|
Операционная система Windows Vista позволяет централизованно управлять большим количеством компонентов и функциональных возможностей по сравнению с Windows Server 2003. Количество параметров групповой политики возросло примерно с 1800 в Windows Server 2003 SP1 до 2500 в Windows Vista и Windows Server 2008. Теперь в Вашем распоряжении свыше 700 новых политик, помогающих контролировать рабочие станции, обеспечивать их безопасность и управлять прочими аспектами корпоративной сети. Этот документ поможет Вам разобраться в новых и обновленных параметрах групповой политики Windows Vista. Вы также найдете в нем рекомендации по развертыванию групповой политики.
В этом документе:
Представляем групповую политику
Возможности групповой политики
Настройка групповой политики
Нововведения в групповой политике Windows Vista
Средства работы с групповой политикой
Управление рабочими станциями в смешанной среде
Советы и рекомендации
Работа в многоязычной среде
Изменения в групповой политике после перехода на Windows Vista или обновления до этой ОС
Проверка параметров групповой политики с помощью результирующей политики (RSoP)
Применение параметров групповой политики Windows Vista
Совместимость с перенаправлением папок
Защита сетевого доступа и служба сетевого расположения
Управление компонентами Windows Vista с помощью групповой политики
Устранение неполадок в работе групповой политики
Связанные ресурсы
Приложение А. Файл Launchapp.wsf
Приложение Б. Список разделов и параметров реестра, сохраняемых во время перехода на Windows Vista
Представляем групповую политику
Использование групповой политики повышает эффективность работы, поскольку появляется возможность централизованного управления рабочими станциями. В свою очередь централизованное управление снижает совокупную стоимость владения компьютерами в организации (Total Cost of Ownership, TCO). В распределенной вычислительной среде одной из основных составляющих TCO является снижение производительности труда конечных пользователей. Негативное влияние на производительность труда оказывают следующие факторы:
-
Ошибки пользователей. Например, изменение системных файлов может привести к неработоспособности операционной системы.
-
Сложность. Второстепенные приложения или посторонние элементы на рабочем столе могут запутать пользователя или послужить причиной для дополнительного обучения работников.
-
Нежелательные приложения. Программы, полученные по электронной почте, загруженные из Интернета или установленные со съемных носителей, могут препятствовать нормальной работе корпоративной сети.
Используя групповую политику, Вы можете повысить производительность труда за счет определения действий, разрешенных пользователям и компьютерам. В совокупности параметры политики позволяют настроить рабочую станцию в соответствии с обязанностями пользователя и его навыками владения компьютером.
Применять групповую политику можно не только к пользователям и компьютерам, но и к рядовым серверам, контроллерам домена и любым другим компьютерам с установленной ОС Windows в пределах области управления. Групповая политика, применяемая к домену (т. е. применяемая ко всем объектам, расположенным ниже узла Active Directory – пользователи и компьютеры одноименной оснастки), по умолчанию применяется ко всем пользователям и компьютерам, входящим в домен.
В оснастке Active Directory – пользователи и компьютеры имеется встроенное организационное подразделение Domain controllers. Если Вы используете его для хранения учетных записей контроллера домена, Вы можете управлять ими отдельно от других компьютеров, задействовав объект групповой политики Default Domain Controllers Policy. Будучи построена на фундаменте, заложенном в Windows Server 2003 и Windows XP, групповая политика в Windows Vista улучшилась за счет большего количества расширений и параметров, более надежного взаимодействия с сетью и упростившегося администрирования.
Наверх страницы
Настройка групповой политики
С помощью параметров групповой политики Вы можете определять необходимые конфигурации для групп пользователей и компьютеров. Эти параметры указываются в редакторе объектов групповой политики (также известном как GPEdit) и содержатся в объекте групповой политики, который, в свою очередь, связывается с такими контейнерами службы каталогов Active Directory, как сайты, домены и организационные подразделения. В результате параметры групповой политики применяются к пользователям и компьютерам, содержащихся в этих контейнерах Active Directory. Достаточно сконфигурировать пользовательскую среду один раз, и в дальнейшем система автоматически будет поддерживать и контролировать ее надлежащее состояние.
Такой подход обеспечивается за счет применения параметров групповой политики к пользователям и компьютерам в вышеуказанных контейнерах службы каталогов Active Directory. Единожды сконфигурировав пользовательскую среду, можно доверить операционной системе Windows Vista контроль над соблюдением заданных Вами политик.
