Применение групповой политики Windows XP в домене Windows 2000 (часть 1)
«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».
Введение в объекты групповой политики
Что такое объект групповой политики? GPO означает объект групповой политики, и прежде чем мы перейдем к тому, что это за объекты, давайте рассмотрим, что такое политика и почему это важно понимать в мире сетей и безопасности Windows. В полиции нет ничего нового. Poledit была старой утилитой, использовавшейся в системах Windows 9x для применения набора параметров конфигурации к ПК, которые ограничивали бы пользователей от действий или просмотра вещей. Поскольку это было настолько эффективно, как только Microsoft перешла на Active Directory, это позволило пользователям входить в домен и массово получать те же самые типы параметров конфигурации. Другими словами, вы могли бы сказать, что каждый в группе финансов должен получить минимальную длину пароля не менее 8 символов, все, кто был частью этой группы и вошел в систему, будут применять эту политику к ним. Объекты групповой политики — это созданные объекты, содержащие все эти настройки. Это значительно упрощает управление изменениями.
Примечание:
Управление изменениями — это не что иное, как действующая система, которая безопасно управляет постоянными изменениями в мире информационных технологий. (Пример: развертывание политик, развертывание пакетов обновления и т. д.).
Таким образом, групповая политика — это то, что используется для определения конфигураций для пользователей и компьютеров. Политики называются объектами (GPO), потому что после создания в Active Directory они представляют собой объекты, которые можно назначать другим объектам, таким как сайты, домены или организационные единицы (OU). Операция проста; примените GPO к OU, и каждый объект в этом OU будет иметь эти политики GPO, отфильтрованные до объектов в этом OU. Это позволяет очень легко управлять изменениями. Это также обеспечивает дополнительную безопасность. Почему? Если вам нужно внести изменения в систему безопасности для каждого пользователя в OU, и у вас есть 500 пользователей в этом OU, вы можете сделать ошибку или пропустить что-то при применении фильтров GPO ко всему OU, ничего не пропустив, и если произойдет ошибка, вы будете изменены из него.
Введение в GPO с XP
В Windows XP представлены новые параметры использования групповой политики, которых не было в версии 2000, поэтому в этой статье рассказывается, как использовать XP с 2000 и групповой политикой. Это означает, что контроллеры домена Windows 2000 передают политики в Windows XP, если они правильно настроены. Это означает, что если вы хотите использовать Windows 2000 и обновлять с ее помощью системы XP, вы должны отредактировать объект групповой политики в системе Windows XP. Возникает вопрос: что, если я создам объект групповой политики на машине XP и объект групповой политики на машине 2000… как это повлияет на контейнер со смешанными системами? Это означает, что OU со смешанными XP и 2000 клиентами, как это будет работать? Что ж, если вы создадите объект групповой политики на XP и примените его, клиенты 2000 будут игнорировать любые настройки, специфичные для XP.
Настройка MMC с помощью групповой политики
Теперь, когда мы рассмотрели групповую политику и то, что в ней важно применительно к XP, давайте посмотрим, как ее настроить, чтобы вы могли использовать объект групповой политики. В этой статье мы расскажем о GPO и о том, как настроить вашу систему для использования GPO.
1. Запустите консоль управления Microsoft (mmc.exe)
2. Выберите «Файл» => «Добавить/удалить оснастку».
3. После того, как вы выберете добавление и удаление оснастки, вы увидите диалоговое окно «Добавить/удалить оснастку».
4. Нажмите Добавить
5. Выберите «Групповая политика» в диалоговом окне «Добавить автономную оснастку».
6. Нажмите Добавить
7. После того, как вы нажмете «Добавить», откроется диалоговое окно «Выбрать объект групповой политики». Вы можете либо выбрать локальный компьютер, либо перейти к другому компьютеру в домене. Для целей этого упражнения вы можете выбрать Локальный компьютер, но мы продолжим показывать вам шаги по поиску удаленного компьютера.
8. Чтобы изменить и отредактировать другой объект групповой политики, нажмите кнопку Обзор. Когда вы это сделаете, вам будет предложено просмотреть объект групповой политики.
9. Теперь вы можете либо найти удаленное устройство, либо остаться локальным. Если вы остаетесь локальным, нажмите «ОК», «Закрыть», а затем «ОК».
Вот и все, что вам нужно сделать, это заглянуть в корневую папку консоли MMC, которую вы открыли, и вы сможете просмотреть свой объект групповой политики.
Просмотр объекта групповой политики
Теперь, когда у вас открыт объект групповой политики, вы можете увидеть его содержимое. Как мы упоминали ранее, у вас есть политика компьютера и параметры, относящиеся к этой политике, готовые примениться к любым компьютерам, которым она назначена. В конце этой статьи есть несколько ссылок на веб-сайт Microsoft, чтобы найти дополнительную информацию, но для целей этой статьи у вас достаточно фундаментальных знаний, чтобы перейти к следующей статье, которая непосредственно посвящена XP.
Расширение настроек безопасности
Когда вы открываете MMC (консоль управления Microsoft), в которой находится ваш доступ к групповой политике, вы можете увидеть в ней «Настройки безопасности», которые позволят вам установить очень детализированную политику безопасности, которая при правильном использовании обеспечит очень конкретную безопасность. параметры, которые будут применяться к рабочим столам из центрального расположения.
Это всего лишь одна из областей, но именно на ней мы сконцентрируемся, так как это сайт, основанный на безопасности Windows. Вы можете настроить политики учетных записей, которые в основном охватывают элементы, связанные с безопасностью, такие как политики учетных записей, которые позволят вам сохранять пароли с минимальным или максимальным сроком действия или минимальной длиной пароля. Вы также можете установить функции блокировки учетной записи. Локальные политики также настраиваются, что позволяет вам настраивать определенные вещи для самой системы, такие как настройка аудита или настройка тех, кто может выполнять определенные действия, например, «добавлять рабочие станции в домен». Политики PKI (инфраструктура открытых ключей) также настраиваются, как и политики IPSec, чтобы помочь шифровать передачи из этой системы, а также устанавливать политики ограниченного использования программного обеспечения. Как видите, в GPO можно настроить многое.
Резюме
В этой статье мы рассмотрели основы GPO. Для тех из вас, кто является гуру Microsoft, я надеюсь, что эта статья послужила вам переподготовкой, но если вы уже все это знаете, обязательно прочитайте следующую статью из этой серии, которая относится непосредственно к объектам групповой политики и Windows XP. Вам понадобится эта основная информация в этой статье, чтобы перейти к следующей. Следите за обновлениями!
Ссылки и справочные материалы
См. также статью Microsoft «Обновление групповой политики Windows 2000 для Windows XP» по адресу: http://support.microsoft.com/support/kb/articles/Q307/9/00.asp.
Информация о GPO для Windows 2000 и XP I
http://support.microsoft.com/?kbid=322176
Информация о GPO для Windows 2000 и XP II
http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/Articles/q307/9/00.asp&NoWebContent=1
Информация о GPO для Windows 2000 и XP III
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/default.mspx