Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #107, НОЯБРЬ 2007 г.

Под колпаком у админа

Сергей «grinder» Яремчук

Хакер, номер #107, стр. 107-144-1

(grinder@ua.fm)

Используем групповые политики для централизованного управления объектами в Windows-сетях

Чем больше компьютеров находится на предприятии, тем больше времени затрачивается на их обслуживание и содержание. Создать в этом случае безопасную и управляемую среду очень даже непросто. Установка Active Directory - только первый шаг на этом тернистом пути. Одной из возможностей службы AD является поддержка групповых политик (Group Policy), позволяющих администраторам централизованно управлять настройками рабочих станций и серверов домена.

Для чего они нужны?

Под политиками следует понимать параметры настройки различных частей программного обеспечения, которые объединяются в объекты групповой политики (GPO, Group Policy Object). Создавая политику, фактически мы создаем и изменяем объект групповой политики. Эти GPO связаны с выбранными контейнерами Active Directory - сайтами, доменами или подразделениями, к которым и будут применяться настройки, указанные в GPO. Говоря другими словами, GPO - это набор файлов, каталогов и записей в базе Active Directory, в которых хранятся все настройки и определены параметры, поддающиеся изменению.

Групповая политика является частью технологии IntelliMirror (разработка Microsoft, неразрывно связанная с AD, предназначена для ускорения и упрощения процесса настройки рабочих станций на основе Windows 2000/XP и более поздних версий). Различные групповые политики позволяют конфигурировать большое количество самых разнообразных параметров Windows. В первую очередь это набор настроек безопасности, профили пользователей, программы, доступные пользователям, дисковые квоты, установка политик паролей, назначение сценариев запуска и прочее. Даже внешний вид рабочего стола пользователя можно настроить с помощью GPO. Еще одной возможностью групповых политик является централизованная установка программного обеспечения на компьютеры при помощи публикации или назначения.

Система групповой политики поставляется вместе с Active Directory в серверных операционных системах Windows 2000/2003 и будущей 2008 Server. На стороне клиента полная поддержка обеспечена в Windows 2000/XP/2003/Vista. За обработку GPO на этих компьютерах отвечает динамическая библиотека scecli.dll. Компьютеры с Windows NT4/9x управляются системными политиками (System Policy), групповые политики к ним не применяются.

Место GPO в службе каталогов

Каждый компьютер, работающий под управлением Win2k и выше, уже имеет встроенный объект групповой политики, который хранится локально. Просмотреть его можно, вызвав редактор «Групповых политик», введя в консоли gpedit.msc. Это единственный GPO, который может быть на компьютере, не входящем в домен. Хранится он в WindowsSystem32GroupPolicy. После перехода на AD в «Панель управления –> Администрирование» появятся два нелокальных GPO. С доменом связан объект «Политика по умолчанию для домена» (Default Domain Policy), который будет посредством наследования политики влиять на всех пользователей и компьютеры домена. Второй объект - «Политика по умолчанию для контроллеров домена» (Default Domain Controller Policy) - влияет только на контроллеры домена. GPO Active Directory хранятся на контроллере домена и могут быть связаны с сайтом, доменом или OU (Organizational Unit, подразделение или организационная единица), что и будет являться областью ее действия. Без привязки к определенному объекту GPO существовать не может.

Открыв консоль «Политика по умолчанию для домена», можно обнаружить только настройки, связанные с безопасностью. Поэтому, чтобы просмотреть и отредактировать все политики, следует обратиться к «Active Directory — пользователи и компьютеры» (Active Directory – Users and Computers), который также можно вызвать, введя в консоли dsa.msc и «Active Directory – сайты и службы» (Active Directory – Sites and Services) (dssite.msc).

