• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Оснащення «Редактор локальної групової політики». Частина 1

    1. Управління локальними об'єктами групових політик
    2. Відкриття оснащення «Редактор локальних групових політик»
    3. вузли оснащення
    4. конфігурація програм
    5. конфігурація Windows
    6. Політика дозволу імен
    7. Сценарії
    8. Політика безпеки
    9. QoS на основі політики
    10. розгорнуті принтери
    11. Налаштування Internet Explorer
    12. висновок

    Ця стаття є базисом і введенням в вивчення групових політик операційних систем Windows, від знання якої залежить робота з усім наступним матеріалом Ця стаття є базисом і введенням в вивчення групових політик операційних систем Windows, від знання якої залежить робота з усім наступним матеріалом. Як вже говорилося в попередній статті по основам групових політик: «Вступ до вивчення групових політик» , Групова політика - це компонент серверних і клієнтських операційних систем Windows, починаючи з Windows 2000, що дозволяє централізовано керувати конфігурацією користувачів і комп'ютерів. Групові політики грунтуються на багатьох параметрів політик, які в свою чергу вказують на застосування певної настройки для обраного комп'ютера або користувача. В операційних системах Windows Server 2008 R2 і Windows 7 налічується більше 3200 політик, за допомогою яких можна захистити локальних користувачів і користувачів, розташованих в вашому домені або лісі від дій, які вони не повинні виконувати. Методи створення власних політик будуть розказані в одній з наступних статей. Всі параметри політик розташовуються в об'єкті групових політик GPO (Group Policy Object).

    Об'єкти групових політик діляться на дві категорії:

    • Доменні об'єкти групових політик, які використовуються для централізованого управління конфігурацією комп'ютерів і користувачів, що входять до складу домену Active Directory. Ці об'єкти зберігаються тільки на контролері домену;
    • Локальні об'єкти групових політик, які дозволяють налаштовувати конфігурацію локального комп'ютера, а також всіх користувачів, створених на цьому комп'ютері. Ці об'єкти зберігаються тільки в локальній системі. Локальні об'єкти групових політик можуть застосовуватися, навіть якщо комп'ютер входить до складу домену.

    У цій статті мова піде про управління локальними об'єктами групових політик.

    Управління локальними об'єктами групових політик

    Для управління локальними об'єктами групових політик в операційних системах Windows використовується оснащення консолі управління «Редактор локальної групової політики». За допомогою даної оснастки ви можете налаштовувати більшість системних компонентів і додатків. Розглянемо докладно методи управління комп'ютером і користувачами за допомогою даної оснастки:

    Відкриття оснащення «Редактор локальних групових політик»

    Ви можете відкрити дану оснастку декількома способами:

    1. Натисніть на кнопку «Пуск» для відкриття меню, в поле пошуку введіть Редактор локальної групової політики і відкрийте програму в знайдених результатах;
    2. Скористайтеся комбінацією клавіш + R для відкриття діалогу «Виконати». У діалоговому вікні «Виконати», в полі «Відкрити» введіть gpedit.msc і натисніть на кнопку «ОК»;
    3. Відкрийте «Консоль управління MMC». Для цього натисніть на кнопку «Пуск», в поле пошуку введіть mmc, а потім натисніть на кнопку «Enter». Відкриється порожня консоль MMC. В меню «Консоль» виберіть команду «Додати або видалити оснастку» або за допомогою комбінації клавіш Ctrl + M. У діалозі «Додавання і видалення оснасток» виберіть оснастку «Редактор об'єктів групової політики» і натисніть на кнопку «Додати». У діалозі «Вибір об'єкта групової політики» натисніть на кнопку «Огляд» для вибору комп'ютера або натисніть на кнопку «Готово» (за замовчуванням встановлений об'єкт «Локальний комп'ютер»). У діалозі «Додавання або видалення оснасток» натисніть на кнопку «ОК»;

    На наступному скріншоті відображена оснащення «Редактор об'єктів групової політики»:

    вузли оснащення

    В оснащенні редактора локальних об'єктів групової політики присутні два основних вузла:

    • Конфігурація комп'ютера, який призначений для настройки параметрів комп'ютера. У цьому вузлі розташовані параметри, які застосовуються до комп'ютера, незважаючи на те, під який обліковим записом користувач увійшов в систему. Ці параметри застосовуються при запуску операційної системи і оновлюються у фоновому режимі кожні 90-120 хвилин.
    • Конфігурація користувача, який призначений для налаштувань параметрів користувачів. Параметри, які знаходяться в цьому вузлі, застосовуються при вході конкретного користувача в систему. Так само, як і параметри, розташовані у вузлі конфігурації комп'ютера, параметри, розташовані у вузлі конфігурації користувача оновлюються у фоновому режимі кожні 90-120 хвилин.

