Рекомендации по настройке объектов групповой политики
Хотя групповые политики являются чрезвычайно мощным механизмом безопасности, их эффективное развертывание может оказаться сложной задачей. Это связано с тем, что эффективная групповая политика состоит из нескольких и иногда противоречащих друг другу элементов групповой политики, которые применяются к объекту пользователя и/или к компьютеру, с которого работает пользователь. Поэтому крайне важно, чтобы вы управляли своими объектами групповой политики таким образом, чтобы они были хорошо организованы, чтобы вы всегда могли выяснить, какие элементы политики применяются в данной ситуации.
Еще больше усложняет ситуацию тот факт, что объекты групповой политики можно комбинировать с другими объектами групповой политики с локального компьютера или из нескольких разных мест в Active Directory. Однако, если вы хотите сделать вещи действительно интересными, вы можете даже добавить некоторые настройки обратной связи или отсутствия наследования, чтобы все было действительно запутанным.
Я хочу рассказать вам все это, чтобы проиллюстрировать, что без надлежащего планирования структура вашей групповой политики может легко стать огромной и чрезмерно сложной. Поэтому крайне важно, чтобы вы управляли своими объектами групповой политики таким образом, чтобы они были хорошо организованы, чтобы вы всегда могли выяснить, какие элементы политики применяются в данной ситуации. В этой статье я поделюсь с вами некоторыми передовыми практиками, которые вы можете использовать, чтобы ваши объекты групповой политики были хорошо организованы.
Отключить неиспользуемые элементы групповой политики
Одна из первых вещей, которую вы должны сделать, чтобы навести порядок в своей групповой политике, — это отключить все неиспользуемые элементы групповой политики. Есть несколько способов сделать это. Я рекомендую начать с рассмотрения объектов групповой политики в целом, чтобы понять, действительно ли они необходимы. В крупных организациях нередко требуются объекты групповой политики на каждом уровне Active Directory, но небольшие организации часто могут обойтись без размещения всех параметров групповой политики на одном уровне в Active Directory.
Уровень в Active Directory, на котором наиболее целесообразно применять параметры групповой политики, сильно зависит от того, как настроена отдельная организация. Процедура отключения объекта групповой политики практически идентична независимо от того, на каком уровне вы это делаете. Например, предположим, что вы хотите отключить объект групповой политики на уровне сайта. Для этого вы должны открыть консоль сайтов и служб Active Directory. Затем вы должны щелкнуть правой кнопкой мыши сайт, с которым в данный момент связана политика, и выбрать команду «Свойства» в появившемся контекстном меню. Когда вы это сделаете, вы увидите лист свойств сайта. Если вы затем выберете вкладку «Групповая политика» на странице свойств, вы увидите список всех объектов групповой политики, привязанных к этому сайту, как показано на рисунке A.
Рисунок A. На вкладке «Групповая политика» показано, какие объекты групповой политики привязаны к выбранному вами сайту.
Хорошо, для этого примера я сказал, что мы собираемся отключить объект групповой политики уровня сайта, показанный на рисунке A. Если вы посмотрите на рисунок, вы заметите, что есть кнопка «Удалить», которую вы можете использовать, чтобы избавиться от политика полностью. Однако я рекомендую сначала отключить политику, а не удалять ее. Причина в том, что если вы удалите объект групповой политики, а затем обнаружите, что что-то не работает сразу после этого, то может быть сложно выяснить, какой параметр вызвал проблему, и исправить проблему. Однако, если вы просто отключите объект групповой политики, а не удалите его, вы всегда сможете снова включить политику, если что-то пойдет не так. Конечно, если после отключения политики все работает правильно, вы всегда можете удалить политику после того, как она была отключена в течение недели или около того.
Вы могли заметить, что на рисунке A нет кнопки отключения. Если вы хотите отключить групповую политику, вам нужно будет выбрать политику, которую вы хотите отключить, а затем нажать кнопку «Параметры». Когда вы это сделаете, вы увидите диалоговое окно «Параметры», показанное на рисунке B. Теперь все, что вам нужно сделать, это установить флажок «Отключено» и нажать «ОК».
Рисунок B. Установите флажок «Отключено» и нажмите «ОК».
