Изменения групповой политики в Vista

Опубликовано: 11 Апреля, 2023

Мне, как самому ценному профессионалу Microsoft (MVP) в области групповой политики, всегда приятно видеть новые изменения, улучшения и функции, связанные с групповой политикой, от Microsoft. С приближением выпуска новейшей операционной системы Microsoft, Vista, на горизонте, Microsoft готовится внести еще несколько радикальных и удивительных изменений в групповую политику. В качестве инструктора и консультанта по Active Directory и групповой политике в течение последних 6 лет я считаю эти изменения долгожданным дополнением. Причина в том, что мне больше не нужно будет подводить людей (или указывать им на сторонние решения расширения групповой политики), когда они спрашивают меня, может ли групповая политика решить проблемы, связанные с параметрами питания, управлением принтером и управлением устройствами. Другие новые функции групповой политики в Vista включают в себя сетевое расположение и новый подход к шаблонам ADM.


Новые настройки групповой политики в Vista


Это не похоже на то, что Windows XP Professional Service Pack 2 добавила достаточно настроек в групповую политику, Vista приходит с еще большим количеством новых настроек в групповой политике. В объекте групповой политики, созданном для компьютера с Windows Vista, будет примерно 2400 возможных параметров. При этом добавляется всего около 800 параметров, что вдвое меньше, чем в пакете обновления 2 (SP2) для Windows XP. Многие параметры добавляются в ответ на запросы клиентов, в то время как другие предназначены для поддержки новых функций, которые будут включены в пакет обновления 2. Виста. Некоторые из наиболее важных дополнений перечислены в следующих областях.


Управление энергопотреблением


Безусловно, область конфигурации номер один, которую люди хотели получить с момента появления групповой политики, — это возможность контролировать управление питанием. Наконец, Microsoft добавила эту возможность в Windows Vista. Причины для контроля энергопотребления могут оказать непосредственное влияние на компании, поскольку как Microsoft, так и EPA протестировали и сообщили, что вы можете сэкономить более 50 долларов США на один компьютер в год, установив параметры управления питанием на настольных компьютерах. Идея проста: нет причин держать компьютер в состоянии полной мощности, когда конечный пользователь даже не на работе. До появления Vista компаниям приходилось использовать продукты DesktopStandard и Full Armor для управления питанием Windows 2000 и XP.


Элементы управления установкой устройства


Большинство ИТ-специалистов, работающих в сфере безопасности своей компании, очень обеспокоены съемными носителями информации. Эти устройства представляют надвигающуюся угрозу для рабочего стола и сети в целом. Без контроля над установкой и использованием этих устройств пользователи могут внедрять вирусы, черви и другие вредоносные программы с помощью этих носителей. Vista будет включать настройки, позволяющие контролировать установку и использование USB-накопителей, CD-RW, DVD-RW и других съемных носителей.


Настройки безопасности


В Vista Microsoft объединила две технологии, связанные с безопасностью: межсетевой экран и IPSec. Это имеет смысл для защиты компьютеров с помощью IPSec внутри брандмауэра. Защита может быть обеспечена для обмена данными между серверами через Интернет, контролируя, к каким ресурсам компьютер может получить доступ в сети, в зависимости от состояния компьютера, и доступ к ресурсам на основе некоторых нормативных требований. Поскольку эти параметры безопасности важны для каждого компьютера, вполне логично, что для них есть параметры в групповой политике.


Назначение принтера в зависимости от местоположения


Управление принтером — это кошмар почти для каждой компании и сетевого администратора. В большинстве компаний, использующих целую бригаду портативных компьютеров, управление принтером становится еще более сложным, поскольку пользователи перемещаются из здания в здание или из одного здания в другое. Vista решает эту проблему, позволяя настраивать принтеры на основе текущего сайта Active Directory, к которому принадлежит компьютер. Поскольку сайты Active Directory обычно отображают географическую или физическую топологию сети, это создает идеальное решение для доставки принтеров пользователям ноутбуков. До появления Vista компаниям приходилось использовать продукты DesktopStandard и Full Armor для управления принтерами для Windows 2000 и XP.


