Red Line Software - мы помогаем вам управлять эффективностью работы вашего офиса.

Если вы хотите прочесть предыдущие части этой серии статей, перейдите по ссылке: Изменения, связанные с политикой групп в Windows Server 2008 – часть 3: Введение в привилегии политики групп

В первой части этой серии статей мы обсуждали пусковую систему "Starter GPOs". Во второй части мы рассматривали консоль Group Policy Management Console (GPMC) версии 2 и ее новый поиск, фильтры и общие опции. Третья часть ознакомила вас с привилегиями политики групп (Group Policy Preferences), а в четвертой части мы детально рассмотрим привилегии политики групп, включая действия, позиционирование на уровне элементов, импорт/экспорт, общие опции, клавиши быстрого доступа и прочее.

Обратите внимание на то, что некоторая информация в этой статье основана на данных бета версии Windows Server 2008 (Beta 3, RC0 и RC1). Поэтому в окончательной версии некоторые параметры и диалоговые окна могут быть слегка изменены. Привилегии политики групп являются частью Release Candidate 1 (RC1) бета версии Windows Server 2008.

Действия (Actions)

Для каждого параметра привилегий политики групп (Group Policy Preference - GPP) вы обычно можете выбрать четыре различных действия (рисунок 1). Эти действия будут определять то, как расширение клиентской стороны (Client Side Extension - CSE) будет обрабатывать элемент привилегии.

Рисунок 1: Вкладка «Общие» в свойствах окружения

Вот краткий обзор доступных действий:

1. Создать = создание нового параметра, если он не существует на нужной машине.
2. Заменить = удаление параметра, если он существует и установка нового параметра на его место ("воссоздание").
3. Обновить (по умолчанию) = действие по умолчанию, которое модифицирует существующие параметры. Если параметры отсутствуют, они будут заданы.
4. Удалить = удаление параметров привилегии на определенной машине.

Заметка: Скорее всего, мы увидим действие Мигрировать (Migrate), когда компания Microsoft выпустит некоторые дополнения к узлу приложений (подробнее об этом далее).

Выбор правильного действия очень важен, но в большинстве случаев опции по умолчанию (Обновить) будет вполне достаточно.

Вкладка «Общие» и порядок обработки

Давайте рассмотрим вкладку «Общие» (Common) для параметров GPP. Здесь мы можем определить то, как CSE будет обрабатывать определенный параметр привилегии (или "элемент").

Рисунок 2: Вкладка свойств окружения «Общие»

Если вы нажмете по вкладке Общие для любого GPP, у них всех будут одинаковые опции, и это следующие опции (хотя неподходящие опции могут быть неактивными, как показано на рисунке 2):

"Прекратить обработку элементов в этом расширении, если возникнет ошибка". Эта опция меняет стандартное управление ошибками. Если возникает ошибка во время GPP обработки, действием по умолчанию будет продолжение обработки следующих привилегий по очереди. Для изменения этого действия выберется данная опция – это остановит процесс обработки последующих элементов привилегии в том же расширении/категории внутри текущего GPO.

"Работать в безопасном контексте зарегистрированного пользователя (опция политики пользователя)". Эта опция изменяет стандартный контекст пользователя. Обычно привилегии обрабатываются, используя локальную учетную запись системы (SYSTEM), выбор этой опции обеспечит использование контекста пользователя вместо системы. Network Drive и Printer Mappings игнорируют этот параметр, так как они всегда используют контекст пользователя.

"Удалить этот элемент, когда он больше не применяется". С помощью этой опции можно удалить параметр привилегии, когда пользователь или компьютер выходит за рамки области управления. Вам нужно быть крайне осторожными с этой опцией, так как она может, в зависимости от тех действий, которые вы выберите, удалить параметры полностью (например, регистрационные значения), а не просто заменить его изначальным значением, как вы подумали. При выборе этой опции действие "Обновить" будет продвинуто.

