Самоучитель системного администратора. 5-е издание

260 
Глава 6 
Рекомендации по применению политик 
Главная рекомендация состоит в том, чтобы 
не изменять политику по умолчанию
. 
Если в политике возникнет какая-либо серьезная ошибка, то возврат к начальному 
состоянию приведет к удалению не только последних настроек, но и всех других 
параметров, тщательно настраиваемых в течение долгого времени. 
Поэтому для основных административных действий по управлению системой соз-
давайте 
новые политики
. Тогда для изменения настроек вам будет достаточно 
только отключать/включать привязку политик к организационной структуре. 
При настройке параметров политик ориентируйтесь на рекомендуемые значения 
для конфигураций предприятия (см. 
разд. «Начальные объекты групповой полити-
ки» ранее в этой главе
). 
Обработка одной политики с большим числом назначенных параметров практиче-
ски не отличается по времени от обработки нескольких политик, в каждой из кото-
рых назначается только часть этих параметров. Поэтому удобнее создавать не-
сколько политик, чем включать все изменения в одну. 
Не удаляйте созданные ранее групповые политики — просто отключите привязку 
их от объектов службы каталогов. Они могут понадобиться для анализа ситуации
в случае обнаружения каких-либо проблем в дальнейшем. 
Если ваши настройки относятся только к параметрам компьютера или только
к пользователю, то не забывайте устанавливать признак применения лишь соответ-
ствующей части политики. Это повысит скорость обработки. 
Блокирование запуска нежелательных приложений 
с помощью компонента AppLocker 
Начиная с Windows 7, для предотвращения запуска нежелательных программ при-
меняется компонент AppLocker, а не политики ограниченного использования про-
грамм, как было ранее. 
Запуск нестандартного или неутвержденного программного обеспечения может 
изменить желаемое состояние программной конфигурации обычного настольного 
компьютера. Пользователи могут загрузить новые программы из Интернета, при-
нести их с собой на сменных носителях, получить программы через torrent-сети 
и/или по электронной почте. Все это приводит к росту числа обращений к админи-
стратору, а также к увеличению числа случаев заражения компьютера вирусами и 
вредоносными программами. Каждый простой, связанный с неправильной работой 
системы после установки стороннего программного обеспечения, снижает эффек-
тивность работы предприятия в целом. Именно поэтому многие предприятия стре-
мятся тщательно контролировать рабочую среду компьютеров своих пользовате-
лей, используя различные схемы блокировки, в том числе — ограничение исполь-
зования учетных записей с правами администратора. 
Если пользователь работает в системе с обычными правами, а не с правами адми-
нистратора, то и внести изменения в программную конфигурацию у него не полу-
чится, поскольку он не имеет права устанавливать программы. Однако не нужно 

Управление информационной системой 
261 
забывать, что пользователь может загрузить и запустить так называемые Portable-
версии программ, которые иногда содержат вредоносный код. 
В Windows XP и Windows Vista использовались политики ограниченного использо-
вания программ (SRP), которые предоставляли администраторам механизм для оп-
ределения и обеспечения выполнения политик управления приложениями. 
Однако в сложной динамичной среде, где установка и обновление приложений вы-
полняется очень часто, управление SRP становится неудобным, поскольку полити-
ки управления приложениями интенсивно используют правила для хэша. Соответ-
ственно, администратору приходится создавать правила хэша при каждом обновле-
нии приложения. 
Компонент AppLocker предоставляет простой и гибкий механизм, позволяющий 
администраторам точно определять приложения, которые разрешено запускать на 
компьютерах предприятия. 
С помощью AppLocker администратор может: 
предотвращать выполнение уязвимых и заблокированных приложений, в том 
числе вредоносных программ; 
предотвращать запуск нелицензионного программного обеспечения, если тако-
вое явно не внесено в список разрешенных; 
запретить запуск программ (тех же torrent-клиентов), оказывающих негативное 
влияние на все предприятие, — например, «узурпирующих» всю пропускную 
способность сети; 
запретить запуск программ, нарушающих стабильное функционирование на-
стольной системы. 
Компонент AppLocker предоставляет два действия: разрешение и запрет, а также 
позволяет определить исключения из этих действий, — вы можете создать список 
разрешенных и запрещенных программ. 
Если ваше предприятие нуждается в подобном компоненте, рекомендуем ознако-
миться со следующими статьями, в которых компонент AppLocker рассматривается 
более подробно:
https://technet.microsoft.com/ru-ru/library/dd548340(v=ws.10).aspx
; 
http://www.oszone.net/11303/AppLocker
.
Некоторые особенности политики установки 
программного обеспечения 
С помощью групповых политик можно устанавливать программы на локальные 
системы. Использование таких возможностей интуитивно понятно — необходимо 
создать соответствующий пакет установки и включить его в групповую политику. 
При работе с такими политиками администратору необходимо учесть следующее. 
Во-первых, в качестве установочного пакета можно использовать файл либо
в формате MSI, либо в формате ZAP. ZAP-формат используется для продуктов 