Групповая политика включает параметры для конфигурации пользователя и компьютера. Параметры в «Конфигурации пользователя» (User Configuration) начинают действовать при входе пользователя в систему независимо от компьютера, за которым он работает. По умолчанию этот узел содержит следующие элементы: «Конфигурация программ» (Software Settings), «Конфигурация Windows» (Windows Settings) и «Административные шаблоны» (Administrative Templates). Здесь настраиваются параметры рабочего окружения пользователя (доступные программы, настройки рабочего стола, элементы меню «Пуск» и «Панели управления»), параметры безопасности, сценарии входа/выхода, перенаправление папок, целый раздел посвящен установкам Internet Explorer. Например, выбрав «Настройка Internet Explorer –> Параметры подключения», можно задать и изменить установки прокси-сервера, а зайдя в «Программы», указать, какие программы по умолчанию будут запускаться при чтении почты, новостей и т.д. Любой параметр может быть в одном из трех состояний: «Не задан», «Включен» и «Отключен». На дополнительной вкладке дано его краткое, но достаточное объяснение, поэтому разобраться с функциями, которые выполняет та или иная политика, очень просто.

Редактор объектов групповой политики позволяет добавлять и удалять расширения, поэтому администраторы, для того чтобы получить доступ к наиболее часто используемым элементам, самостоятельно настраивают представление и содержимое компонентов. Политики, определенные в «Конфигурации компьютера» (Computer Configuration), начинают действовать при запуске компьютера независимо от того, какой пользователь подключается к домену. По умолчанию здесь содержатся элементы: «Конфигурация программ» (Software Settings), «Конфигурация Windows» (Windows Settings) и «Административные шаблоны» (Administrative Templates), в которых настраиваются параметры безопасности, назначаются права и политики паролей пользователей, параметры реестра, использование групп с ограниченным доступом (Restricted Groups), политики ограниченного использования программ.

Объекты групповых политик хранятся в двух компонентах:

  • контейнер групповой политики (GPC, Group Policy Container) – хранится в AD, здесь записана информация о списке компонентов, об их версиях, статусе и свойствах;
  • шаблон групповой политики (GPT, Group Policy Template) – хранится в каталоге WindowsSYSVOLsysvolDomain_namePoliciesGUID, в шаблонах содержатся настройки безопасности, административные шаблоны, информация о доступных приложениях и прочее.

Порядок применения групповых политик

Некоторые настройки, которые можно применить как для компьютеров, так и для пользователей, идентичны, не говоря уже об иерархии GPO. Поэтому вначале следует разобраться с порядком применения групповых политик. Компьютер включен; в процессе загрузки считываются данные реестра, определяется, к какому домену принадлежит компьютер, и применяется локальный объект групповой политики. После подключения к контроллеру домена запрашивается список GPO для компьютера. Контроллер домена присылает их в таком порядке, в котором они должны быть применены. При входе пользователя в систему запрашивается список GPO, определенных для контейнера, к которому принадлежит этот пользователь. В процессе работы с периодичностью 90 минут (+/- 30 минут для исключения перегрузки контроллера домена) происходит обновление политик. Для контроллеров домена интервал обновлений составляет всего 5 минут. При необходимости изменить эти величины можно в разделе «Конфигурация компьютера/Конфигурация пользователя –> Административные шаблоны –> Система –> Групповая политика» («Computer Configuration/User Configuration -> Administrative Templates –> System –> Group Policy»). Например, интервал обновления групповых политик можно задать в диапазоне от 0 до 64 800 минут (45 дней) со случайной величиной до 24 часов, но сильно увлекаться экспериментами не стоит. Следует также помнить, что некоторые политики требуют обязательной перезагрузки системы и только после этого они будут применены. Принудительно применить политики можно, например, с помощью утилиты GPUpdate. Формат команды такой:

gpupdate [/target:{computer | user}] [/force] [/wait:<value>] [/logoff] [/boot] [/sync]

Для примера обновим все политики на локальном компьютере с последующей перезагрузкой:

> gpupdate /boot

Таким образом, GPO может действовать только на объекты «Пользователь» и «Компьютер», которые находятся в объекте каталога (подразделение, домен, сайт) и ниже по дереву, если не запрещено наследование. Сначала применяется локальное GPO, затем GPO сайта, домена (в порядке, определенном администратором), подразделения, к которому принадлежит пользователь или компьютер, от наибольшего к наименьшему. GPO одного уровня применяются, начиная снизу. Для изменения расположения политики в списке, а значит, и порядка применения, следует воспользоваться кнопками «Вверх» и «Вниз». При конфликте побеждает политика, примененная последней, за одним исключением. Так как все параметры настройки учетных записей и паролей могут быть определены только на уровне домена, на остальных уровнях установки игнорируются. Хотя в порядке применения политик тоже возможны изменения.