    У цих основних вузлах ви можете знайти по три дочірніх вузла, за допомогою яких настроюються всі параметри локальних об'єктів групових політик.

    конфігурація програм

    У вузлі конфігурації програм розташоване тільки одне розширення клієнтської сторони «Установка програм», завдяки якому, ви можете вказати певну процедуру установки програмного забезпечення. Розширення клієнтської сторони (Client-Side-Extension CSE) перетворює зазначені параметри в об'єкт групової політики і вносить зміни в конфігурацію користувача або комп'ютера. Створювати об'єкти GPO для розгортання програмного забезпечення можна тільки в операційній системі Windows Server 2008 / 2008R2. Процес створення GPO для установки програм буде детально розглянуто в одній з наступних статей.

    конфігурація Windows

    Вузол «Конфігурація Windows» в основному призначений для забезпечення безпеки комп'ютера і облікового запису, для якої застосовуються дані політики. У конфігурації Windows ви можете знайти кілька вузлів:

    Політика дозволу імен

    Цей вузол надає можливість керуванням розширенням таблиці політик дозволу імен (NRTP), яка зберігає параметри конфігурації для безпеки DNS (DNSSEC). Політика дозволу імен - це об'єкт групової політики, в якому зазначено відомості про політику, які відображаються в NRTP. Це розширення варто налаштовувати тільки в тому випадку, якщо ваш комп'ютер входить до складу домену Active Directory. Ця політика розташована тільки в вузлі «Конфігурація комп'ютера».

    При створенні правила вам слід звернути увагу на наступні моменти:

    Правила можна створювати для наступних частин простору DNS:

    • Суфікс - це зона простору імен DNS, до якої застосовується дане правило. Суфікс є частиною повного доменного імені;
    • Префікс - це перша частина повного доменного імені, до якого застосовується правило;
    • Повне доменне ім'я - складається з вузла і доменного імені, включаючи домен верхнього рівня;
    • Підмережа (IPv4) - це адреса підмережі в форматі IPv4 для зони, до якої в разі зворотного перегляду буде застосовано правило;
    • Підмережа (IPv6) - це адреса підмережі в форматі IPv6 для зони, до якої в разі зворотного перегляду буде застосовано правило;
    • Будь - застосовується для всіх знайдених просторів імен DNS.

    В поле «Центр сертифікації» ви можете вказати ЦС, який використовується для створення цифрових підписів. Можна вводити ЦС вручну або вибрати потрібний, скориставшись кнопкою «Обзор».

    На вкладці «DNSSEC» ви можете включити DNSSEC для створюваного правила і вказати примусову перевірку конфігурації для безпеки DNS, а також вибрати тип шифрування, який буде використовуватися для даного правила. Доступні значення: «Без шифрування (тільки цілісність)», «Потрійний DES (3DES)», «Advanced Encryption Standard (AES)» з довжиною ключа 128, 192 або 256 біт, або AES з довжиною ключа 192 і 256 біт.

    На вкладці «Параметри DNS для прямого доступу» ви можете вказати сервери, які клієнт DNS буде використовувати при відповідність зазначеного імені; проксі-сервер, який буде використовуватися для підключення до Інтернету; і можете вказати тип шифрування для використання IPSec при взаємодії між клієнтом і сервером DNS.

    Якщо ви натиснете на кнопку «Додаткові параметри глобальної політики», то зможете налаштувати параметри роумінгу, параметри помилки запиту і дозволу запиту.

    Після того як всі параметри будуть вказані, натисніть на кнопку «Створити». Після чого створене правило відобразиться в таблиці політик дозволу імен. Зміни політики не будуть збережені, поки ви не натиснете на кнопку «Застосувати».

