Одноранговые сетевые ОС и ОС с выделенными серверами
Системы семейства Windows NT
Криптография
Симметрические функции
Применение шифрования
Стеганография
Доступ к ресурсам
Шифрованная файловая система
Сетевая безопасность Windows 2000 Advanced Server
Групповые политики
Безопасность общих папок
Технологии VPN
L2TP
Навигация
Групповые политики
Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования
115666
знаков
3
таблицы
8
изображений
6.1.3. Групповые политики
Групповая политика (Group Policy) — это основной механизм Windows 2000 при управлении конфигурацией клиентских рабочих станций для контроля за безопасностью и для администрирования. Политики (policy) — это, в общем случае, просто наборы изменений в установках компьютера по умолчанию. Политики обычно организуются так, чтобы отдельные политики содержали изменения, реализующие конкретную цель — например, отключение или включение шифрования файловой системы или контроль за программами, которые разрешено запускать пользователю.
Групповые политики (Group Policies) применяются к элементам контейнера Active Directory (таким, как домен или Organizational Unit (Подразделение)). Группы безопасности могут быть использованы для фильтрации групповых политик, но политики нельзя применять к группам безопасности. Групповая политика Windows 2000 не является только механизмом безопасности — ее основное предназначение состоит в управлении изменениями и конфигурацией, — но она позволяет администраторам создавать дополнительные системы безопасности, ограничивая свободу действий пользователей. Групповые политики можно применять для управления следующими элементами политик компьютера (computer policy):
§ настройки реестра, связанные с конфигурацией и управлением безопасности;
§ установка программного обеспечения;
§ сценарии, выполняющиеся при загрузке-завершении работы и входе-выходе из системы;
§ запуск служб;
§ разрешения реестра;
§ разрешения NTFS;
§ политики открытого ключа;
§ политики IPSec;
§ настройки системы, сети и компонентов Windows.
Групповые политики можно применять для управления следующими элементами политик пользователя (user policy):
§ установка программного обеспечения;
§ настройки Internet Explorer;
§ сценарии входа-выхода в систему;
§ настройки безопасности;
§ Remote Installation Service (служба удаленной установки);
§ перенаправление папок;
§ компоненты Windows;
§ настройки стартового меню, панели задач, рабочего стола и Control Panel (Панель управления);
§ сетевые настройки;
§ настройки системы.
Объекты групповой политики (Group Policy Objects) по существу являются настраиваемыми файлами реестра (и файлами поддержки, такими, как пакеты .msi и сценарии), определяемыми настройками политики, которые загружаются и применяются к входящим в домен клиентским компьютерам при начальной загрузке компьютера (конфигурация компьютера) и при входе пользователя в систему (конфигурация пользователя). Объекты групповой политики и все файлы поддержки, требуемые для групповой политики, хранятся на контроллерах домена в общей папке SysVol. К одному компьютеру могут применяться несколько групповых политик, при этом каждая политика будет перезаписывать настройки предыдущей политики в соответствии со сценарием «действует последняя примененная» — если только определенная политика не сконфигурирована так, чтобы ее нельзя было перезаписать.
Каждый объект групповой политики состоит из двух частей: конфигурации компьютера и конфигурации пользователя. Можно сконфигурировать настройки и пользователя, и компьютера в одном объекте групповой политики, а в окне свойств политики можно отключить часть объекта, относящуюся к пользователю или компьютеру.
Политики компьютера применяются во время начальной стадии работы системы перед входом пользователя в систему (и во время периодических восстановлений). Политики компьютера регулируют операционную систему, приложения (включая Windows Explorer) и сценарии, выполняющиеся при загрузке-завершении работы. В случае конфликта политики компьютера обычно имеют преимущества над политиками пользователя.
Политики пользователя применяются после того, как пользователь вошел в систему, но перед тем, как ему будет разрешено работать на компьютере, а также во время цикла периодических обновлений. Политики пользователя регулируют поведение операционной системы, настройки рабочего стола, настройки приложений, перенаправление папок и пользовательские сценарии входа-выхода в систему.
