• Подразделение настольных компьютеров. К этому подразделению относятся настольные компьютеры с постоянным подключением к сети. Параметры, которые применяются к этому подразделению, подробно описаны в приложении A «Параметры групповой политики, связанные с безопасностью».
• Подразделение переносных компьютеров. Это подразделение включает переносные компьютеры для мобильных пользователей, которые не всегда подключены к сети. Параметры, которые применяются к этому подразделению, также описаны в приложении A.
Схема объектов групповой политики для политик безопасности
Объект групповой политики – это коллекция параметров групповой политики, которые по сути являются файлам, созданными оснасткой групповой политики. Параметры хранятся на уровне домена и влияют на пользователей и компьютеры в сайтах, доменах и подразделениях.
Объекты групповой политики позволяют обеспечить применение конкретных параметров политики, прав пользователей и поведения компьютеров ко всем клиентским компьютерам или пользователям в подразделении. Использование групповой политики вместо настройки вручную упрощает управление изменениями (включая обновление) для большого количества компьютеров и пользователей. Настройка вручную не только неэффективна, так как требует посещения каждого клиентского компьютера, но и потенциально бесполезна: если параметры политики в объектах групповой политики домена отличаются от параметров, применяемых локально, параметры политики объекта групповой политики домена переопределяет примененные локально параметры.
Рисунок 1.2. Очередность применения объектов групповой политики
На предыдущем рисунке показана очередность, в которой объекты групповой политики применяются к компьютеру, являющемуся членом дочернего подразделения, от наиболее низкого уровня (1) к самому высокому (5). Сначала применяется групповая политика из локальной политики безопасности каждого клиентского компьютера под управлением Windows Vista. После применения локальной политики безопасности применяются объекты групповой политики на уровне сайта, а затем на уровне домена.
Для клиентских компьютеров под управлением Windows Vista, которые находятся в подразделении с несколькими уровнями, объекты групповой политики применяются в порядке от родительского подразделения до дочернего подразделения самого низкого уровня. В последнюю очереди применяется объект групповой политики из подразделения, содержащего клиентский компьютер. Это порядок обработки объектов групповой политики – локальная политика безопасности, сайт, домен, родительское подразделение и дочернее подразделение – очень важен, так как объекты групповой политики, которые применяются позже, переопределяют примененные ранее объекты. Объекты групповой политики пользователей применяются таким же образом.
При разработке групповой политики необходимо учитывать следующее.
• Администратор должен задать порядок связи нескольких объектов групповой политики с подразделением, или групповая политика по умолчанию будет применяться в порядке своей связи с подразделением. Если в нескольких политиках настроен один и тот же параметр, приоритет будет иметь политика с более высоким положением в списке политик контейнера.
• Для объекта групповой политики можно включить параметр Принудительный. Если выбран этот параметр, другие объекты групповой политики не смогут переопределять параметры, настроенные в этом объекте групповой политики.
Примечание. В Windows 2000 параметру Принудительный соответствует параметр Не перекрывать.
• Для Active Directory, сайта, домена или подразделения можно установить параметр Блокировать наследование политики. Этот параметр блокирует параметры объектов групповой политики, которые расположены выше в иерархии Active Directory, если для них не задан параметр Принудительный. Другими словами, параметр Принудительный имеет приоритет над параметром Блокировать наследование политики.
• Параметры групповой политики применяются к пользователям и компьютерам и зависят от места пользователя или компьютера в Active Directory. В некоторых случаях необходимо применять политику к объектам пользователей на основе расположения объектов компьютеров, а не пользователей. Функция замыкания на себя групповой политики позволяет администраторам применять параметры групповой политики для пользователя в зависимости от того, в систему какого компьютера он вошел. Дополнительные сведения об этом параметре см. в статье Замыкание на себя групповых политик.
Для внедрения описанной выше схемы подразделений требуется по крайней мере четыре объекта групповой политики:
• политика для домена;
• политика для подразделения пользователей Windows Vista;
• политика для подразделения настольных компьютеров;
• политика для подразделения переносных компьютеров.