До сих пор я показывал вам, как отключить весь объект групповой политики, но вы, возможно, не понимаете, что вы также можете отключить часть объекта групповой политики. Предположим, что наша групповая политика на уровне сайта, показанная на рисунке A, содержит некоторые важные параметры на уровне пользователя, но не имеет настроенных параметров на уровне компьютера. В этом случае мы можем (и должны) отключить настройки компьютера в политике.
С технической точки зрения, если ни один из параметров политики на уровне компьютера не настроен, то ничего не повредит, если мы оставим включенной часть политики на уровне компьютера. Однако эффективность повысится, если вы отключите часть политики на уровне компьютера. Подумайте о том, что происходит, когда пользователь входит в домен. Windows объединяет все объекты групповой политики, применимые к пользователю и к компьютеру, с которого работает пользователь, и использует эти объекты групповой политики для создания эффективной политики. Чем больше действующих объектов групповой политики, тем больше времени займет процесс входа в систему. Однако если вы отключите неиспользуемые части объектов групповой политики, вы сможете ускорить процесс входа в систему для своих пользователей и снизить нагрузку на контроллеры домена.
Итак, давайте представим, что мы хотим отключить часть объекта групповой политики на уровне компьютера, показанную на рисунке A. Для этого мы просто нажмем кнопку «Свойства», чтобы получить доступ к листу свойств, показанному на рисунке C. Как вы можете видеть на На рисунке лист свойств содержит два флажка, которые можно использовать для отключения пользовательской или компьютерной части политики. Поэтому вы должны установить флажок «Отключить параметры конфигурации компьютера» и нажать «ОК».
Рисунок C. Установите флажок «Отключить параметры конфигурации компьютера» и нажмите «ОК».
Переопределить настройки
Теперь, когда я рассказал о том, как отключить полные или частичные политики, я хочу обсудить еще один передовой метод настройки групповой политики. Вы могли заметить, что на рисунке B есть флажок No Override. Это один из вариантов, который я рекомендую использовать очень экономно.
Как я уже объяснял, групповые политики применяются иерархически, начиная с уровня локального компьютера, а затем поднимаясь до уровней домена, сайта и организационной единицы. Если параметр в политике более высокого уровня противоречит параметру, установленному в политике более низкого уровня, приоритет имеет политика более высокого уровня. Например, предположим, что политика на уровне локального компьютера устанавливает минимальную длину пароля в шесть символов, а политика на уровне домена устанавливает минимальную длину пароля в восемь символов. Предполагая, что действуют обе политики, требуемая длина пароля будет составлять восемь символов, поскольку политика уровня домена считается политикой более высокого уровня, чем локальная политика.
Параметр «Нет переопределения» не позволяет политике более высокого уровня изменить что-либо, установленное в политике с установленным параметром «Нет переопределения». Политика более высокого уровня может применять новые параметры, но не может изменять существующие параметры. Например, предположим, что действуют две политики. Политика локального компьютера устанавливает минимальную длину пароля в шесть символов и имеет установленный параметр без переопределения. Политика на уровне домена устанавливает минимальную длину пароля в восемь символов и устанавливает максимальный срок действия пароля в 30 дней. Действующая политика предписывает шестизначный пароль, срок действия которого истекает каждые 30 дней. Шестисимвольный пароль остается в силе, потому что действует опция «без переопределения». 30-дневный срок действия действует, поскольку в политике более низкого уровня срок действия не указан, поэтому политика более высокого уровня не переопределяет политику более низкого уровня, устанавливая срок действия, а просто добавляется к политике.
Еще одна функция групповой политики, которую следует использовать с осторожностью, — это функция блокировки наследования. Основная идея здесь заключается в том, что если вы хотите гарантировать, что политика не подберет настройки из политики более низкого уровня, вы можете включить блочное наследование.
В большинстве случаев я бы рекомендовал никогда не использовать функции No Override или Block Inheritance. Хотя они имеют свое место. Хотя я лично никогда не пробовал это, я слышал, как другие администраторы говорили об использовании No Override и Block Inheritance, чтобы помочь предотвратить вмешательство групповых политик в системные политики, используемые в более старых операционных системах Windows.
Вывод
Это лишь некоторые из вещей, которые вы можете сделать, чтобы убедиться, что ваши групповые политики остаются организованными и работают максимально эффективно. Если будет достаточно интереса, я мог бы написать дополнительную статью, в которой будут обсуждаться еще некоторые передовые практики.