Групповые политики называются групповыми политиками потому, что они применяются к группам пользователей, а именно к членам контейнеров Active Directory, таких как домены или контейнеры OU. Групповые политики иерархичны по своей природе: многие политики могут быть применены к одному компьютеру или пользователю, они применяются в порядке иерархии. Кроме того, последующие политики могут перекрыть настройки предыдущих политик. Это означает, что отдельные элементы политики можно детализировать при переходе от применяемых к большим группам, таким как домены, политик широкого действия, к узконаправленным политикам, применяемым к меньшим группам, таким как контейнеры OU.
Групповые политики конфигурируются на следующих уровнях в следующем порядке.
Локальный компьютер. Групповая политика применяется первой, поэтому она может быть перекрыта политикой домена. У каждого компьютера существует одна применяемая к нему локальная групповая политика. Нелокальные групповые политики загружаются из Active Directory в зависимости от месторасположения пользователя и компьютера в Active Directory.
Офис. Эти групповые политики уникальны тем, что они управляются из оснастки Active Directory Sites and Services (Сайты и службы). Политики офисов применяются к офисам, поэтому их следует применять для вопросов, связанных с физическим расположением пользователей и компьютеров, а не с участием в безопасности домена.
Домен. Групповые политики применяются ко всем пользователям и компьютерам в домене, и именно здесь следует реализовывать глобальные политики организации.
Контейнер OU (Organizational Unit). Групповые политики применяются к входящим в них пользователям и компьютерам. Групповые политики применяются сверху вниз (родитель, затем потомок) иерархии OU.
Группа безопасности. Группы безопасности функционируют по-другому, чем настоящие контейнеры доменов. В этом случае не определяются групповые политики, применяемые к группе безопасности, а фильтруются (разрешаются или запрещаются) применяемые к пользователю групповые политики на основе вхождения пользователя в группы безопасности.
Групповые политики применяются только целиком, нельзя указать, чтобы применялась только часть политики.
Одна групповая политика может быть применена более чем к одному контейнеру в Active Directory, потому что групповые политики не хранятся в Active Directory месте их применения. Хранится только ссылка на объект групповой политики, сами объекты на самом деле хранятся в реплицируемой общей папке SysVol на контроллерах домена в домене.
Групповая политика домена управляется через оснастку Active Directory Sites and Services для групповых политик офисов или оснастку Active Directory Users and Computers (Пользователи и компьютеры) для всех остальных нелокальных групповых политик.
Одна политика может быть применена к нескольким контейнерам Active Directory, хотя нет необходимости явно применять политику к детям контейнера, к которому уже применена политика, потому что политика будет уже применена к принципалу безопасности.
Похожие работы
... c 4.2 Firewall a c c 4.3 Аудит доступа a c c 5 Общая оценка состояния сервера a c c Отчет по состоянию сети п/н Критично Не удовлет-ворительно Удовлет-ворительно 1 Сегмент ЛВС c c a 2 Канал выхода в Интернет c c a 3 Защита от НСД изнутри a c c 4 Защита от НСД из вне a c c 5 Общая оценка состояния ЛВС c a c 1 Сегмент ЛВС c c a 1.1 ...
... . Становление рыночной экономики в России породило ряд проблем. Одной из таких проблем является обеспечение безопасности бизнеса. На фоне высокого уровня криминализации общества, проблема безопасности любых видов экономической деятельности становится особенно актуальной. Информационная безопасность среди других составных частей экономической безопасности (финансовой, интеллектуальной, кадровой, ...
... разрабатываются специально для Windows 9x, особенно для Windows 95. Такие программы создаются без учета огромного количества особенностей, отличающих мощные сетевые операционные системы Windows NT/2000 от операционных систем Windows 9x, предназначенных для домашних персональных компьютеров. Основной причиной нарушений в работе таких приложений является система безопасности NT/2000. Например, если ...
... К. Сатпаева» для просмотра и ввода информации системы оперативно-диспетчерского контроля и управления, создаваемые на Visual Basic. Специфика используемого в системе оперативно-диспетчерского контроля и управления РГП «Канал им. К. Сатпаева» ПО такая, что разработка ПО, как таковая, может производиться только при создании самой системы. Применяемое ПО является полуфабрикатом. Основная задача ...
0 комментариев