Объекты групповой политики Адм в ИС ФКН ВГУ 2012
Primary tabs
Объекты групповой политики
Объекты групповой политики (GPO – Group Policy Objects) представляют собой набор конфигурационных параметров операционной системы и ее приложений.
Существуют два типа GPO (object gruppovoy politiki):
- • AD GPO могут быть ассоциированы с объектами каталога контейнерного типа: домен, организационная единица, сайт.
- • Локальные GPO – хранятся на каждом компьютере. Поддерживают сокращенный набор настроек, имеют наименьший приоритет, если компьютер включен в домен.
• %systemroot%\system32\GroupPolicy
Хранение элементов GPO:
Существуют два вида параметров групповой политики:
- конфигурационные параметры компьютера
- и пользовательские параметры.
Порядок применения GPO:
- • GPO уровня узла
- • GPO уровня сайта
- • GPO уровня домена
- • GPO уровня организационных единиц.
На порядок применения можно влиять с помощью =
- запрещения наследования (Block Inheritance) для домена или OU,
- запрещения перекрытия (No override, enforced)
- и замыкания на себя (loopback,
элемент политики: UserGroupPolicyLoopbackProcessingMode в Сomputer Configuration\Administrative Templates\System\Group Policy).
Кроме того, применением GPO можно управлять с помощью т.н. “Security filtering”.
Разрешение конфликта двух политик
Представьте, что некоторый параметр (например, logon banner — графическая заставка при подключении) определен как в политике Р3, так и в политике P1.
При этом значение параметра, заданное в политике Р3, отличается от значения, заданного в политике Р1. Какое значение будет присвоено параметру в результате применения обеих этих политик?
В подобной ситуации параметру объекта присваивается значение, извлеченное из GPO, который находится к объекту ближе всего.
Таким образом, в рассмотренной ситуации параметру logon banner будет присвоено значение, извлеченное из политики Р1.
Наследование параметров GPO
Наследуются параметры, которые определены для родительского контейнера, но не определены для дочернего. В случае множества значений параметра, настройки родительского GPO дополняют GPO дочернего.
Последовательность применения политик при загрузке ОС и входе пользователя:
- • Запуск службы MS RPC
- • Загрузка списка GPO с DC
- • Применение конфигурационных параметров в порядке:
- локальный GPO,
- GPO сайта,
- GPO домена,
- GPO подразделения
- • Выполнение сценариев (по умолчанию таймаут 10 минут)
- • Приглашение ко входу в систему, вход
- • Загрузка списка GPO пользователя
- • Применение конфигурационных параметров пользователя
- • Отображается пользовательский интерфейс.
Схемы организации GPO =
- • Однородная
- • Комбинированная
- • Раздельная
Многоуровневая и единая структура ОГП ( = GPO)
Могут использоваться различные стратегии по организации GPO: многоуровневая (хранение централизованное) и единая (хранение распределенное) структура ОГП.
Многоуровневая: Базовой-
- Engineering GPO
- - Research GPO
- - Sales GPO
Единая: Отсутствует GPO -
- Engineering GPO
- - Research GPO
- - Sales GPO
Расположение параметров политик:
Реестр (registry) - иерархическая БД, состоящая из т.н. «ульев» или «кустов» (англ. hives).
Куст =
- содержит ключи, подключи и значения параметров.
- Каждый куст содержится в файле %systernгооt%\config.
- Редактируется программой regedit.
Установка ПО с помощью Групповых Политик:
Администраторы размещают ПО в объекты групповой политики (GPO):
- • сайты (sites);
- • домены (domains);
- • организационные единицы (OU).
Два способа установки ПО:
- • Публикация (publish) для пользователей, дает возможность пользователю удалить ПО и используется, в основном, для неосновного ПО.
- • Назначение (assign) для пользователей или для компьютеров, гарантирует восстановление ПО, даже в случае деинсталяции пользователем и используется для основного ПО.
ПО, не входящее в состав MS Windows, или устаревшее, поставляемое не в msi пакетах, может быть установлено с помощью zap-файла (ZAW down-level Applications Package)
zap-файл – текстовый файл, который содержит информацию о порядке установки ПО.
Административные шаблоны (Administrative Templates):
- • Административный шаблон представляет собой текстовый файл *.adm (на языке ADM) в Unicode и хранится в папке %SystemRoot%\inf (например, system.adm). Файл содержит перечисление ключей и параметров реестра.
- • AT позволяют администратору посредством групповой политики конфигурировать hives HKLM и HKCU системного реестра компьютеров домена.
- • Обычно используются ветви HKLM\Software\Policies (управление параметрами компьютера) и HKCU\Software\Policies (управление средой пользователей).
- • \Policies очищаются системой при каждом применении или отзыве объекта групповой политики. В случае, когда компьютер не подпадает под действие ни одного объекта групповой политики, для настройки системы используются стандартные значения параметров, определенных в соответствующих ключах реестра.
Примеры АТ (Поставляемые шаблоны (каталог %SystemRoot%\inf) с ОС W2K3):
- • Common.adm Административный шаблон, используемый для настройки параметров системы на Windows 9х/NТ-клиентах.
- • Conf.adm Административный шаблон, используемый для настройки NetMeeting .
- • Inetcorp.adm Административный шаблон, используемый для настройк браузера Internet Explorer для работы в корпоративной среде .
- • Inetres.adm Административный шаблон, используемый для настройки ограничений браузера Internet Explorer
- • Inetset.adm Административный шаблон, используемый для настройки браузера Internet Explorer
- • System. adm Административный шаблон, используемый для настройки различных параметров системы
- • Windows. adm Административный шаблон, используемый для конфигурирования Windows Эх-клиентов
- • Winnt.adm Административный шаблон, используемый для конфигурирования Windows NT- клиентов
- • Wmplayer.adm Административный шаблон, используемый для настройки приложения Windows Media Player
- • Wuau.adm Административный шаблон, используемый для настройки службы автоматического обновления.
Шаблоны безопасности:
Шаблоны безопасности позволяют создавать типовые профили безопасности, соответствующие требованиям организации. Для формирования шаблонов используется консоль «Анализ и настройка безопасности» и готовые шаблоны из %windir%\Security\Templates. Затем шаблон можно импортировать в компонент групповой политики «Параметры безопасности».
Работа с шаблонами групповых политик обычно выполняется в следующей последовательности:
- • подготавливаются необходимые шаблоны безопасности;
- • создается БД безопасности;
- • применяются шаблоны безопасности:
- используются: утилита secedit, консоль «Анализ и настройка безопасности» или групповая политика;
- • secedit /generaterolleback - шаблон отката
Также для успешной сдачи аттестации очень полезно почтитать следующую лекцию, которую я набирал в своё время:
http://fkn.ktu10.com/?q=node/2918
- Log in to post comments
- 2777 reads