раздел —
Предпочтения
. Параметры этого раздела позволяют управлять подклю-
чением дисков, параметрами реестра, локальными пользователями и группами,
службами, файлами и папками.
Главное преимущество раздела
Предпочтения
— легкость назначения параметров
без обращения к каким-либо сценариям, составлению сложных запросов и т. д. Это
позволяет, с одной стороны, облегчить настройку групповой политики, с другой —
упростить структуру службы каталогов, поскольку не понадобится создавать до-
полнительные контейнеры для выборки компьютеров.
Для работы в разделе
Предпочтения
не требуется знать языки программирования,
правила составления запросов в них и т. п., — все операции проводятся при по-
мощи графического интерфейса. При этом возможности отбора крайне велики.
На рис. 6.9 изображен
Редактор нацеливания
, облегчающий настройку предпоч-
тений. Если вы этим заинтересовались, рекомендуем к прочтению статью:
http://habrahabr.ru/post/206744/
.
Рис. 6.9. Редактор нацеливания
260
Глава 6
Рекомендации по применению политик
Главная рекомендация состоит в том, чтобы
не изменять политику по умолчанию
.
Если в политике возникнет какая-либо серьезная ошибка, то возврат к начальному
состоянию приведет к удалению не только последних настроек, но и всех других
параметров, тщательно настраиваемых в течение долгого времени.
Поэтому для основных административных действий по управлению системой соз-
давайте
новые политики
. Тогда для изменения настроек вам будет достаточно
только отключать/включать привязку политик к организационной структуре.
При настройке параметров политик ориентируйтесь на рекомендуемые значения
для конфигураций предприятия (см.
разд. «Начальные объекты групповой полити-
ки» ранее в этой главе
).
Обработка одной политики с большим числом назначенных параметров практиче-
ски не отличается по времени от обработки нескольких политик, в каждой из кото-
рых назначается только часть этих параметров. Поэтому удобнее создавать не-
сколько политик, чем включать все изменения в одну.
Не удаляйте созданные ранее групповые политики — просто отключите привязку
их от объектов службы каталогов. Они могут понадобиться для анализа ситуации
в случае обнаружения каких-либо проблем в дальнейшем.
Если ваши настройки относятся только к параметрам компьютера или только
к пользователю, то не забывайте устанавливать признак применения лишь соответ-
ствующей части политики. Это повысит скорость обработки.
Блокирование запуска нежелательных приложений
с помощью компонента AppLocker
Начиная с Windows 7, для предотвращения запуска нежелательных программ при-
меняется компонент AppLocker, а не политики ограниченного использования про-
грамм, как было ранее.
Запуск нестандартного или неутвержденного программного обеспечения может
изменить желаемое состояние программной конфигурации обычного настольного
компьютера. Пользователи могут загрузить новые программы из Интернета, при-
нести их с собой на сменных носителях, получить программы через torrent-сети
и/или по электронной почте. Все это приводит к росту числа обращений к админи-
стратору, а также к увеличению числа случаев заражения компьютера вирусами и
вредоносными программами. Каждый простой, связанный с неправильной работой
системы после установки стороннего программного обеспечения, снижает эффек-
тивность работы предприятия в целом. Именно поэтому многие предприятия стре-
мятся тщательно контролировать рабочую среду компьютеров своих пользовате-
лей, используя различные схемы блокировки, в том числе — ограничение исполь-
зования учетных записей с правами администратора.
Если пользователь работает в системе с обычными правами, а не с правами адми-
нистратора, то и внести изменения в программную конфигурацию у него не полу-
чится, поскольку он не имеет права устанавливать программы. Однако не нужно
Управление информационной системой
261
забывать, что пользователь может загрузить и запустить так называемые Portable-
версии программ, которые иногда содержат вредоносный код.
В Windows XP и Windows Vista использовались политики ограниченного использо-
вания программ (SRP), которые предоставляли администраторам механизм для оп-
ределения и обеспечения выполнения политик управления приложениями.
Однако в сложной динамичной среде, где установка и обновление приложений вы-
полняется очень часто, управление SRP становится неудобным, поскольку полити-
ки управления приложениями интенсивно используют правила для хэша. Соответ-
ственно, администратору приходится создавать правила хэша при каждом обновле-
нии приложения.
Компонент AppLocker предоставляет простой и гибкий механизм, позволяющий
администраторам точно определять приложения, которые разрешено запускать на
компьютерах предприятия.
С помощью AppLocker администратор может:
предотвращать выполнение уязвимых и заблокированных приложений, в том
числе вредоносных программ;
предотвращать запуск нелицензионного программного обеспечения, если тако-
вое явно не внесено в список разрешенных;
запретить запуск программ (тех же torrent-клиентов), оказывающих негативное
влияние на все предприятие, — например, «узурпирующих» всю пропускную
способность сети;
запретить запуск программ, нарушающих стабильное функционирование на-
стольной системы.
Компонент AppLocker предоставляет два действия: разрешение и запрет, а также
позволяет определить исключения из этих действий, — вы можете создать список
разрешенных и запрещенных программ.
Если ваше предприятие нуждается в подобном компоненте, рекомендуем ознако-
миться со следующими статьями, в которых компонент AppLocker рассматривается
более подробно:
https://technet.microsoft.com/ru-ru/library/dd548340(v=ws.10).aspx
;
http://www.oszone.net/11303/AppLocker
.