    Сценарії

    За допомогою цього CSE-розширення ви можете вказувати по два типу сценаріїв автозапуску або завершення роботи для вузлів конфігурації комп'ютера і користувача відповідно. У тому випадку, якщо ви вкажете більше одного сценарію, то вони будуть виконуватися згідно з переліком в списку. Час очікування обробки сценаріїв - 10 хвилин. В операційних системах, що передують Windows Server 2008 R2 і Windows 7, можна було використовувати тільки мови сценаріїв ActiveX (Microsoft Visual Basic, Jscript, VBScript, Perl) і пакетні файли (* .bat, * .cmd). Тепер з'явилася можливість використовувати сценарії PowerShell:

    Для того щоб призначити сценарій для автозавантаження або завершення роботи, виконайте наступні дії:

    1. Відкрийте редактор локальної групової політики;
    2. Виберіть «Сценарій запуск / завершення» з конфігурації Windows вузла «Конфігурація комп'ютера» або «Конфігурація користувача»;
    3. Двічі клацніть лівою кнопкою миші на політиці «Автозавантаження» або «Завершення роботи»;
    4. У діалоговому вікні властивостей політики натисніть на кнопку «Додати»;
    5. У діалоговому вікні «Додавання сценарію», в поле «Ім'я сценарію» введіть шлях до сценарію або натисніть на кнопку «Огляд» для пошуку файлу, а в полі «Параметри сценарію» введіть необхідні параметри аналогічно введенню цих параметрів в командному рядку;

    Відкрийте редактор локальної групової політики; Виберіть «Сценарій запуск / завершення» з конфігурації Windows вузла «Конфігурація комп'ютера» або «Конфігурація користувача»; Двічі клацніть лівою кнопкою миші на політиці «Автозавантаження» або «Завершення роботи»; У діалоговому вікні властивостей політики натисніть на кнопку «Додати»; У діалоговому вікні «Додавання сценарію», в поле «Ім'я сценарію» введіть шлях до сценарію або натисніть на кнопку «Огляд» для пошуку файлу, а в полі «Параметри сценарію» введіть необхідні параметри аналогічно введенню цих параметрів в командному рядку;

    При призначенні кількох сценаріїв вони будуть застосовуватися в заданому порядку. Щоб перемістити сценарій в списку вгору, виберіть його і натисніть на кнопку «Вгору». Для того щоб перемістити сценарій в списку вниз, виберіть його і натисніть на кнопку «Вниз». Для того щоб змінити сценарій, натисніть на кнопку «Змінити». Кнопка «Видалити» призначена для видалення сценарію зі списку.

    На вкладці «Сценарій PowerShell» ви можете додати сценарії з розширенням * .ps1. Також, ви можете вибрати порядок виконання звичайних сценаріїв і сценаріїв PowerShell із списку.

    Політика безпеки

    Цей вузол дозволяє налаштовувати безпеку засобами GPO. У цьому вузлі для конфігурації комп'ютера доступні наступні настройки:

    Політики облікових записів, які дозволяють встановлювати політику паролів і блокування облікових записів. Цей функціонал буде розглядатися в одній з наступних статей.

    Локальні політики, що відповідають за політику аудиту, параметри безпеки і призначення прав користувача. Цей функціонал буде розглядатися в одній з наступних статей.

    Брандмауер Windows в режимі підвищеної безпеки, за допомогою яких ви можете створювати правила вхідних і вихідних підключень, а також правила безпеки підключень так само, як і в однойменній оснащенні. Різниця лише в тому, що після створення правила, його налаштування можна буде змінити, а також в оснащенні «Брандмауер Windows в режимі підвищеної безпеки» у вас не буде прав для видалення поточного правила. На наступному скріншоті ви побачите правило безпеки підключення тунельного режиму, створеного засобами групових політик і відкритого в оснащенні «Брандмауер Windows в режимі підвищеної безпеки»:

    Політики диспетчера списку мереж, що дозволяють управляти всіма вашими мережевими профілями.

    Політики відкритого ключа, які дозволяють:

    • налаштовувати комп'ютери на автоматичне відправлення запитів в центр сертифікації підприємства та установку видаються сертифікатів;
    • створювати і поширювати список довіри сертифікатів (CTL);
    • додавати агенти відновлення шифрованих даних і зміна параметрів політики відновлення шифрованих даних;
    • додавати агенти відновлення даних шифрування диска BitLocker.

    Про політиків відкритого ключа буде детально розказано в статті про локальні політиках безпеки.

    Політики обмеженого використання програм, що дозволяють здійснювати ідентифікацію програм і управляти можливістю їх виконання на локальному комп'ютері, в підрозділі, домені і вузлі.

    Політики управління додатками, які відповідають за створення і управління правилами і властивостями функціоналу AppLocker, який дозволяє керувати установкою додатків і сценаріїв.

    Політики IP-безпеки на «Локальний комп'ютер», які дозволяють створювати політику IP-безпеки локального комп'ютера і керувати списками IP-фільтрів. Більш докладно буде розказано в статті про локальні політиках безпеки.

    Конфігурація розширеного аудиту, який надає доповнюють локальні політики, що відповідають за аудит. Про ці параметри мова піде у статті, пов'язаної з політиками аудиту.

    На додаток до всіх цих параметрах безпеки Windows 7, в операційній системі Windows Server 2008 R2 доступні ще такі параметри:

    Журнал подій, який дозволяє налаштовувати параметри журналів подій додатків, системних подій і подій безпеки.

    Групи з обмеженим доступом, які дозволяють включати користувачів в окремі групи. Про ці параметри буде детально розповідатиметься в статті про делегування прав групових політик.

    Системні служби, що визначають типи запуску і дозволу доступу для системних служб.

    Реєстр, який задає дозволу контролю доступу до окремих розділів системного реєстру.

    Файлова система, що визначають дозволу контролю доступу для файлів і папок NTFS.

    Політики провідної мережі (IEEE 802.3), які керують налаштуваннями дротових мереж.

    Політики бездротової мережі (IEEE 802.11), які керують налаштуваннями бездротових мереж.

    Network Access Protection, які дозволяють створювати політики захисту мережевого доступу.

    QoS на основі політики

    Цей вузол визначає політики, керуючих мережевим трафіком, які дозволяють налаштовувати провідні мережі. Параметри QoS на основі політик дозволяють налаштовувати пріоритети і управляти швидкістю передачі для вихідного трафіку на основі наступних чинників:

    • Відправляє додаток;
    • URL-адресу;
    • Вихідні або кінцеві адреси або префікси адрес IPv4 і IPv6;
    • Вихідні або кінцеві порти або діапазони портів протоколів TCP і UDP;
    • Протоколи TCP або UDP.

    Створення політик QoS буде детально розглянуто в одній з наступних статей.

    розгорнуті принтери

    Ця функція корисна, коли принтер використовується спільно в закритому середовищі, такий як школа, де всі комп'ютери в аудиторії або офісі повинні мати доступ до одного принтера або коли користувачеві при переміщенні в інше місце розташування необхідно автоматичне підключення принтера.

    Налаштування Internet Explorer

    Найчастіше ці параметри використовуються для настройки зовнішнього вигляду браузера і його функцій для застосування стандартів організації, пов'язаних з Інтернетом, а також, щоб надати користувачам загальний інтерфейс браузера. За допомогою цього функціоналу ви можете налаштовувати заголовки браузера, панелі інструментів, рядка User-Agent, зон безпеки, оцінки вмісту і багато іншого. Детально ці параметри будуть розглядатися в одній з наступних статей.

    У вузлі «Конфігурація Windows» операційної системи Windows Server 2008R2 ви також можете знайти вузол «перенаправлення папки», які дозволяють змінювати місце розташування спеціальних папок всередині профілю користувача на нове, наприклад, на місце в загальному мережевому ресурсі.

    висновок

    На цьому закінчується перша частина статті, присвяченій оснащенні «Редактор локальної групової політики». За допомогою поточної приладдя Ви напевно можете проводити різноманітні дії для налаштування комп'ютера і підвищення його безпеки. У цій статті було проведено короткий огляд функціоналу вузлів «Конфігурація програм» і «Конфігурація Windows», використовуючи які ви можете управляти установкою програм, аудитом користувачів, змінювати запуску служб, сценарії автозапуску і завершення, правил брандмауера Windows у режимі підвищеної безпеки і багато іншого. В наступній частині статті я розповім про принципи роботи з вузлом «Адміністративні шаблони», а також про фільтрації параметрів політик даної оснастки.

    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua