Я думаю, у каждого системного администратора хоть раз возникало желание запретить пользователям редактирование реестра, изменение параметров рабочего стола, изменение параметров подключения Internet Explorer и прочие опции, случайное (или умышленное) изменение которых неким нерадивым товарищем может хоть и не сильно, но все же осложнить рабочий день. Как правило, в таких случаях начинаются долгие и мучительные поиски редакторов реестра, типа твикеров, применение которых влечет за собой не меньшие мучения. Так, например, что бы отредактировать реестр под сеансом конкретного пользователя, нужно сперва дать ему права администратора, что бы получить доступ к редактированию реестра, затем, с помощью твикера, запретить ненужные опции, после чего опять дать пользователю права пользователя. А если, немного позже, внезапно понадобится что-нибудь из ранее запрещенного разрешить? Совершаем ту же последовательность действий, но в обратном порядке? С виду ничего страшного, но если помножить все это, скажем, на 20 компьютеров и хотя бы на 15 пользователей? Тогда жизнь сисадмина превратится в сплошной ад. Можно, конечно, запретить ненужные опции на конкретном компьютере для всех пользователей, но тогда, для изменения каких-либо настроек, тоже прийдется каждый раз редактировать реестр, а при снятии некоторых запретов еще и перезагружать компьютер. К чему такие мучения? Теперь, после установки и настройки сервера, у вас появилась возможность настраивать запреты опций и множество других различных параметров компьютеров для пользователей домена буквально одним движением руки, используя групповые политики.
Для создания своей собственной групповой политики необходимо сначала создать подразделение, так как политки могут быть применены только в его рамках. Для создания подразделения зайдите в консоль "Active Directory - пользователи и компьютеры", вызовите контекстное меню сервера и выберите пункт "Создать" -> "Подразделение".
В следующем окне введите имя подразделения, например, "Proba", и нажмите "Ок".
Теперь для создания политики вызовите свойства подразделения, затем в окне свойств передите на закладку "Групповая политика".
В закладке "Групповая политика" нажмите кнопку "Создать", и введите название создаваемой политики, например, "Моя первая групповая политика".
Коротко рассмотрю основное назначение остальных кнопок этого окна. Кнопка "Параметры" - в вызванном ее нажатием окне можно задать, будут ли параметры других политик (например, политики безопасности домена) перекрывать параметры этой политики. Также здесь можно временно отключить данную политику.
Кнопка "Добавить" - здесь можно добавить ссылки на другие объекты групповой политики. Кнопка "Удалить" - и так ясно. Кнопка "Свойства" - вызывает окно свойств созданной политики. Здесь можно отключить параметры конфигурации компьютера или пользователя, настроить безопасность в отношении данной политики.
И, наконец, кнопка "Изменить" - самая важная кнопка! ;-) После ее нажатия появится окно настройки групповой политики.
Обратите внимание, что существуют две основные категории параметров групповой политики - параметры конфигурации компьютера и параметры конфигурации пользователя. Чем же они отличаются? Параметры конфигурации компьютера применяются к компьютеру в целом, то есть действуют в отношении всех пользователей, входящих в систему на данном компьютере, без различия, гости они, пользователи или администраторы. Параметры конфигурации пользователя действуют только в отношении конкретно заданных пользователей. Далее я опишу основные параметры групповой политики. Описывать все параметры, во-первых, сложно, так как их очень много, во-вторых, ко многим из них и так даны очень хорошие и подробные пояснения, и в-третьих, если даже сейчас вы чего-нибудь не поймете, то со временем, почитав более серьезную литературу, находя нужную информацию в Internet и набираясь опыта, сами во всем разберетесь. При описании я буду указывать путь к параметру в квадратных скобках [ ], название самого параметра в ковычках " ".
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей] -
здесь можно задать требования к длине, сроку действия, сложности и другие параметры паролей пользователей.
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита] - здесь можно настроить аудит (отслеживание и протоколирование) различных системных событий.
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя] -> "Добавление рабочих станций к домену" - определяет пользователей, которые могут добавлять компьютеры в домен.
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя] -> "Доступ к компьютеру из сети" - определяет пользователей, которые могут подключаться к сетевым ресурсам компьютеров.
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя] -> "Завершение работы системы" - определяет пользователей, которые могут осуществлять завершение работы системы под своим сеансом на компьютере.
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя] -> "Загрузка и выгрузка драйверов устройств" - определяет пользователей, которые могут осуществлять загрузку и выгрузку драйверов на компьютерах.
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя] -> "Локальный вход в систему" - определяет пользователей, которые могут осуществлять локальный (интерактивный) вход в систему.
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя] -> "Увеличение квот" - определяет пользователей, которые могут осуществлять увеличение квот на жестких дисках.
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности] -> "Заголовок сообщения для пользователей при входе в систему" - определяет заголовок сообщения, появляющегося после нажатия клавиш Ctrl+Alt+Del пользователем при входе в систему.
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности] -> "Текст сообщения для пользователей при входе в систему" - определяет текст сообщения, появляющегося после нажатия клавиш Ctrl+Alt+Del пользователем при входе в систему.
С помощью этих двух параметров можно задать сообщение, которое каждый раз будет появляться при нажати клавиш Ctrl+Alt+Del во время входа пользователей в систему. Например, в заголовке "Внимание!!!", текст "Не забывайте проверять дискеты на наличие вирусов!".
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности] -> "Дополнительные ограничения для анонимных подключений" - стоить установить это параметр в положение "Нет доступа без явного разрешения анонимного доступа".
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности] -> "Запретить пользователям установку драйверов принтера" - думаю, тут и так все ясно.
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности] -> "Отключить CTRL+ALT+DEL запрос на вход в систему" - а вот этого делать не стоит.
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности] -> "Переименование учетной записи администратора" - очень хороший параметр. Может неплохо сбить с толку потенциального не очень опытного взломщика. Самого же "Администратора" можно завести, как обычного пользователя, и настроить на него аудит. Все, мышеловка готова ;-)
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности] -> "Разрешить завершение работы системы без выполнения входа в систему" - в принципе, тоже все понятно.
[Конфигурация компьютера -> Кофигурация Windows -> Параметры безопасности -> Журнал событий -> Настройка протоколирования] - настройка сохранения событий в журналах и правил доступа к ним.
[Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> NetMeeting] -> "Запретить удаленное управление рабочим столом" - запрещает удаленное управление рабочим столом с помощью NetMeeting.
[Конфигурация пользователя -> Кофигурация Windows -> Поддержка Internet Explorer] - в этой папке вы можете настроить почти все свойства Internet Explorer, от подключения до безопасности, причем одним движением руки и сразу для всех пользователей (только тех, для которых создается эта политика, разумеется).
[Конфигурация пользователя -> Кофигурация Windows -> Перенаправление папки] - здесь можно перепаправить папки "Мои документы", "Рабочий стол" и "Главное меню" в любое другое место. Например, если хотите, что бы все пользователи сохраняли документы не локально в своем профиле, а в сетевой папке \\server\docs\, просто вызовите в контекстном меню свойства папки "Мои документы" и укажите ей путь \\server\docs\. Также можно выложить в сети папку с заранее подготовленными ярлыками и перенаправить в нее рабочий стол. Единственное что, в этом случае дайте пользователям для этой папки доступ "Только чтение", иначе если кто-нибудь удалит ярлык или сохранит на рабочий стол свой документ, эти изменения отобразятся у всех. А вот как сделать единое для всех главное меню, вы, думаю, уже догадались.
В дальнейших параметрах тоже не вижу ничего сложного. Даже если у вас английская версия Windows, с ними вполне можно разобраться, используя программу-переводчик и пояснения.
Теперь объясню, как применить созданную групповую политику к нужным вам компьютерам и пользователям. Выберите нужные вам компьютеры (если надо выбрать несколько сразу - используйте мышь при нажатой клавише Ctlr), затем вызовите контекстное меню, выберите в нем пункт "Переместить", и в окне перемещения выберите подразделение, для которого создали групповую политику. То же самое проделайте и с пользователями. И навсегда запомните: политики вступают в силу ТОЛЬКО ПОСЛЕ ПЕРЕЗАГРУЗКИ КОМПЬЮТЕРА.
Если вас не устраивает, что пользователи находятся в одном подразделении с компьютерами, можете создать для компьютеров отдельное подразделение, переместить их туда и применить к нему ранее созданную политику. Эффект будет прежним. Можете также, используя отключение параметров конфигурации для пользователей и компьютеров в свойствах групповых политик, создавать отдельные политики для пользователей и для компьютеров.
[Предыдущая глава] [Следующая глава]
[Скачать статью полностью (2 Mb)]
[Вернутся к оглавлению]
© Drakon, 2005-2006
Сайт управляется системой
uCoz