Наверх страницы
Возможности групповой политики
Определяя параметры групповой политики, Вы контролируете поведение Windows и обеспечиваете безопасность пользователей и компьютеров. В следующих разделах Вы найдете описание основных возможностей групповой политики.
Параметры, хранящиеся в системном реестре
Хранение параметров в системном реестре является наиболее распространенной формой применения групповой политики в Windows. Для операционной системы и приложений такие параметры можно задать при помощи редактора объектов групповой политики. Например, в Windows Vista Вы можете определить параметр, добавляющий всем пользователям пункт Выполнить в меню Пуск.
Параметры безопасности
При помощи групповой политики Вы можете задать параметры безопасности для пользователей и компьютеров, на которые распространяются параметры определенного объекта групповой политики. Параметры безопасности можно задать на уровне локального компьютера, домена или сети. Для дополнительной защиты Вы можете применять политики ограниченного использования программ, контролирующие запуск файлов в зависимости от пути, зоны URL, хэша и правил для сертификатов. Для стандартного уровня безопасности можно делать исключения, создавая правила для конкретных программ.
Политики ограниченного использования программ
В Windows Vista имеются новые политики ограниченного использования программ, помогающие защитить компьютеры, работающие под управлением Windows XP и Windows Server 2003, от вирусов, нежелательных приложений и атак. Теперь Вы можете идентифицировать работающие в домене программы и контролировать их запуск.
Распространение программного обеспечения
При помощи Windows Vista Вы можете управлять установкой программ и обновлений, а также их удалением с компьютеров пользователей. Поскольку организации могут развертывать собственные конфигурации рабочих станций и управлять ими в дальнейшем, снижаются финансовые затраты на индивидуальную поддержку пользователей. Программное обеспечение может быть либо назначено пользователям и компьютерам (при этом происходит обязательная установка программ), либо опубликовано для пользователей (в этом случае пользователь самостоятельно принимает решение об установке, которая проводится при помощи элемента панели управления Установка и удаление программ). Таким образом, пользователи могут сосредоточиться непосредственно на выполнении своих рабочих обязанностей, не отвлекаясь на настройку операционной системы.
Групповую политику можно использовать для развертывания проверенных пакетов. Например, если в строго контролируемой среде пользователи не имеют прав на установку программ, ее может выполнять от их имени установщик Windows. Дополнительным удобством в таких условиях является способность установщика Windows взаимодействовать с политиками ограниченного использования программ, определяющими список приложений, разрешенных к установке.
Сценарии для пользователей и компьютеров
Вы можете применять сценарии для автоматизации задач, выполняемых при включении и выключении компьютера, а также при входе и выходе пользователя из системы. В сценариях допустимо использование любых языков программирования, поддерживаемых сервером сценариев Windows - VBScript, JavaScript, PERL, а также пакетных файлов (.bat и .cmd).
Перенаправление папок
Политики перенаправления папок позволяют выполнить перенаправление на сервер таких важных пользовательских папок, как Documents и Users. Перенаправленными папками можно централизованно управлять и с легкостью осуществлять их резервное копирование и восстановление в случае необходимости.
Управление параметрами обозревателя Internet Explorer
На компьютерах, поддерживающих групповую политику, Вы можете управлять конфигурацией обозревателя Microsoft Internet Explorer. В редакторе объектов групповой политики имеется узел Настройка Internet Explorer, где Вы можете конфигурировать зоны безопасности, параметры конфиденциальности и прочие компоненты обозревателя, работающего в Windows 2000 или более новой операционной системе.
Наверх страницы
Нововведения в групповой политике Windows Vista
В Windows Vista произошли значительные улучшения групповой политики, включая усовершенствования возможностей планирования, подготовки, развертывания, управления, устранения неполадок и ведения отчета о внедрении групповой политики. В этом разделе описаны основные нововведения.
Встроенная консоль управления групповой политикой
Консоль управления групповой политикой (Group Policy Management Console, GMPC) является оснасткой MMC, поддерживающей сценарии. Консоль служит единым административным средством для управления групповой политикой в организации. Изначально консоль управления групповой политикой предлагалась к загрузке в качестве дополнительного компонента Windows XP и Windows Server 2003. Теперь она встроена в операционную систему и является стандартным средством управления групповой политикой наряду с редактором объектов групповой политики.
Параметры управления электропитанием
Все параметры управления электропитанием теперь можно контролировать с помощью групповой политики, что предоставляет организациям возможность сэкономить значительные финансовые средства. Вы можете сконфигурировать отдельные параметры электропитания или подготовить целый план управления электропитанием для развертывания в организации при помощи групповой политики.
