Создание и конфигурирование объектов групповой политики (модуль 5)

1.

Центр инноваций Microsoft МЭИ(ТУ)
Модуль 5: Создание и
конфигурирование
объектов групповой
политики

2. Модуль 5: Создание и конфигурирование объектов групповой политики

Определение понятия групповой политики
Конфигурирование политик безопасности
Настройка области действия объектов групповой
политики
Проверка применения объектов групповой политики
Управление объектами групповой политики
Конфигурирование предпочтений групповой политики
Конфигурирование сценариев и перенаправления
папок средствами групповой политики

3. Занятие 1: Определение понятия групповой политики

• Что такое групповая политика?
• Параметры групповой политики
• Как применяется групповая политика
• Особые случаи при применении групповой политики
• Компоненты групповой политики
• Административные шаблоны
• Описание файлов ADM и ADMX
• Описание центрального хранилища

4. Что такое групповая политика?

Групповая политика позволяет IT специалистам
автоматизировать централизованное управление
пользователями и компьютерами
Групповая политика используется для:
• Применения стандартных настроек
• Развертывания программного обеспечения
• Безусловного задания настроек безопасности
• Обеспечение единой среды работы пользователей
Локальная групповая политика всегда воздействует на
локальных и доменных пользователей и локальные рабочие
станции

5. Параметры групповой политики

Group Policy
settings for
Параметры
users
control
пользователя:
these settings:
• Настройки программ
• Настройки Windows
• Настройки безопасности
• Настройки рабочего
Параметры
компьютера:
стола
Настройки программ
Настройки Windows
Настройки безопасности
Настройки компонентов
операционной системы

6. Каким образом применяется групповая политика?

Загрузка
компьютера
Интервал обновления: каждые 90 минут
• Применяются
параметры компьютера
• Выполняются сценарии
автозагрузки
Вход пользователя
в систему
Интервал обновления: каждые 90 минут
• Применяются
параметры пользователя
• Выполняются сценарии
входа в систему

7. Особые случаи при применении групповой политики

• 500 килобит в секунду(Кб/с) по умолчанию
• Некоторые расширения со стороны клиента не
Медленные
каналы связи
применяются
• До Windows Vista, для определения медленных
каналов использовался протокол ICMP
• Windows Vista и Widows 7 используют Службу
сетевого расположения (NLA)
• Windows XP, Windows Vista и Windows 7
Кэшированные
данные
учетной записи
используют кэшированные данные для быстрого
входа в систему
• Некоторые настройки групповой политики
требуют до двух входов в систему для их
инициирования
Кроме того, учитываются факторы при:
• Подключениях удаленного доступа
• Перемещении объекта пользователя или компьютера в AD DS

8. Компоненты групповой политики

Контейнер для объектов
групповой политики
Объект групповой
политики
• Расположен в AD DS
• Предоставляет информацию о
версиях
Шаблон групповой
политики
• Содержит параметры групповой
политики
• Хранит содержимое в двух разделах
• Расположен а общей папке SYSVOL
• Содержит предопределенные
параметры групповой политики
• Предоставляется в формате ADM и
ADMX

9. Описание административных шаблонов

Административные шаблоны позволяют настраивать среду
операционной системы и пользовательское окружение.
Шаблоны поставляются в виде файлов ADM и ADMX
Шаблон раздела
компьютера:
• Компоненты Windows
• Система
• Сеть
• Принтеры
Шаблон раздела
пользователя:
• Компоненты Windows
• Панель задач и
меню «Пуск»
• Рабочий стол
• Панель управления
• Общие папки
• Сеть
• Система

10. Описание файлов ADM и ADMX

ADM файл:
• Копируется в каждый объект групповой политики (GPO) в SYSVOL
• Сложно конфигурируется
ADMX файл:
• Независим от языка
• Не помещается в GPO
• Расширяется с помощью средств XML
• Может быть отредактирован в любом текстовом редакторе
• Новые файлы могут добавляться в папку Policy Definitions
в центральном хранилище

11. Описание центрального хранилища

Центральное хранилище:
• Общее хранилище для файлов ADMX и ADML
• Располагается в SYSVOL
• Должно быть создано вручную
• Автоматически определяется Windows 7 и Windows
Server 2008 R2
ФайлыADMX
Компьютер под управлением
Windows 7
или Windows Server 2008 R2
Контроллер домена
с SYSVOL
Контроллер домена
с SYSVOL

12. Занятие 2: Конфигурирование политик безопасности

• Что такое политики безопасности?
• Политика безопасности домена по умолчанию
• Что такое политики учетных записей?
• Что такое локальные политики безопасности?
• Что такое политики сети?
• Брандмауэр Windows в режиме повышенной
безопасности
• Политика контроллера домена по умолчанию
• Особенности параметров политики безопасности

13. Что такое политики безопасности?

Политики безопасности представляют из себя комплекс параметров,
отвечающих за настройку различных аспектов безопасности
операционной системы. Располагаются в особом разделе групповой
политики

14. Политика безопасности домена по умолчанию

• Предоставляет политики учетных записей для домена;
другие параметры по умолчанию не заданы
• Используется для применения параметров безопасности
по всему домену
• Использование доменной политики для применения
параметров безопасности является наилучшей практикой.
Остальные параметры могут быть заданы отдельными
групповыми политиками
Параметры
безопасности и
настройки учетных
записей
Полтика домена по умолчанию
Домен

15. Что такое политики учетных записей?

Политики учетных записей определяют безопасность использования
учетных записей и уменьшают угрозу взлома паролей учетных
записей методами прямого перебора
Политики учетных записей содержат:
Политики
Паролей
Блокировки учетных
записей
Kerberos
Описание
• Контролируют уровень сложности и срок действия паролей
Максимальный срок действия пароля: 42 дня
Минимальный срок действия пароля: 1 день
Минимальная длина пароля: 7 знаков
Пароль должен отвечать требованиям сложности:
включен
Хранить пароли, используя обратимое шифрование:
отключен
• Определяют, сколько некорректных попыток входа в систему
может быть совершено
Продолжительность блокировки учетной записи: не
определено
Пороговое значение блокировки: 0 некорректных
попыток входа
Время до сброса счетчика блокировки: не определено
• Атрибуты политики безопасности домена для протокола
Kerberos
Могут применяться только на доменном уровне

16. Что такое локальные политики безопасности?

Локальные политики безопасности представляют параметры
безопасности для учетной записи пользователя или службы на
локальном компьютере
Компьютер под управлением Windows 2000 и выше
локальную политику безопасности как часть локальной
содержит
групповой политики
обеспечения безопасности рабочей группы вы должны
Для
настроить локальные политики безопасности
политика имеет преимущество перед локальной в
Доменная
случае конфликта параметров
можете предоставить права локальным пользователям
Вы
средствами локальной групповой политики
безопасности локальной политики контролируют
Параметры
различные аспекты безопасности компьютера

17. Что такое политики сети?

Политики сети определяют доступные для использования сети и методы
аутентификации для беспроводных соединений в Windows XP и
Windows 7, аутентификацию проводных соединений в Windows 7 и
Windows Server 2008 R2
Политики сети для Windows XP и Windows 7 различаются
Политики беспроводного доступа для Windows 7 содержат
больше
настроек
Политики беспроводного доступа для Windows 7 могут запрещать доступ
к беспроводным сетям
Аутентификация по стандарту 802.1x может быть настроена средствами
групповой политики
для проводного доступа к сети могут использоваться начиная
Политики
с Windows Vista
GPO
LAN
Windows 7
Wi-Fi
Только Wi-Fi
Windows XP

18. Брандмауэр Windows в режиме повышенной безопасности

Централизованно управляемый полнофункциональный брандмауэр,
контролирующий сетевой трафик в соответствии с настройками
Поддерживает фильтрацию входящего и исходящего трафика
Обладает расширенными настройками управления
Политика IP-безопасности теперь настраивается совместно с
брандмауэром Windows
Правила настройки могут учитывать самые разнообразные критерии,
такие, как имена пользователей и групп, используемые порты TCP и UDP
Использует профили на основе сетевого расположения
Возможен экспорт и импорт политик
Правила брандмауэра контролируют
входящий и исходящий трафик
Windows Server
2008 R2
Брандмауэр
Интернет
LAN