262 
Глава 6 
третьих фирм и является текстовым файлом с описанием особенностей предпо-
лагаемой установки. Формат файла приведен в документе KB231747. Мы просто 
процитируем часть этой статьи с рекомендациями по созданию соответствую-
щих строк. По приведенному образцу читатель легко сможет создать ZAP-файл 
для любой программы. 
[Application] 
; Only FriendlyName and SetupCommand are required, 
; everything else is optional. 
; FriendlyName is the name of the program that 
; will appear in the software installation snap-in 
; and the Add/Remove Programs tool. 
; REQUIRED 
FriendlyName = "Microsoft Excel 97" 
; SetupCommand is the command line used to 
; run the program's Setup. With Windows Server 2003 
; and later you must specify the fully qualified 
; path containing the setup program. 
; Long file name paths need to be quoted. For example: 
; SetupCommand = "\\server\share\long _ ; folder\setup.exe" /unattend 
; REQUIRED SetupCommand = "\\server\share\setup.exe" 
; Version of the program that will appear 
; in the software installation snap-in and the 
; Add/Remove Programs tool. 
; OPTIONAL 
DisplayVersion = 8.0 
; Version of the program that will appear 
; in the software installation snap-in and the 
; Add/Remove Programs tool. 
; OPTIONAL 
Publisher = Microsoft 
Во-вторых, установка программы должна проводиться в «тихом» режиме, т. е. 
без диалога с пользователем. Например, не должен запрашиваться серийный 
номер продукта. Подготовка такого инсталляционного пакета в общем случае 
является далеко не тривиальной задачей. 
В-третьих, установка программ может быть включена в политику как в раздел 
Компьютер
, так и в раздел 
Пользователь
. В первом случае установка программ 
будет проведена на систему, и они будут доступны для любого пользователя. 
Обратите внимание, что программы, установленные в режиме 
для пользователя
, 
обычно не могут быть обновлены с помощью средств автоматического обновле-
ния программного обеспечения. Также следует учитывать возможность работы 
подобного пользователя на терминальном сервере. В этом случае администрато-
ру следует либо дорабатывать политику ограничений для терминального серве-

Управление информационной системой 
263 
ра, либо включать опцию 
lookback
(см. 
разд. «“Обход” параметров пользова-
теля» ранее в этой главе
), для того чтобы исключить установку программ на 
терминале. 
П
РИМЕЧАНИЕ
Если политика предусматривает установку программного обеспечения 
для компьюте-
ра
из общей сетевой папки, то доступ к такой папке будет осуществляться от имени 
компьютера. При назначении прав доступа обратите внимание, что учетные записи 
компьютеров не входят в группу пользователей домена, а являются только членами 
группы компьютеров домена. Поэтому следует разрешить доступ к подобным общим 
папкам, по крайней мере учетным записям, прошедшим проверку (аутентифицирован-
ным пользователям). 
Другая особенность использования групповой политики касается режимов уста-
новки: 
публикация
или 
назначение
. 
Опубликованные
программы по умолчанию про-
сто появляются в перечне задач, которые можно установить через задачу 
Установ-
ка/удаление программ
в панели управления. В случае использования 
назначенных 
программ
в меню 
Пуск
системы появляется ярлык к ним, при первом вызове кото-
рого осуществляется установка соответствующего программного обеспечения. 
Административные шаблоны 
Количество регулируемых групповой политикой параметров можно менять. Проще 
всего добавлять настройки различных значений реестра системы. Для этого ис-
пользуются 
административные шаблоны
. 
П
РИМЕЧАНИЕ
По образцу файлов шаблонов администратору легко создать свои дополнительные 
настройки, которые он сможет распространить при помощи групповой политики. По-
нятно, что для создания такого файла администратору необходимы соответствующие 
знания, которые он может получить из технической документации на операционные 
системы и настраиваемое программное обеспечение. 
Обычно административные шаблоны копируются на локальный диск после уста-
новки соответствующего программного обеспечения. Поэтому администратору для 
добавления нового шаблона достаточно открыть для изменения групповую полити-
ку (с компьютера, на котором установлено приложение) и выполнить операцию 
добавления нового шаблона. Другой способ — загрузить административные шаб-
лоны с сайта разработчика (если они там предоставлены) и импортировать их в по-
литику. 
В завершение следует настроить необходимые параметры и привязать групповую 
политику к соответствующему подразделению. 
Утилиты группового управления 
Несмотря на большое количество утилит, входящих в состав операционной систе-
мы и пакетов Resource Kit, администраторы обычно предпочитают иметь в запасе 
продукты третьих фирм, которые хорошо зарекомендовали себя при разрешении 
тех или иных проблем. 

264 
Глава 6 
Профессиональные продукты управления большими сетями: HP Open View, 
Unicenter и др. — обычно недоступны администраторам малых и средних сетей из-
за высокой стоимости: их базовые комплекты оцениваются в 20–30 тыс. долларов 
без стоимости клиентских лицензий. Поэтому в таких предприятиях управление 
сетью строится на использовании отдельных, не интегрированных друг с другом, 
комплектов. 
Существует много средств, облегчающих выполнение административных задач. 

Download 19,93 Mb.

Do'stlaringiz bilan baham: