Создание результирующего набора запросов политики

Опубликовано: 12 Апреля, 2023

И Active Directory, и Windows в целом предлагают огромную степень гибкости. Можно создавать групповые политики, применимые ко всему, от одной рабочей станции до целой организационной единицы. Хотя очень приятно иметь модель безопасности, которую можно настраивать в соответствии с конкретными потребностями безопасности, есть определенный недостаток в том, как работает безопасность Windows; это может быть очень сложно. Одна групповая политика может применяться к пользователям или компьютерам и потенциально может содержать противоречивые настройки. Кроме того, несколько групповых политик можно комбинировать иерархическим образом с настройками более высокого уровня, что может привести к отмене некоторых настроек, назначенных политиками более низкого уровня. Добавьте такие фильтры, как No Override и Block Policy Inheritance, и вы увидите, как быстро все может запутаться. К счастью, есть способ точно сказать, каков результат всех этих элементов политики. Вы можете выполнить запрос результирующего набора политик (RSOP). В этой статье я покажу вам, как это сделать.


Мастер результирующего набора политик


Есть две основные ситуации, в которых вам может понадобиться выполнить запрос RSOP. Одна из таких ситуаций, о которой я говорил ранее, заключается в том, что вам необходимо определить, какие элементы политики действительно применимы к конкретному пользователю. Когда вы используете мастер RSOP для определения того, какие элементы политики применяются к пользователю, вы запустите мастер в режиме ведения журнала.


Другая основная ситуация, в которой пригодится мастер RSOP, — это тестирование новой политики перед ее развертыванием. Например, предположим, что вы думали об изменении минимальной длины пароля для пользователей и планировали внести изменения на уровне домена. Вы можете использовать мастер RSOP, чтобы выяснить, будет ли изменение, которое вы хотите сделать, иметь желаемый эффект или оно будет отменено другой политикой с более высоким приоритетом.


Конечно, изменение минимальной длины пароля обычно не приводит к катастрофическим последствиям, но существует множество параметров групповой политики, которые при неправильном применении действительно могут вызвать проблемы. В этом прелесть мастера RSOP. Когда вы запускаете мастер RSOP в режиме планирования, вы можете протестировать действие политики без фактического применения политики. Даже если вы не планируете вносить какие-либо серьезные изменения в политику, вы можете использовать режим планирования, чтобы определить последствия перемещения пользователя в другое место или другие подобные сценарии.


Запуск мастера результирующего набора политик


Мастер RSOP может показаться немного иллюзорным, поскольку он не является частью обычной консоли групповой политики. Чтобы запустить мастер RSOP, введите команду MMC в строке «Выполнить». Это заставит Windows загрузить пустую консоль управления Microsoft. Затем выберите команду «Добавить/удалить оснастку» в меню «Файл» консоли. Это приведет к тому, что Windows отобразит лист свойств «Добавить/удалить оснастку». Теперь нажмите кнопку «Добавить» на вкладке «Автономный» листа свойств, и вы увидите список всех доступных оснасток. Выберите из списка параметр «Результирующий набор политик» и нажмите кнопку «Добавить», а затем кнопки «Закрыть» и «ОК».


Теперь в консоли должна быть загружена оснастка «Результирующий набор политик». Чтобы запустить мастер, щелкните правой кнопкой мыши контейнер Resultant Set of Policy и выберите команду Generate RSOP Data в появившемся контекстном меню.


Режим регистрации


Теперь, когда вы знаете, как запустить мастер, давайте посмотрим, как вы будете использовать мастер в режиме ведения журнала. Когда мастер запустится, нажмите «Далее», чтобы пропустить экран приветствия мастера. Теперь вам будет предоставлен выбор: запустить мастер в режиме регистрации или в режиме планирования. Выберите параметр «Режим ведения журнала» и нажмите «Далее». Теперь вы увидите экран, показанный на рисунке А.



Изображение 25802
Рисунок A: Вы должны выбрать компьютер, который будет использовать пользователь


Как я упоминал ранее, групповые политики применяются на уровне пользователя и на уровне компьютера. Поэтому, если вы хотите узнать, какие элементы политики применяются к пользователю, вам нужно знать, какой компьютер использует пользователь. Конечно, в реальной жизни вы, вероятно, будете тестировать влияние политики на группу пользователей и выберете один из компьютеров пользователя случайным образом, предполагая, что одна и та же политика уровня компьютера применяется ко всем компьютерам. Если вы предпочитаете игнорировать политики на уровне компьютера, на этом экране есть флажок, который можно использовать, чтобы заставить мастер RSOP проверять только политики на уровне пользователя.


Щелкните Next, и вы увидите экран, показанный на рисунке B. Этот экран очень похож на экран, показанный на рисунке A, за исключением того, что вы указываете пользователя, а не компьютер. Вы можете проверить пользователя, который в данный момент вошел в систему, пользователя по вашему выбору, или вы можете выбрать проверку только политик на уровне компьютера.



Изображение 25803
Рисунок B: Выберите учетную запись пользователя, которую вы хотите проверить


Нажмите «Далее», и вы увидите экран с просьбой подтвердить ваш выбор. Нажмите «Далее» еще раз, и мастер начнет анализ. Нажмите «Готово», когда анализ завершится, и вы увидите результаты, как показано на рисунке C. Как вы можете видеть на рисунке, результаты отображаются в консоли групповой политики. Вы можете просматривать консоль и просматривать результаты любого выбранного вами параметра политики.



Изображение 25804
Рисунок C. Результаты анализа представлены в консоли групповой политики.


Режим планирования


Чтобы запустить мастер RSOP в режиме планирования, запустите его точно так же, как и раньше. Когда мастер запустится, нажмите «Далее», чтобы пропустить экран приветствия мастера, а затем выберите параметр «Режим планирования» и снова нажмите «Далее». Когда вы это сделаете, вы увидите экран, подобный показанному на рисунке D.



Изображение 25805
Рисунок D. Укажите информацию о компьютере и пользователе для теста


Как вы можете видеть на рисунке, вы должны указать компьютер и пользователя для запуска тестов. В качестве альтернативы указанию конкретного компьютера или конкретного пользователя вы можете вместо этого указать контейнер Active Directory. Этот экран также содержит флажок, который можно использовать для перехода на последнюю страницу мастера без сбора дополнительных данных, но для целей этой статьи я не буду использовать этот параметр.


Нажмите «Далее», и вы увидите экран, показанный на рисунке E. Этот экран позволяет вам сообщить мастеру, если у вас медленное сетевое соединение или если тест будет выполняться на сайте. Вы также можете указать, что циклическая обработка должна использоваться, если вы того пожелаете.



Изображение 25806
Рисунок E: Сообщите мастеру, если используются медленные сетевые подключения или если вы будете пересекать сайт


На следующем экране, который вы увидите, указано местоположение пользователя и контейнера компьютера. Причина, по которой мастер показывает вам этот экран, заключается в том, что вы можете вносить изменения, которые позволяют имитировать эффект перемещения пользователя в другой контейнер или использования другого местоположения компьютера. Внесите необходимые изменения и нажмите «Далее».


На следующем экране спрашивается, членом каких групп безопасности является пользователь. Имейте в виду, что вы не должны указывать, к каким группам принадлежит пользователь сейчас, а скорее к каким группам он будет принадлежать после того, как вы сделаете то, что планируете. Нажмите «Далее», и вы увидите почти идентичный экран с вопросом, членом каких групп является компьютер. Если вы не вносите радикальные изменения в членство компьютера в домене, вы должны использовать значения по умолчанию на экране.


Нажмите «Далее», и вы увидите экран с вопросом, какие фильтры WMI следует применить. В большинстве случаев фильтров WMI, вероятно, не будет, так что вам обычно не нужно слишком беспокоиться об этом экране. Нажмите «Далее», и вы увидите аналогичный экран с вопросом о фильтрах WMI, которые следует применить к компьютеру. Опять же, вам, вероятно, не придется беспокоиться об этом экране, поэтому просто нажмите «Далее».


На этом этапе вы увидите экран со сводкой всей информации, которую вы ввели. Нажмите «Далее», и мастер обработает предложенные вами изменения. Когда изменения будут обработаны, нажмите «Готово», и вы увидите результат предлагаемых изменений политики, отображаемый в консоли групповой политики, аналогичной той, что показана на рисунке C.


Вывод


Как видите, мастер Resultant Set of Policy может быть ценным инструментом, независимо от того, нужно ли вам диагностировать политику, которая ведет себя не так, как ожидалось, или вам нужно запланировать изменение политики.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023