19. Политика контроллера домена по умолчанию

Имеет три важных раздела для анализа и
последующей настройки:
прав пользователя: локальный вход в систему,
Назначение
завершение работы
безопасности: аудит, использование устройств,
Параметры
сетевая безопасность
Журнал событий: размер журнала, способ его сохранения

20. Особенности параметров политики безопасности

При изучении параметров политики безопасности,
обратите внимание на следующее:
учетных записей передаются клиенту с
Политики
контроллера домена
домена получает настройки политики учетных
Контроллер
записей от политики уровня домена
Применяются параметры безопасности групповой политики,
имеющей наивысший приоритет

21. Занятие 3: Настройка области действия объектов групповой политики

• Последовательность применения групповой политики
• Изменение настроек применения групповой политики
• Наследование при применении групповой политики и
его блокирование
• Фильтрация групповой политики

22. Последовательность применения групповой политики

GPO1
Локальная политика
GPO2
Сайт
GPO3
GPO4
Домен
GPO5
OU
OU
OU

23. Изменение настроек применения групповой политики

Пять способов изменения логики применения групповой политики по
умолчанию:
• Блокирование наследования
• Форсирование применения
• Фильтрация с использованием групп безопасности или
WMI фильтров
• Запрет использования объектов групповой политики
• Режим замыкания при обработке групповой политики

24. Наследование при применении групповой политики и его блокирование

Домен
GPOs
ИТ
Блокирование наследования препятствует
применению политик верхнего уровня к
дочерним подразделениям (контейнерам)
Деканат
Настройки GPO
не применяются

25. Фильтрация групповой политики

Домен
GPO
ИТ
WMI
фильтр
Фильтрация затрагивает
только отдельных
пользователей и компьютеры
в подразделениях
Деканат
Иван
Чтение и применение
групповой политики
Разрешение
Применение групповой
политики
Запрет
Влад
Группа

26. Занятие 4: Проверка применения объектов групповой политики

• Что такое Group Policy Reporting?
• Что такое Group Policy Modeling?

27. Что такое Group Policy Reporting?

Group Policy reporting – это метод экспериментального планирования
использования групповых политик и устранения связанных с этим
проблем. Действия проводятся в режиме реального времени.
• Опция доступна в консоли управления групповой политикой
(GPMC) под именем Group Policy results
• Также возможно использование утилиты командной строки
GPResult

28. Что такое Group Policy Modeling?

Group Policy Modeling моделирует кумулятивный эффект
применения объектов групповой политики. Действия проводятся
в режиме симуляции.
Group Policy Modeling учитывает:
• Включенность в сайт
• Членство в группах безопасности
• Фильтры WMI
• Медленные каналы связи
• Режим замыкания групповой политики
• Эффекты, связанные с перемещением объектов
в различные контейнеры Active Directory

29. Занятие 5: Управление объектами групповой политики

• Задачи управления объектами групповой политики
• Стартовые объекты групповой политики
• Миграция объектов групповой политики

30. Задачи управления объектами групповой политики

Задачи управления GPO включают:
• Создание резервных копий GPOs
• Восстановление GPOs из резервных копий
• Копирование GPOs
• Импорт GPOs

31. Стартовые объекты групповой политики

• Хранят параметры административных шаблонов, на
которых основываются вновь создаваемые объекты
групповой политики
• Могут быть экспортированы в файлы формата .cab
• Могут быть импортированы в другие области структуры
предприятия (домены, сайты)
Экспорт в файл .cab
Стартовый GPO
Файл .cab
Импорт в GPMC
Загрузка файла
с политикой

32. Миграция объектов групповой политики

Утилита миграции ADMX позволяет преобразовывать файлы ADM в
файлы нового формата ADMX. Утилита имеет графический интерфейс
пользователя, доступна для скачивания с сайта Microsoft.

33. Занятие 6: Конфигурирование предпочтений групповой политики

• Что такое предпочтения групповой политики?
• Различия между параметрами и предпочтениями
групповой политики
• Особенности предпочтений групповой политики
• Развертывание предпочтений групповой политики

34. Что такое предпочтения групповой политики?

