Объекты групповой политики Адм в ИС ФКН ВГУ 2012

Primary tabs

vedro-compota's picture
Submitted by vedro-compota on Fri, 11/30/2012 - 02:17

Forums:

Объекты групповой политики

Объекты групповой политики (GPO – Group Policy Objects) представляют собой набор конфигурационных параметров операционной системы и ее приложений.

Существуют два типа GPO (object gruppovoy politiki):

  1. • AD GPO могут быть ассоциированы с объектами каталога контейнерного типа: домен, организационная единица, сайт.
  2. • Локальные GPO – хранятся на каждом компьютере. Поддерживают сокращенный набор настроек, имеют наименьший приоритет, если компьютер включен в домен.

• %systemroot%\system32\GroupPolicy
Хранение элементов GPO:

Существуют два вида параметров групповой политики:

  1. конфигурационные параметры компьютера
  2. и пользовательские параметры.

Порядок применения GPO:

  1. • GPO уровня узла
  2. • GPO уровня сайта
  3. • GPO уровня домена
  4. • GPO уровня организационных единиц.

На порядок применения можно влиять с помощью =

  • запрещения наследования (Block Inheritance) для домена или OU,
  • запрещения перекрытия (No override, enforced)
  • и замыкания на себя (loopback,

элемент политики: UserGroupPolicyLoopbackProcessingMode в Сomputer Configuration\Administrative Templates\System\Group Policy).
Кроме того, применением GPO можно управлять с помощью т.н. “Security filtering”.

Разрешение конфликта двух политик

Представьте, что некоторый параметр (например, logon banner — графическая заставка при подключении) определен как в политике Р3, так и в политике P1.
При этом значение параметра, заданное в политике Р3, отличается от значения, заданного в политике Р1. Какое значение будет присвоено параметру в результате применения обеих этих политик?
В подобной ситуации параметру объекта присваивается значение, извлеченное из GPO, который находится к объекту ближе всего.
Таким образом, в рассмотренной ситуации параметру logon banner будет присвоено значение, извлеченное из политики Р1.

Наследование параметров GPO

Наследуются параметры, которые определены для родительского контейнера, но не определены для дочернего. В случае множества значений параметра, настройки родительского GPO дополняют GPO дочернего.

Последовательность применения политик при загрузке ОС и входе пользователя:

  1. • Запуск службы MS RPC
  2. • Загрузка списка GPO с DC
  3. Применение конфигурационных параметров в порядке:
    1. локальный GPO,
    2. GPO сайта,
    3. GPO домена,
    4. GPO подразделения
  4. • Выполнение сценариев (по умолчанию таймаут 10 минут)
  5. • Приглашение ко входу в систему, вход
  6. • Загрузка списка GPO пользователя
  7. • Применение конфигурационных параметров пользователя
  8. • Отображается пользовательский интерфейс.


Схемы организации GPO =

  1. • Однородная
  2. • Комбинированная
  3. • Раздельная

Многоуровневая и единая структура ОГП ( = GPO)

Могут использоваться различные стратегии по организации GPO: многоуровневая (хранение централизованное) и единая (хранение распределенное) структура ОГП.

Многоуровневая: Базовой-

  1. Engineering GPO
  2. - Research GPO
  3. - Sales GPO

Единая: Отсутствует GPO -

  • Engineering GPO
  • - Research GPO
  • - Sales GPO

Расположение параметров политик:

Реестр (registry) - иерархическая БД, состоящая из т.н. «ульев» или «кустов» (англ. hives).

Куст =

  • содержит ключи, подключи и значения параметров.
  • Каждый куст содержится в файле %systernгооt%\config.
  • Редактируется программой regedit.

Установка ПО с помощью Групповых Политик:

Администраторы размещают ПО в объекты групповой политики (GPO):

  1. • сайты (sites);
  2. • домены (domains);
  3. • организационные единицы (OU).

Два способа установки ПО:

  1. Публикация (publish) для пользователей, дает возможность пользователю удалить ПО и используется, в основном, для неосновного ПО.
  2. • Назначение (assign) для пользователей или для компьютеров, гарантирует восстановление ПО, даже в случае деинсталяции пользователем и используется для основного ПО.

ПО, не входящее в состав MS Windows, или устаревшее, поставляемое не в msi пакетах, может быть установлено с помощью zap-файла (ZAW down-level Applications Package)

zap-файл – текстовый файл, который содержит информацию о порядке установки ПО.

Административные шаблоны (Administrative Templates):

  1. • Административный шаблон представляет собой текстовый файл *.adm (на языке ADM) в Unicode и хранится в папке %SystemRoot%\inf (например, system.adm). Файл содержит перечисление ключей и параметров реестра.
  2. • AT позволяют администратору посредством групповой политики конфигурировать hives HKLM и HKCU системного реестра компьютеров домена.
  3. • Обычно используются ветви HKLM\Software\Policies (управление параметрами компьютера) и HKCU\Software\Policies (управление средой пользователей).
  4. \Policies очищаются системой при каждом применении или отзыве объекта групповой политики. В случае, когда компьютер не подпадает под действие ни одного объекта групповой политики, для настройки системы используются стандартные значения параметров, определенных в соответствующих ключах реестра.

Примеры АТ (Поставляемые шаблоны (каталог %SystemRoot%\inf) с ОС W2K3):

  1. Common.adm Административный шаблон, используемый для настройки параметров системы на Windows 9х/NТ-клиентах.
  2. Conf.adm Административный шаблон, используемый для настройки NetMeeting .
  3. Inetcorp.adm Административный шаблон, используемый для настройк браузера Internet Explorer для работы в корпоративной среде .
  4. Inetres.adm Административный шаблон, используемый для настройки ограничений браузера Internet Explorer
  5. • Inetset.adm Административный шаблон, используемый для настройки браузера Internet Explorer
  6. • System. adm Административный шаблон, используемый для настройки различных параметров системы
  7. • Windows. adm Административный шаблон, используемый для конфигурирования Windows Эх-клиентов
  8. • Winnt.adm Административный шаблон, используемый для конфигурирования Windows NT- клиентов
  9. • Wmplayer.adm Административный шаблон, используемый для настройки приложения Windows Media Player
  10. • Wuau.adm Административный шаблон, используемый для настройки службы автоматического обновления.

Шаблоны безопасности:

Шаблоны безопасности позволяют создавать типовые профили безопасности, соответствующие требованиям организации. Для формирования шаблонов используется консоль «Анализ и настройка безопасности» и готовые шаблоны из %windir%\Security\Templates. Затем шаблон можно импортировать в компонент групповой политики «Параметры безопасности».

Работа с шаблонами групповых политик обычно выполняется в следующей последовательности:

  1. • подготавливаются необходимые шаблоны безопасности;
  2. • создается БД безопасности;
  3. • применяются шаблоны безопасности:
  4. используются: утилита secedit, консоль «Анализ и настройка безопасности» или групповая политика;
  5. • secedit /generaterolleback - шаблон отката

Также для успешной сдачи аттестации очень полезно почтитать следующую лекцию, которую я набирал в своё время:

http://fkn.ktu10.com/?q=node/2918

Key Words for FKN + antitotal forum (CS VSU):

  • Log in to post comments
  • 2777 reads