Ограничение доступа к устройствам
Вы можете централизованно ограничивать установку устройств в организации. Теперь у Вас имеется возможность использовать параметры, контролирующие доступ к приводам CD-RW и DVD-RW, USB дискам и другим съемным носителям.
Улучшения в параметрах безопасности
Параметры групповой политики для брандмауэра Windows и протокола IPSec объединены в оснастка Брандмауэр Windows в режиме повышенной безопасности. Это позволяет Вам задействовать преимущества обеих технологий, избегая создания и сопровождения дублирующих друг друга компонентов. Некоторые сценарии, поддерживаемые объединенными параметрами брандмауэра Windows и протокола IPSec, обеспечивают защищенный обмен данными между серверами через Интернет. При этом ограничение доступа к ресурсам домена осуществляется на основе доверительных отношений или степени защищенности компьютера, а защита обмена данными с определенным сервером – за счет соблюдения особых требований к безопасности и конфиденциальности данных.
Улучшенное управление параметрами Internet Explorer
Вы можете открывать и редактировать параметры групповой политики обозревателя Internet Explorer, не опасаясь того, что эти параметры будут случайно заимствованы с административной рабочей станции. Это изменение продиктовано тем, что раньше некоторые политики Internet Explorer применялись в зависимости от параметров, заданных на административной рабочей станции – компьютере, используемом для просмотра политик.
Назначение принтеров в зависимости местоположения пользователей
Нововведением в Windows Vista является возможность назначать принтеры в зависимости от местоположения пользователей в организации или их географического расположения. Когда мобильные пользователи перемещаются в новое местоположение, групповая политика обеспечивает соответствующее обновление списка доступных принтеров. Вернувшись в основное местоположение, мобильные пользователи вновь видят привычные принтеры, используемые в стандартной конфигурации
Делегирование пользователям прав на установку драйверов принтера
Теперь при помощи групповой политики Вы можете делегировать пользователям права на установку драйверов принтера. Эта функциональная возможность помогает обеспечивать безопасность, поскольку происходит лишь ограниченная передача административных привилегий.
Обзор новых и расширенных параметров групповой политики
Таблицу с обзором новых и расширенных параметров групповой политики Вы можете найти по адресу http://go.microsoft.com/fwlink/?LinkId=54020.
Наверх страницы
Средства работы с групповой политикой
Редактор объектов групповой политики
Редактор объектов групповой политики – это оснастка консоли управления Microsoft (MMC), используемая для настройки параметров групповой политики в пределах отдельно взятого объекта групповой политики.
В каждом выпуске Windows Vista имеется один или несколько объектов локальной групповой политики (Local Group Policy objects, LGPOs). К таким объектам применение параметров осуществляется вручную при помощи редактора объектов групповой политики или посредством сценариев. В этих объектах содержится меньше параметров, чем в доменных объектах (в частности, это касается параметров безопасности). Если объекты локальной групповой политики сконфигурированы для работы в качестве изолированных клиентских компьютеров, они не будут поддерживать службы удаленной установки, перенаправление папок и установку программного обеспечения посредством групповой политики. Тем не менее, такие объекты можно успешно использовать для обеспечения безопасной вычислительной среды на изолированных компьютерах.
Администраторам также требуется возможность быстрого изменения параметров групповой политики для множества пользователей и компьютеров корпоративной сети. В редакторе объектов групповой политики имеется древовидная структура для настройки параметров объекта групповой политики. После настройки объекта его можно связать с сайтами, доменами и подразделениями, содержащими объекты пользователей или компьютеров (смотрите Рисунок 1).
Рисунок 1 – Редактор объектов групповой политики
Редактор объектов групповой политики содержит два основных раздела: Конфигурация компьютера и Конфигурация пользователя. Помимо периодического обновления параметров обоих разделов в фоновом режиме параметры раздела Конфигурация компьютера всегда применяются при запуске компьютера, а параметры раздела Конфигурация пользователя - при входе пользователя в систему. Каждые раздел содержит вложенные разделы, объединяющие различные группы политик, такие как Административные шаблоны, Параметры безопасности и Перенаправление папок. Для эффективной работы Вам, безусловно, понадобится удобный доступ к информации о предназначении каждого параметра политики. Для параметров, входящих в административные шаблоны, такая информация предоставляется непосредственно в редакторе объектов групповой политики. Она отображается в расширенном режиме просмотра в качестве описания к параметру. В описании приводятся требования к операционной системе, предназначение параметра, а также подробная информация о том, какой эффект имеет каждое из его состояний: «Не задан», «Включен» и «Отключен».