Как видно, вначале применяются политики компьютера, а затем политики пользователя, которые и перезаписывают первые. Последние в конфликтных ситуациях имеют верх, но такое поведение можно изменить в том же разделе «Групповая политика», включив режим обработки замыкания (User Group policy Loopback Processing). Здесь можно выбрать один из двух вариантов:

  • Merge (слияние) – сначала применяется политика компьютера, затем пользователя, затем опять компьютера, которая перезаписывает противоречащие ей пользовательские настройки. Если политика компьютера не определена, побеждает пользовательская.
  • Replace (замена) - пользовательские политики не обрабатываются.

Политики, которые могут быть наследованы с высшего уровня, мы можем заблокировать на уровне сайта, домена или подразделения. Для этого в свойствах выбранного объекта находим вкладку «Групповая политика», устанавливаем флажок внизу окна или нажимаем кнопку «Параметры выбранного GPO» и получаем следующие возможности:

  • Блокировать наследование политики (Block Policy inheritance) – запрет наследования групповых политик, полученных с более высокого уровня; при этом блокируются все наследуемые параметры, а не отдельные политики. При включенном перекрытии GPO этот параметр игнорируется.
  • Не перекрывать (No Override) – запрет перекрытия политиками вышестоящего уровня политик OU, параметры GPO с этим флагом не могут быть заблокированы. Эта опция отличается от предыдущего тем, что можно указать на отдельные политики.
  • Disabled – отключение применения GPO на текущем уровне.

Следует весьма осторожно использовать No Override и Block Policy inheritance, так как их повсеместное применение запутывает схему и затрудняет поиск и устранение неполадок.

В Windows 2000 экран входа пользователя и рабочий стол появлялись уже после того, как были применены все политики, что могло приводить к задержкам при работе по медленным каналам или при загруженности контроллера домена.

В Windows XP использован асинхронный режим ввода политик, при котором приглашение на ввод пароля и рабочий стол пользователя показываются раньше, чем применяются все политики. Таким образом, все параметры безопасности и настройки вступают в силу до того, как пользователь сможет выполнить какие-либо действия. Хотя большинство администраторов предпочитают, чтобы все политики были применены до того, как пользователь получит доступ к рабочему столу. Изменить описанное поведение можно в «Конфигурация компьютера –> Административные шаблоны –> Система –> Вход в систему –> Всегда ожидать инициализации сети при загрузке и входе в систему» («Computer Configuration -> Administrative Templates -> System -> Logon -> Always wait for the network at computer startup and logon»).

В 2003 Server опять вернулись к синхронной схеме. Кстати, если клиентский компьютер обнаруживает медленное соединение, будут применены только те параметры настройки, которые отвечают за защиту и административные шаблоны. Поведение в такой ситуации можно настроить в параметре «Обнаружение медленных подключений» (Group Policy slow link detection) раздела «Групповая политика» (здесь же указывается скорость соединения, которую следует считать медленной).

Определение действующих политик

Групповые политики - это не только гибкий, но и сложный инструмент. Учитывая иерархию и наследование политик, вручную определить конечную конфигурацию для конкретной системы невозможно, да и нет необходимости. Для этих целей следует использовать специальный инструмент RSoP (Resultant Set of Policy, результирующий набор политик), графический аналог gpresult. RSoP может работать в одном из двух режимов: регистрации и планирования. В первом случае он, используя WMI-запросы, берет информацию из базы CIMOM (Common Information Management Object Model, объектная модель управления общей информацией), выдавая конечные установки. Во втором администратор получает возможность построить запрос и получить информацию о возможном результате применения политик. Для сайтов, доменов и подразделений работа RSoP возможна только в режиме планирования, для отдельных пользователей и компьютеров доступны оба режима.