Редизайн шаблонов ADM


Если вы администрируете групповую политику в своей компании, вы, скорее всего, сталкивались лицом к лицу с шаблоном ADM. Эти шаблоны ADM были впервые представлены в Windows NT4 с использованием языка разметки для определения и реализации изменений в реестре. С введением групповой политики концепция шаблона ADM не изменилась, хотя и появились некоторые новые возможности. Шаблоны ADM предоставляют необходимый метод для изменения значений реестра, но имеют свои проблемы, в том числе:



  • Раздувание ADM, вызванное дублированием шаблонов ADM в каждом GPO.
  • Несоответствие версии шаблона ADM, часто вызванное внедрением пакета обновлений в среду на одном или нескольких компьютерах.
  • Запутанные настройки «политик» или «предпочтений», в зависимости от того, какая часть реестра изменяется.
  • Невозможность контролировать многострочные или двоичные значения реестра.

Microsoft знает, что шаблоны ADM на самом деле являются временной задержкой для ваших потребностей во «взломе» реестра, но до Vista они хорошо справлялись со своей задачей. В Vista большинство этих проблем решается преобразованием шаблонов ADM в новый формат на основе XML, а также введением репозитория для шаблонов. Новые форматированные файлы на основе XML будут называться ADMX-файлами, что позволит обращаться к разным языкам в одном файле. Файлы ADMX также берут большие, громоздкие шаблоны ADM и разбивают их на более мелкие, более управляемые файлы ADMX.


Одной из моих любимых особенностей Vista является введение центрального хранилища ADMX. Это обеспечит централизованный метод обновления, хранения и управления файлами ADMX. Файлы ADMX больше не нужно хранить в каждом объекте групповой политики. Вместо этого каждый объект групповой политики будет искать файлы ADMX в центральном хранилище. Это позволит сэкономить место на контроллерах домена и упростить управление этими файлами.


Осведомленность о сетевом расположении


Групповая политика и применение параметров в объектах групповой политики в значительной степени зависят от доступности сети, а также от скорости подключения к сети. В Vista реализован новый подход к осведомленности о сети, позволяющий сократить время загрузки и повысить надежность применения политик. В Windows Vista реализованы следующие области сетевой осведомленности:



  • Когда компьютер загружается, время, затрачиваемое на применение политики, даже если сеть еще недоступна, может быть устрашающим. Vista предоставит приложению групповой политики индикаторы того, включена ли сетевая карта или отключена, а также индикаторы доступности сети.
  • Vista предоставит клиенту возможность определять, когда контроллер домена доступен или когда он снова становится доступным после периода отсутствия в сети. Это идеально подходит для подключений удаленного доступа, например коммутируемого доступа и VPN.
  • Больше не будет полагаться на ICMP (PING) для определения скорости соединения с компьютером. Это было необходимо для медленных сетевых подключений, но если ICMP был отключен по соображениям безопасности, компьютер отклонил запрос PING, что привело к сбою приложения групповой политики. Теперь информация о сетевом расположении обрабатывает определение пропускной способности, что позволяет успешно обновлять политику.

Вывод


Приближается Windows Vista. Нет никаких сомнений в том, что он будет доступен у вашего ближайшего поставщика в ближайшие месяцы (хорошо, несколько ближайших месяцев). Когда он прибудет, вам нужно знать преимущества, которые он может предоставить вашей компании. Поскольку групповая политика продолжает расти и на нее все больше и больше полагаются, вам необходимо убедиться, что вы идете в ногу с изменениями, которые вносятся в Windows Vista. Изменения в одних случаях разительны, а в других — незаметны, но важны. С 800 новыми настройками вам нужно будет понять, какие из них могут лучше всего повлиять на вашу сеть. Безусловно, настройки управления питанием, устройств, безопасности и принтеров окажут непосредственное и плодотворное влияние на вашу компанию. Возврат инвестиций в Vista можно быстро окупить. Изменения шаблонов ADM в файлы ADMX также радикальны и очень полезны. Новые файлы ADMX будут проще в управлении и обеспечат лучший контроль для предприятия благодаря центральному репозиторию. Наконец, информация о сетевом местоположении будет полезным дополнением, позволяющим снизить количество сбоев групповой политики, основанной на стандартной сетевой архитектуре Windows 2000 и XP.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023