Пример (небольшое предупреждение) Допустим, у вас есть приложение, которое жестко закодировано на осмотр следующей части системного реестра для определения конкретных параметров данного пользователя во время запуска (например, выбранная пользователем визуальная тема): Current User > Software > Windowsecurity.com > MyTheme = "Default"

Затем администратор решает задать всем пользователям определенную тему в приложении путем создания регистрационной привилегии, которая назначает объекту "MyTheme" значение "DeepPurple". Он/а также выбирает опцию "Удалить элемент, если он больше не используется" для регистрационной привилегии. Все работает отлично в течение пары месяцев, после чего принимается решение разъединить GPO с целью возврата изначального значения. Но случится следующее, строка значения "MyTheme" будет безвозвратно удалена, и в худшем случае это приведет к неисправности приложения. Поэтому рекомендуется тщательно протестировать поведение этой опции, прежде чем использовать ее в производственном окружении. Итак, будьте внимательны!

"Применить однажды и больше не применять". Эта опция меняет стандартное поведение, которое представляет собой обработку параметров привилегии с каждым фоновым обновлением. Однако следует отметить, что определенные привилегии обрабатываются только во время входа по умолчанию (например, Network Drive и Printer Mappings). Благодаря этой опции CSE применяет определенные элементы привилегий только единожды, и больше никогда. С этого момента пользователь может делать все, что ему заблагорассудится с параметрами привилегии в конфигурации пользователя – или если это привилегии конфигурации компьютера, машина никогда больше не будет обрабатывать этот параметр привилегий.

"Позиционирование на уровне элементов" - это нечто вроде WMI фильтров, но только для выбранных параметров привилегий, а не для всего GPO (как в случае с WMI фильтрами) или других привилегий для этого раздела. Мы рассмотрим более подробно эту опцию далее в этой статье.

Порядок обработки и опции меню Порядок обработки элементов привилегий может быть выбран администратором вручную – или вы можете использовать стандартный порядок, который отлично подходит.

Зеленные стрелки вверх и вниз (рисунок 3) позволяют вручную определить порядок обработки привилегий в рамках конкретной категории.

Рисунок 3: Порядок обработки и опции меню (для категории локальных пользователей и групп)

Это краткий обзор опций меню, которые показаны на рисунке 3:

Иконка "знак вопроса" вызывает окно помощи для привилегий открытой категории. Файл помощи весьма хорош и охватывает большинство общих ситуаций.

Иконка "документы" позволяет отображать XML данные для выбранных элементов.

Иконка красного сигнала "стоп" позволяет отключать выбранный элемент привилегии. Это означает, что CSE вообще не будет обрабатывать этот элемент. Иконка меняет свой цвет на зеленый, когда элемент привилегии дезактивирован. Нажатие на зеленый значок повторно активирует этот элемент.

SYSVOL

Вас, возможно, заинтересует то, как GPP на самом деле работает – или вы уже догадались. Привилегии работают подобно обычной технологии политики групп, CSE берет все, что требуется, из SYSVOL и применяет параметры к клиенту (в большинстве случаев в контексте учетной записи SYSTEM).

Рисунок 4: Различные категории привилегий политики групп

GPPs, по сути, представляют собой папки и файлы – да, вы догадались: файлы в формате XML, добавленные в SYSVOL. Папка "Привилегии" создается либо в "\User" (для привилегий конфигурации пользователя), либо в "\Machine" (для привилегий конфигурации компьютера) папке внутри GPO в SYSVOL. А для каждой категории привилегий (рисунок 4) папка создается в папке "Привилегии" (рисунок 5).

Рисунок 5: Папка создается для каждой активной категории привилегий политики групп

В каждой папке категории вы найдете XML файл для каждого параметра привилегии (который у вас есть) содержащий соответствующие опции конфигурации – просто и очень эффективно!