Некоторые особенности политики установки
программного обеспечения
С помощью групповых политик можно устанавливать программы на локальные
системы. Использование таких возможностей интуитивно понятно — необходимо
создать соответствующий пакет установки и включить его в групповую политику.
При работе с такими политиками администратору необходимо учесть следующее.
Во-первых, в качестве установочного пакета можно использовать файл либо
в формате MSI, либо в формате ZAP. ZAP-формат используется для продуктов
262
Глава 6
третьих фирм и является текстовым файлом с описанием особенностей предпо-
лагаемой установки. Формат файла приведен в документе KB231747. Мы просто
процитируем часть этой статьи с рекомендациями по созданию соответствую-
щих строк. По приведенному образцу читатель легко сможет создать ZAP-файл
для любой программы.
[Application]
; Only FriendlyName and SetupCommand are required,
; everything else is optional.
; FriendlyName is the name of the program that
; will appear in the software installation snap-in
; and the Add/Remove Programs tool.
; REQUIRED
FriendlyName = "Microsoft Excel 97"
; SetupCommand is the command line used to
; run the program's Setup. With Windows Server 2003
; and later you must specify the fully qualified
; path containing the setup program.
; Long file name paths need to be quoted. For example:
; SetupCommand = "\\server\share\long _ ; folder\setup.exe" /unattend
; REQUIRED SetupCommand = "\\server\share\setup.exe"
; Version of the program that will appear
; in the software installation snap-in and the
; Add/Remove Programs tool.
; OPTIONAL
DisplayVersion = 8.0
; Version of the program that will appear
; in the software installation snap-in and the
; Add/Remove Programs tool.
; OPTIONAL
Publisher = Microsoft
Во-вторых, установка программы должна проводиться в «тихом» режиме, т. е.
без диалога с пользователем. Например, не должен запрашиваться серийный
номер продукта. Подготовка такого инсталляционного пакета в общем случае
является далеко не тривиальной задачей.
В-третьих, установка программ может быть включена в политику как в раздел
Компьютер
, так и в раздел
Пользователь
. В первом случае установка программ
будет проведена на систему, и они будут доступны для любого пользователя.
Обратите внимание, что программы, установленные в режиме
для пользователя
,
обычно не могут быть обновлены с помощью средств автоматического обновле-
ния программного обеспечения. Также следует учитывать возможность работы
подобного пользователя на терминальном сервере. В этом случае администрато-
ру следует либо дорабатывать политику ограничений для терминального серве-
Управление информационной системой
263
ра, либо включать опцию
lookback
(см.
разд. «“Обход” параметров пользова-
теля» ранее в этой главе
), для того чтобы исключить установку программ на
терминале.
П
РИМЕЧАНИЕ
Если политика предусматривает установку программного обеспечения
для компьюте-
ра
из общей сетевой папки, то доступ к такой папке будет осуществляться от имени
компьютера. При назначении прав доступа обратите внимание, что учетные записи
компьютеров не входят в группу пользователей домена, а являются только членами
группы компьютеров домена. Поэтому следует разрешить доступ к подобным общим
папкам, по крайней мере учетным записям, прошедшим проверку (аутентифицирован-
ным пользователям).
Другая особенность использования групповой политики касается режимов уста-
новки:
публикация
или
назначение
.
Опубликованные
программы по умолчанию про-
сто появляются в перечне задач, которые можно установить через задачу
Установ-
ка/удаление программ
в панели управления. В случае использования
назначенных
программ
в меню
Пуск
системы появляется ярлык к ним, при первом вызове кото-
рого осуществляется установка соответствующего программного обеспечения.
Административные шаблоны
Количество регулируемых групповой политикой параметров можно менять. Проще
всего добавлять настройки различных значений реестра системы. Для этого ис-
пользуются
административные шаблоны
.
П
РИМЕЧАНИЕ
По образцу файлов шаблонов администратору легко создать свои дополнительные
настройки, которые он сможет распространить при помощи групповой политики. По-
нятно, что для создания такого файла администратору необходимы соответствующие
знания, которые он может получить из технической документации на операционные
системы и настраиваемое программное обеспечение.
Обычно административные шаблоны копируются на локальный диск после уста-
новки соответствующего программного обеспечения. Поэтому администратору для
добавления нового шаблона достаточно открыть для изменения групповую полити-
ку (с компьютера, на котором установлено приложение) и выполнить операцию
добавления нового шаблона. Другой способ — загрузить административные шаб-
лоны с сайта разработчика (если они там предоставлены) и импортировать их в по-
литику.
В завершение следует настроить необходимые параметры и привязать групповую
политику к соответствующему подразделению.
Утилиты группового управления
Несмотря на большое количество утилит, входящих в состав операционной систе-
мы и пакетов Resource Kit, администраторы обычно предпочитают иметь в запасе
продукты третьих фирм, которые хорошо зарекомендовали себя при разрешении
тех или иных проблем.
264
Глава 6
Профессиональные продукты управления большими сетями: HP Open View,
Unicenter и др. — обычно недоступны администраторам малых и средних сетей из-
за высокой стоимости: их базовые комплекты оцениваются в 20–30 тыс. долларов
без стоимости клиентских лицензий. Поэтому в таких предприятиях управление
сетью строится на использовании отдельных, не интегрированных друг с другом,
комплектов.
Существует много средств, облегчающих выполнение административных задач.
Do'stlaringiz bilan baham: |