Консоль управления групповой политикой
Консоль управления групповой политикой (Group Policy Management Console, GMPC) входит в состав Windows Vista и является универсальным административным инструментом для управления групповой политикой.
Теперь в консоль управления групповой политикой интегрирована функциональность диалоговых окон, имеющихся в административных средствах службы каталогов Active Directory. Результатом этого улучшения стала единая консоль, предназначенная для выполнения задач по администрированию групповой политики. Возможности консоли управления групповой политикой расширились также и за счет ряда других новшеств. Для управления Active Directory Вы продолжите использовать средства администрирования службы каталогов, однако управление групповой политикой теперь полностью сосредоточено в консоли (смотрите Рисунок 2).
Рисунок 2 – Консоль управления групповой политикой
Примечание. Существует две версии консоли управления групповой политикой.
|
-
GMPC версии 1.0 доступна для загрузки, начиная с 2003 года, и предназначена для конфигурирования групповой политики в среде Windows Server 2003 и Windows XP.
-
GMPC версии 2.0 входит в состав Windows Vista и предназначена для конфигурирования групповой политики во всех операционных системах семейства Windows.
Важно! Не пытайтесь загрузить и использовать старую версию (1.0) в Windows Vista, поскольку она несовместима с этой операционной системой.
|
Наверх страницы
Управление рабочими станциями в смешанной среде
Управление групповой политикой в Windows Vista
В Windows Vista для определения параметров политики, хранящихся в системном реестре, используется новый формат. Хранящимся в реестре параметрам политик соответствует раздел «Административные шаблоны» редактора объектов групповой политики. Такие параметры задаются при помощи ADMX-файлов, представленных в стандартизированном формате XML. Эти ADMX-файлы пришли на смену ADM-файлам, использовавшим собственный язык разметки. Одним из основных преимуществ ADMX-файлов является поддержка многоязычной среды, которую не так просто реализовать при помощи ADM-файлов. Инструменты работы с групповой политикой (редактор объектов групповой политики и консоль управления групповой политикой) в целом не изменились, однако теперь они обладают способностью работать с ADMX-файлами. Поэтому в большинстве случаев при выполнении повседневных административных задач Вам не придется работать с ADMX-файлами напрямую.
В некоторых ситуациях необходимо понимание структуры ADMX-файлов и знание того, где они хранятся. Инструменты работы с групповой политикой, входящие в состав Windows Vista и Windows Server 2008, способны распознавать ADMX- и ADM-файлы. Аналогичные инструменты Windows Server 2003 и более ранних операционных систем способны распознавать только ADM-файлы.
В отличие от ADM-файлов, ADMX-файлы не хранятся в индивидуальных объектах групповой политики. В доменной среде существует возможность создания центрального хранилища ADMX-файлов, доступ к которому предоставляется тем, у кого имеются разрешения на создание или редактирование объектов групповой политики. Инструменты работы с групповой политикой продолжат распознавать ADM-файлы, связанные с существующими объектами групповой политики. Однако будут проигнорированы все ADM-файлы, замещаемые ADMX-файлами: System.adm, Inetres.adm, Conf.adm, Wmplayer.adm и Wuau.adm.
Редактор объектов групповой политики автоматически считывает и отображает параметры административных шаблонов, которые основаны на ADMX-файлах, размещенных локально или в необязательном центральном хранилище. Редактор также автоматически отображает параметры административных шаблонов, которые определенны в пользовательских ADM-файлах, размещенных в объекте групповой политики. Кроме того, Вы можете добавлять и удалять собственные ADM-файлы в объект групповой политики, воспользовавшись пунктом контекстного меню Добавление или удаление шаблонов. Все параметры групповой политики, которые в настоящее время имеются в ADM-файлах, поставляемых с операционными системами Windows Server 2003, Windows XP и Windows 2000, будут также доступны и Windows Server 2008.
Важные аспекты использования ADMX-файлов в смешанной среде
Если Вы администрируете смешанную вычислительную среду, в которой компьютеры работают под управлением Windows Vista, Windows XP и Windows 2000, Вам необходимо помнить о новых параметрах групповой политики Windows Vista – они работают только в этой операционной системе и игнорируются в более ранних.