Позиционирование на уровне элементов (Item Level Targeting)

Позиционирование на уровне элементов (Item Level Targeting (ILT)) – это дополнительный фильтр, к тем которые содержатся в самом GPO (WMI и фильтры группы безопасности), который применяется к конкретному элементу GP привилегии исключительно в рамках GPO – а не для всего объекта GPO, как в случае с существующими опциями фильтров. Например, если вы создали объект GPO, который имеет элемент GPP, создающий ресурс на клиенте, вы можете установить нечто вроде фильтра только для этого элемента, чтобы убедиться, что тем самым вы затронули только компьютеры/пользователей, к которым применен определенный вами параметр(ы) ILT. В рамках одного GPO вы можете иметь несколько элементов привилегии, каждий из которых имеет свою целевую опцию(ии).

С помощью ILT вы можете использовать логические функции, такие как и/или, да/не. Вы можете создавать коллекции логических функций, чтобы было удобнее и проще работать. ILT – немного быстрее, чем фильтры WMI, поскольку они используют встроенные API операционной системы вместо WMI.

Вот полный список условий, которые вы можете использовать в ILT "фильтрах": Наличие батареи, имя компьютера, скорость ЦП, соответствие данных, Dial-Up соединения, место на диске, домен, переменная окружения, соответствие файла, диапазон IP адресов, язык, LDAP запрос, диапазон MAC адресов, MSI запрос, ОС, организационная единица, наличие PCMCIA, портативный компьютер, режим обработки, RAM, соответствие реестра, группы безопасности, сайт, сеанс терминала, диапазон времени, пользовательский и/или выборочный WMI запрос. Впечатляет, не правда ли?

Вы также можете добавлять метки и комментарии коллекциям или элементам ILT для более удобного обзора – позиционирование может быть довольно сложным в большом окружении.

На рисунке 6 показан "Редактор позиционирования" с двумя коллекциями, каждая коллекция с несколькими логическими ILT элементами (или 'запросами') – одна из коллекций обязательно подойдет для определенных параметров привилегии при ее применении к объектам пользователя или компьютера.

Рисунок 6: Редактор позиционирования

ILT обеспечивает нас конечным контролем того, кто какие элементы привилегии получит.

Экспортирование и импортирование привилегий политики групп

Ваши объекты GPP можно легко экспортировать в XML. Просто нажмите правой клавишей на привилегии, выберите «Копировать», а затем «Вставить» на рабочий стол или другую папку - и XML файл будет создан. Этот документ будет содержать все, что вам нужно будет импортировать GPP в другой объект GPO (или в окружение для этой категории). Для импортирования XML документа вам нужно лишь «Копировать» и «Вставить» документ в область привилегии в редакторе Group Policy Management Editor. Даже метод Drag & Drop работает для импортирования и экспортирования – все крайне просто.

Совет: Если вы откроете XML документ (используя блокнот, XML блокнот, Internet Explorer или другие программы), вы быстро сможете определить параметры привилегии – включая конфигурацию ILT. При необходимости просто скопируйте раздел ITL в другие политики, где вам нужен такой же фильтр – на самом деле с этой программой очень легко работать. Этот совет может быть полезен в ситуациях, когда вам нужно использовать определенный ILT "фильтр" для многих различных элементов привилегий.

Горячие клавиши, цвета и переменные

Некоторые "скрытые" (возможно даже слишком скрытые?) опции доступны в различных местах в GPP GUI. Вы можете поинтересоваться, для чего нужны зеленые линии (рисунок 7) или круги (рисунок 8).

Рисунок 7: Свойства опций папки и цветные линии

Зеленая линия под параметром, например, "Скрыть расширения известных типов файлов" в свойствах папки привилегий (показанных выше), указывает на то, что он должен быть обработан CSE. Пунктирная зеленая линия означает, что параметр не будет обрабатываться CSE независимо от того, каково заданное значение. В окне свойств Internet Explorer вы найдете те же цвета, однако здесь используются не линии, а кружки, хотя значение цветов точно такое же.

Рисунок 8: Окно свойств Internet Explorer и цветные кружки

Вот краткий обзор некоторых клавиш быстрого доступа, которые облегчают определение того, будет ли определенный элемент (или все элементы) привилегий обрабатываться CSE:

F5: Определить все параметры в этом диалоговом окне - Разрешает обработку всех параметров в диалоговом окне. Очень полезная опция на тот случай, если вы дезактивировали некоторые параметры, а затем хотите "возобновить" их работу.

F6:Определить выбранный на текущий момент параметр - Разрешает обработку одного параметра в диалоговом окне. Очень полезная опция в случае, если вы дезактивировали один параметр, используя F7, и хотите заново активировать этот элемент.

F7:Не определять выбранный на текущий момент параметр - Дезактивирует обработку одного параметра в диалоговом окне. Полезен, если вы хотите "обойти" один параметр при обновлении или изменении на клиенте

F8:Не определять параметры в этом диалоговом окне - Дезактивирует обработку всех параметров в этом диалоговом окне. Полезен, если вы хотите избежать установки параметров одной вкладки на клиенте.

Переменные. Во многих случаях полезно иметь возможность использовать переменные для установки различных/индивидуальных значений для пользователя/компьютера и т.д. Нажатие клавиши F3 вызывает список общих доступных переменных (рисунок 9). Обычно следует отмечать опцию "Resolve Variable", поскольку она будет распознавать переменные, когда привилегия обрабатывается на клиентской стороне – или просто будет представлять имя переменной, например "%AppDataDir%", но этот вариант используется крайне редко.

Рисунок 9: Окно выбора с общими переменными (клавиша F3)

Дополнительные возможности

К сожалению я не могу охватить всю технологию GPP в этих статьях, но позвольте мне вкратце упомянуть некоторые дополнительные возможности:

Регистрация и слежение (Logging & tracing). Можно задавать детальную регистрацию работы CSE – каждая категория привилегий имеет свои опции регистрации (например, "Data Sources Policy Processing", "Environment Policy Processing", "Registry Policy Processing" и т.д.). Политика групп (или составление реестра) может использоваться для создания различных CSE журналов того, что происходит за гранью видимого. Иногда диагностика файлов журналов – это единственный путь к успеху, но по умолчанию регистрация не включена. Вы найдете параметры политики регистрации и слежения по следующему пути: Computer Configuration | Policies | Administrative Templates | System | Group Policy | Logging and tracing

События. Прикладной журнал (Windows Application log) включает информацию о событиях для каждой категории GPP. Каждая категория имеет свой источник событий, что позволяет с легкостью фильтровать журнал событий.

Параметры и отчеты результатов (Settings & results reports). Была проделана огромная работа для того, чтобы позволить администраторам генерировать отчеты параметров в GPMC, как и в политиках групп "старого образца". Это облегчает работу с документацией и дает отличный обзор того, что делает каждая политика.

То же самое справедливо и для отчетов результатов политики групп (Group Policy Results reports) – они включают привилегии, однако параметры ILT не рассчитываются (вероятно потому, что он используют локальный API вместо WMI). Приложения На данный момент компания Microsoft не делала никаких официальных заявлений по поводу привилегий для приложений, которые мы имели в DesktopStandard PolicyMaker (рисунок 10). Содержимое привилегий приложений, которое пусто по умолчанию, скорее всего, будет доступно в качестве отдельно скачиваемого дополнения в будущем.

Рисунок 10: Привилегии приложений в PolicyMaker

Шифрование Если вы беспокоитесь о том, как хранятся пароли для различных учетных записей (зная, что простые XML файлы используются для привилегий), то могу вам сказать, что они зашифрованы. Я пока не знаю, какой алгоритм используется, но могу сказать вам, что слово "password" переводиться в "wWHIrHyXsbFpBhpQ/fMKbwEEg3Ko0Es+RskCj/W6F8I", а слово "Password" переводиться в "VPe/o9YRyz2cksnYRbNeQmFQgz60no44B/3YywYtmYU" – кто бы догадался?

Я попытаюсь добыть подробную информацию и размещу ее позже – а пока, все, что я могу сказать, хорошо, что небольшое изменение в простой текстовой строке (буква "p" нижнего регистра и буква "P" верхнего) дают огромные изменения в строке шифра.

Наложения политики и привилегии. Как вы, возможно, заметили, у нас есть наложения между обычными политиками и привилегиями. Например, наложения существуют для параметров Internet Explorer, Развертывания принтера (Printer deployment), Опций Power, Файловой безопасности, ограничений устройств и параметров сервисов – но не стоит паниковать! Посмотрите на это, как на новые возможности, а не как на проблему – настройка вашего окружения именно так, как вы того хотите, будет еще более гибкой, когда эти две технологии идут вплотную.

Как мне все это получить?

Самое невероятное, когда речь идет о привилегиях политики групп, заключается в том, что они предоставляются практически бесплатно от компании Microsoft.

Все, что вам нужно – это Windows Server 2003 или 2008 окружение домена, одна машина с Windows Vista Service Pack 1 и загруженный пакет Remote Server Administration Toolkit (RSAT). После чего вы можете использовать машину с Vista SP1 для редактирования объектов GPO и включения привилегий по своему выбору. Конечно, Windows Server 2008 тоже можно использовать в качестве станции управления политикой групп.

Чтобы привилегии работали на корпоративных машинах, компьютеры должны быть оснащены CSE клиентами. Такого клиента можно скачать для Windows XP и более новых версий (CSE интегрирован в Windows Server 2008). Клиент CSE (маленький MSI файл) может быть установлен с помощью Group Policy Software Installation (GPSI). Windows 2000 не поддерживает использование Microsoft GPP. Также следует обратить внимание на то, что привилегии не доступны для локальных политик.

Заключение

Windows Server 2008 и GPMC версии 2 не предоставляют какие-то чудесные новые параметры, связанные с политикой групп. Некоторые являются мелкими усовершенствованиями, другие большими улучшениями. Большая их часть, несомненно, может быть очень полезной для администраторов.

Привилегии политики групп дают нам возможность более простой настройки посредством обычного пользовательского интерфейса, избавляют нас от необходимости создавать и обслуживать сложные сценарии конфигурации, дают больше гибкости (администратор может изначально настроить элемент привилегии, но позволить пользователю изменить эти параметры позже), вам понадобится меньше образов и конечно дополнительных настроек и опций безопасности (упомянутых в третьей части этой серии) – и нам даже не нужно тратить уйму денег, чтобы получить все это!

Дополнительные ссылки

• Group Policy Preferences Frequently Asked Questions
• Group Policy

Обновление

С момента публикации этой статьи, компания Microsoft выпустила требуемые расширения Group Policy Preference Client Side Extensions. Вот ссылки:

• GPP CSEs for Windows Vista (KB943729)
• GPP CSEs for Windows Vista x64 Edition (KB943729)
• GPP CSEs for Windows Server 2003 (KB943729)
• GPP CSEs for Windows Server 2003 x64 Edition (KB943729)
• GPP CSEs for Windows XP (KB943729)
• GPP CSEs for Windows XP x64 Edition (KB943729)

Если вы хотите прочесть предыдущую часть этой серии статей, перейдите по ссылке: Изменения, связанные с политикой групп в Windows Server 2008 – часть 3: Введение в привилегии политики групп

Автор: Якоб Хейдельберг (Jakob H. Heidelberg)

Якоб Хейдельберг -Системный консультант, который работает на Interprise Consulting A/S. Якоб является переводчиком большинства статей Microsoft на датский язык. Он также пишет в своем блоге, и любит выкладывать так много нового материала насколько возможно в пределах мира Microsoft, но в настоящее время, он специализируется на передаче сообщений, проблемах контроля и безопасности.