Вызвать RSoP можно как отдельную утилиту, введя в консоли rsop.msc. Чтобы узнать настройки для конкретного объекта пользователя или компьютера, отмечаем его и в контекстном меню выбираем пункт «Все задачи (All Tasks) –> Результирующая политика». Если RSoP запущен в режиме регистрации (logging), необходимо выбрать, для какого компьютера и пользователя следует определить результирующий набор, после чего через некоторое время появится окно результирующих настроек с указанием, откуда какой параметр применен.

Для управления групповыми политиками было создано множество инструментов, в том числе и сторонними разработчиками. Хочу сказать только об одном из них - Group Policy Management (gpmc.msc). Он не входит в состав ОС, но доступен для свободного скачивания с сайта Microsoft. Используя GPMC, администратор может в удобном виде добавлять, удалять, редактировать, создавать резервные копии и восстанавливать GPO, составлять отчеты, экспортировать и импортировать политики, просматривать текущие установки и моделировать применение политик.

Создание GPO

Как уже говорилось, создавать GPO можно, только привязав его к объекту сайта, домена или подразделения. Открываем консоль «Active Directory — пользователи и компьютеры», выбираем OU, затем в контекстном меню - пункт «Свойства», далее переходим на вкладку «Групповая политика» и нажимаем кнопку «Создать». Теперь даем название объекту GP и приступаем к конфигурированию политики. Для этого дважды щелкаем на созданном объекте или нажимаем «Изменить», в открывшемся окне редактора политик настраиваем параметры объекта. Если установлен gpmc.msc, то для управления GPO необходимо использовать только эту утилиту.

Групповые политики в Vista и Windows 2008 Server

Реализация групповых политик в новых ОС от Microsoft претерпела значительные изменения. Например, если раньше за ввод политик в действие отвечал процесс Winlogon, то в Vista обнаруживается целая служба, которая так и называется: «Клиент групповой политики». Консоль GPMC уже входит в поставку новых систем. Разработчики сменили формат шаблона групповой политики с ADM, который фактически не менялся со времен NT4 и породил множество нестыковок из-за своих версий, на ADMX, базирующийся на XML. Кроме изменения формата вторым не менее важным нововведением стало централизованное хранение ADMX.

Но, вероятно, первое, что бросится в глаза при знакомстве с ОС, - это появление новых параметров. По сравнению с Windows XP, их добавилось 800 штук, и теперь количество GPO превышает 2700 (полный список смотри в документе Group Policy Settings Reference, который найдешь на сайте Microsoft). Многие из них добавлены по требованию пользователей и администраторов.

Среди нововведений можно отметить также возможность управления питанием (разрешение режима гибернации, уровни заряда батарей и прочее). Учитывая большое количество вирусов и других малварей, распространяемых через устройства hot-plug, а также постоянную борьбу с утечкой информации, очень полезна возможность контроля доступа к CD/DVD- и другим устройствам типа флеш-карт. Теперь разграничения можно настроить с помощью GPO, не прибегая к утилитам вроде DeviceLock. Причем можно не только запретить использование устройства, но и конкретно указать, что разрешено: только чтение или запись. Добавилась функция настройки автопроигрывания, срабатывающая при вставке диска в привод. Пользователи с ноутбуками также доставляли много хлопот, теперь некоторые настройки упростились. Например, стало возможным автоматически установить принтер, исходя из имеющихся в текущей локальной сети, и при печати не окажется, что документы печатаются в другом офисе. Сейчас в GPO настраиваются некоторые политики встроенного брандмауэра Windows, в том числе и работа по протоколу IPSec.

Содержание
ttfb: 6.9749355316162 ms