-
Новыми параметрами групповой политики Windows Vista и Windows Server 2008 можно управлять с помощью редактора объектов групповой политики или консоли управления групповой политикой только с того компьютера, на котором установлена операционная система Windows Vista или Windows Server 2008. Эти параметры определены только в ADMX-файлах и не отображаются в старых версиях административных инструментов, предназначенных для работы в Windows Server 2003, Windows XP и Windows 2000. Для конфигурирования параметров новых политик Windows Vista администраторам необходимо использовать редактор объектов групповой политики на компьютере, работающем под управлением ОС Windows Vista или Windows Server 2008.
-
На компьютерах, работающих под управлением ОС Windows Server 2003, Windows XP и Windows 2000, редактор объектов групповой политики будет неправильно отображать параметры в административных шаблонах политики Windows Vista, включенных или выключенных для объекта групповой политики. Параметры реестра, соответствующие этим политикам, будут отображаться в редакторе в разделе «Классические административные шаблоны» (Extra registry settings).
-
Версии редактора объектов групповой политики и консоли управления групповой политикой для Windows Vista можно использовать для управления всеми операционными системами, поддерживающими групповую политику - Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP и Windows 2000.
-
Политики административных шаблонов, определенные в ADM-файлах операционных систем Server 2003, Windows XP и Windows 2000, можно конфигурировать из любой ОС, поддерживающей групповую политику.
-
Версии редактора объектов групповой политики и консоли управления групповой политикой для Windows Vista совместимы с версиями этих инструментов для Windows Server 2003 и Windows XP. Например, пользовательские ADM-файлы, размещенные в объекте групповой политики, будут распознаны как редактором объектов, так и консолью управления групповой политикой в ОС Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP и Windows 2000.
-
Версия редактора объектов групповой политики для Windows Vista совместима с версией этого редактора для Windows Server 2000. Например, пользовательские ADM-файлы, размещенные в объекте групповой политики, будут распознаны редактором объектов в ОС Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP и Windows 2000. Консоль управления групповой политикой не работает в Windows 2000.
В предыдущих операционных системах при создании объекта групповой политики все исходные административные шаблоны (ADM-файлы) размещались непосредственно в объекте, занимая около 4 Мб. По этой причине репликационная сетевая активность резко возрастала во время событий, приводящих к одновременному изменению всех объектов групповой политики. Примером такого события может служить изменение разрешений для всех объектов групповой политики во время обновления домена Windows Server 2000 до Windows Server 2003. В таком случае происходила одновременная репликация всех ADM-файлов объекта групповой политики, что могло негативно сказаться на пропускной способности сети и, как следствие, ее доступности.
Этот процесс полностью изменился в операционных системах Windows Vista и Windows Server 2008, использующих центральное хранилище в папке «Sysvol», в котором содержатся все ADMX-файлы. В отличие от объектов групповой политики предыдущих версий Windows, объекты, созданные из Windows Vista, не содержат ADMX-файлов. Это изменение способствует снижению объемов данных, перемещаемых посредством службы репликации DFS.
Если все администраторы групповой политики будут использовать компьютер с установленной Windows Vista, в новых объектах групповой политики не будут содержаться ADM- или ADMX-файлы. Результатом этого изменения будет являться экономия 4 Мб занимаемого дискового пространства на каждый объект групповой политики. После обновления администрируемой инфраструктуры для использования новой службы DFS, содержащиеся в объекте групповой политики данные копируются с помощью службы репликации DFS. Эта служба реплицирует только изменения, произошедшие в объекте групповой политики.
Два этих нововведения значительно снижают требования к количеству дискового пространства и объему сетевого трафика, генерируемого после внесения администратором изменений в объект групповой политики.
Таблица 1 – Сравнение загружаемой версии консоли управления групповой политикой с версией, входящей в состав Windows Vista
Поведение
|
Версия консоли Windows Vista
|
Загружаемая версия консоли
|
Может управлять операционными системами Windows Server 2003, Windows XP и Windows 2000
|
Да
|
Да
|
Может управлять операционными системами Windows Vista и Windows Server 2008
|
Да
|
Нет
|
Поддерживает многоязычную среду
|
Да
|
Нет
|
Распознает пользовательские ADM-файлы
|
Да
|
Да
|
Стандартное расположение файлов
|
Локальное
|
Объект групповой политики
|
Может использовать центральное хранилище
|
Да
|
Нет
|
Создает дубликаты файлов в объекте групповой политики (увеличивает размер папки «Sysvol»)
|
Нет
|
Да
|
Может добавлять шаблоны к объекту групповой политики (пункт контекстного меню Добавление или удаление шаблонов)
|
Только ADM-файлы
|
Только ADM-файлы
|
Использует для сравнения файлов
|
Номер версии
|
Штамп времени
|
Наверх страницы
Продолжение >>>
|
|