Рисунок 1.3. Пример структуры подразделений и связей объектов групповой политики для компьютеров под управлением Windows Vista
В примере на рисунке 1.3 переносные компьютеры принадлежат к подразделению «Переносные компьютеры». Сначала применяется локальная политика безопасности на переносных компьютерах. Так как в этом примере существует только один сайт, на уровне сайта не применяются объекты групповой политики, поэтому следующим применяется объект групповой политики домена. После этого применяется объект групповой политики «Переносные компьютеры».
Примечание. Политика «Настольные компьютеры» не применяется к переносным компьютерам, так как она не связана ни с одним подразделением в иерархии, которое содержит подразделение «Переносные компьютеры».
В качестве примера очередности рассмотрим сценарий, в котором параметр политики Разрешать вход в систему через службу терминалов должен применяться к следующим подразделениям и группам пользователей:
• подразделение «Компьютеры с Windows Vista» – группа Администраторы;
• подразделение «Переносные компьютеры» – группы Пользователи удаленного рабочего стола и Администраторы.
В этом примере пользователь, учетная запись которого принадлежит к группе Пользователи удаленного рабочего стола, может входить в систему переносного компьютера через службу терминалов, так как подразделение «Переносные компьютеры» является дочерним подразделением подразделения «Компьютеры с Windows Vista», а политика дочернего подразделения имеет приоритет.
Если включить параметр политики Не перекрывать в объекте групповой политики подразделения «Компьютеры с Windows Vista», только пользователи, учетные записи которых принадлежат к группе Администраторы, смогут входить в систему переносного компьютера через службу терминалов. Это происходит потому, что параметр Не перекрывать предотвращает переопределение примененной ранее политики политикой дочернего подразделения.
Для внедрения схемы безопасности двух сред, описанных в данном руководстве, необходимо использовать консоль управления групповыми политиками и ее сценарии. Консоль управления групповыми политиками интегрирована в операционную систему, поэтому не требуется загружать и устанавливать ее каждый раз, когда требуется управлять объектами групповой политики на другом компьютере. В отличие от рекомендаций по безопасности для предыдущих версий операционной системы Windows рекомендации в данном руководстве для Windows Vista значительно автоматизируют тестирование и внедрение схемы безопасности в среде EC. Эти рекомендации были разработаны и протестированы, чтобы обеспечивать наиболее эффективный процесс и снизить накладные расходы, связанные с внедрением.
Внимание! Все процедуры, указанные в этом руководстве, необходимо выполнять на клиентском компьютере под управлением Windows Vista, который подключен к домену с Active Directory. Кроме того, пользователь, выполняющий эти процедуры, должен иметь привилегии администратора домена. При использовании операционных систем Microsoft Windows® XP или Windows Server® 2003 параметры безопасности, относящиеся к Windows Vista, не будут отображаться в консоли управления групповыми политиками.
Чтобы внедрить схему безопасности, необходимо выполнить три основные задачи:
1. создать среду EC;
2. использовать консоль управления групповыми политиками для связи политики VSG EC Domain Policy с доменом;
3. использовать консоль управления групповыми политиками для проверки результата.
В этом разделе главы описаны данные задачи и процедуры, а также функции сценария GPOAccelerator.wsf, который автоматически создает рекомендуемые объекты групповой политики.
Сценарий GPOAccelerator.wsf
Наиболее важное средство, которое устанавливается руководством по безопасности Windows Vista, – это сценарий GPOAccelerator.wsf. Основная возможность этого сценария – автоматическое создание всех объектов групповой политики, которые требуются для применения рекомендаций. При этом не требуется тратить время на редактирование параметров политики вручную или на применение шаблонов. Для клиентских компьютеров в среде EC сценарий создает следующие четыре объекта групповой политики:
• VSG EC Domain Policy длядомена;
• VSG EC Users Policy для пользователей;
• VSG EC Desktop Policy для настольных компьютеров;
• VSG EC Laptop Policy для переносных компьютеров.
Внимание! Чтобы успешно внедрить схему безопасности для среды EC, тщательно протестируйте ее перед развертыванием в рабочей среде.
• Проверка схемы в лабораторной среде. Используйте сценарий GPOAccelerator.wsf в тестовой среде для создания структуры подразделений, создания объектов групповой политики и их автоматической связи с подразделениями. После завершения тестирования можно использовать сценарий в рабочей среде.