Административный шаблон, используемый для настройки различных параметров  System. adm  
Административный шаблон, используемый для настройки различных параметров 
системы 
Windows. adm  Административный шаблон, используемый для конфигурирования Windows Эх-
клиентов 
Winnt.adm  Административный шаблон, используемый для конфигурирования Windows NT-
клиентов 
Wmplayer.adm  Административный шаблон, используемый для настройки приложения Windows Media 
Player 
Wuau.adm  Административный шаблон, используемый для настройки службы автоматического 
обновления 

Так как формат файла открытый – то можно создавать своё собственное меню ниже административных политик – использовать шаблоны можно например вместо "раскидывания" конфигов по сети

Шаблоны безопасности (Security Templates)

Шаблоны безопасности (Security Templates) -НЕ ИМЕЮТ НИКАКОГО ОТНОШЕНИЯ К АДМИНИСТРАТИВНЫМ ШАБЛОНАМ – также имеют отношения к групповым политикам.

Это тоже текстовые файлы, но

они не описывают интерфейс, а задают сами настройки

– в то время как административные шаблоны предоставляют лишь интерфейс для изменения -тогда как шаблон безопасности уже своим появлением вызывают изменение конфигурации системы – после тестирования на ограниченной группе машин они могут быть импортированы в редактор групповой политики.

Import Policy – интерфейс который возможен в узле ,который называется Security Settings/
- Метод применения прост – либо создаётся либо берётся существующий шаблон, а потом через указанный интерфейс импортируется.
- Изготовлением шаблонов занимается в том числе и Microsoft =)
- Secutiry Guide - поставляется вместе с шаблонами . Шаблон может быть для мобильных устройств, серверов, файловых-серверов, контроллеров доменов и т.д.

Начиная с 2008 эти шаблоны убраны из локальной файловой системы, а раньше они находились в Windows Security Templates
Например RootSecurity - настройки связные с доступом к системному диску.

В принципе - все настройки безопасности шаблонов можно проверить – мы можем увидеть наборы параметров и их значений. – а также значений параметров реестра. Эта комплексная настройка системы и называется шаблоном безопасности.

Для тестирования шаблонов разработан целый инструмент = консоль для редактирования шаблонов безопасности (на деле - это окно с GUI -отображает иерархию настроек безопасности – то есть является средством для более удобного преставления данных из текстового файла параметров безопасности)

Желательно создавать копии уже существующих шаблонов при изменении – чтобы была возможно откатить.

Вторая консоль – Security Configuration and Analysis

Чтобы настроить её:
1) Создаём базу настроек безопасности – для хранения используется бинарный нередактируемый формат. Идея заключается в том ,чтобы в базу заложить базовые вещи , а потом и дополнить
2) Таким образом – Security Configuration and Analysis – это инструменты для выбора оптимальной конфигурации безопасности.
На основе какого шаблона создавать эту базу?
Если это рабочая станция, то можно применить Hight Secure Workstation/

После чего создаётся бинарный файл, свойства в котором настроились в соответствие с этим шаблоном. – Поверх можно импортировать другие шаблоны

Далее проводится анализ – текущие параметры текущего компа сличаются с параметрами созданного шаблона – по каждому параметру надо принять решения – надо ли его изменять.

После того как параметры безопасности признаны удовлетворительными делается следующие -
Export Template - на основе содержащихся шаблонов создаётся один шаблон .inf , который можно импортировать в локальную или доменную политику.

SecSett -> Imp policy ->import

Если это локальная политика то изменения произойдут мгновенно, а если это политика доменная - то это 180 минут для тех кто "под контролем" (как максимум) и 5 минут для контроллера домена. – Или же сразу после перезагрузки.

Обратимость и необратимость.

Среди настроек безопасности есть такая вещь как Fie System – возможность через групповую политику задать настройки безопасности – например изменить список доступа для каталога – это приведёт к тому, что порядок доступа к данному компьютеру измениться на всех компьютерах.
- даже если удалить такую политику, настройки всё равно остаются - многие вещи средствами политики отменить невозможно .
Но есть способ ориентированный на утилиты командной строки – позволяет применить создать шаблоны и сформировтаь inf файл – короче всё что надо = называется она secedit(Security edit)=
Волшебный переключатель этой программы – что он делает.- прога берёт изготовленный шаблон – и по ключу формирует антишаблон - это приводит к тому, что формируется противоположный готовящемуся .inf файл

- для отката в этом случае берётся антишабон.

Но есть много неприятных эффектов:
1) Возможно на целевых компах есть особенности
2) Возможно после применения неправильного шаблона пользователи успели что-то накалякать – и если откатиться, то труд пользователей пропадёт зря =)

Методы рассмотренные сегодня относятся к технологиям снижающим затраты на администрирование – то есть здесь пытаются снизить так называемую «стоимость владения».

При использовании групповых политик число администраторов можно уменьшить (глупых админов можно вообще съесть) =))))

Применять данные технологии можно и в других сферах – самое главное – это отказоустойчивая система хранения «настроек».

Можно разбивать компьютеры на пользовательские и компьютерные ресурсы. –в случае если требуется централизованное управление.