Предпочтения групповой политики расширяют диапазон
настраиваемых параметров в объекте групповой политики
Предпочтения не могут быть форсированы
Предпочтения позволяют IT профессионалам настраивать
и применять параметры операционной системы и приложений,
которые не контролируются обычной групповой политикой

35. Различия между параметрами и предпочтениями групповой политики

Настройки
групповой политики
Предпочтения
групповой политики
Настройки политики безусловно
применяются посредством записи
в области реестра, недоступные
для модификации обычными
пользователями
Предпочтения записываются в
обычные области реестра, где
хранятся настройки операционной
системы и приложений
Обычно запрещают
использование интерфейса
пользователя для настроек,
контролируемых групповой
политикой
Не принуждают операционную
систему или приложение отключать
интерфейс пользователя для
настройки параметров
Настройки политики регулярно
обновляются в соответствии с
заданным интервалом
Интервал обновления предпочтений
по умолчанию совпадает с
интервалом обновления настроек
групповой политики

36. Особенности предпочтений групповой политики

Вкладка «Общие параметры»
Используется для
конфигурирования параметров,
определяющих использование
предпочтений групповой
политики
Возможности целевого применения
Определяется, к каким именно пользователям и
компьютерам применяются предпочтения

37. Развертывание предпочтений групповой политики

Windows Server 2008 R2 уже содержит предпочтения
групповой политики, включенные как часть консоли
управления групповой политикой (GPMC)
расширений требует установки средства анализа
Применение
XML XMLLite для Windows XP и Windows Server 2003
Должен быть установлен набор клиентских расширений
групповой политики (CSE) для всех клиентов, к которым
планируется применять предпочтения политики

38. Занятие 7: Конфигурирование сценариев и перенаправления папок средствами групповой политики

• Использование сценариев в объектах групповой
политики
• Что такое перенаправление папок?
• Опции настройки перенаправления папок
• Настройка безопасного использования
перенаправляемых папок

39. Использование сценариев в объектах групповой политики

Для выполнения ряда задач, таких, как очистка файла подкачки и
удаление временных файлов при завершении работы, подключение
сетевых дисков, и других задач, возможно использовать сценарии,
написанные на известных интерпретируемых языках в среде Windows
Script Host (WSH) или Windows PowerShell: VBScript, JScript, .NET
Сценарии в групповой политике могут быть
назначены для событий:
• В разделе
«Конфигурация
компьютера»
• В разделе
«Конфигурация
пользователя»
Автозагрузка
Вход в систему
Завершение работы
Выход из системы

40. Что такое перенаправление папок?

Перенаправление папок позволяет
расположить папки на сервере
таким образом, что они
представляются расположенными
на локальном компьютере
Перенаправлены могут быть следующие папки:
• Мои документы (Документы в Windows 7)
• Application Data (AppData в Windows 7)
• Рабочий стол
• Главное меню
Кроме того, в Windows 7 могут быть
перенаправлены:
• Контакты
• Поиски
• Загрузки
• Ссылки
• Избранное

41. Опции настройки перенаправления папок

• Базовое перенаправление папок задает
общее расположение для всех
пользователей
• Расширенное перенаправление папок
задает расположение в зависимости от
членства пользователя в группах
безопасности
Бухгалтеры
Бухгалтеры
А-М
Бухгалтеры
Н-Я
• Опции указания расположения:
• Перенаправление в домашний
каталог пользователя
• Создание папки для каждого
пользователя в корневом каталоге
Старшие
бухгалтеры
Розова
• Перенаправление в указанное
расположение
• Перенаправление в расположение
локального профиля пользователя
Янина

42. Настройка безопасного использования перенаправляемых папок

Разрешения NTFS для корневого каталога
Создатель/Владелец
Полный доступ - только для подпапок и файлов
Администраторы
• Нет
Группа безопасности,
в которой состоит
пользователь
• Содержание папки/Чтение данных, Создание
SYSTEM
• Полный доступ
папок/Дозапись данных – Только для этой папки
Разрешения общего доступа для корневого каталога
Создатель/Владелец
Полный доступ
Группа безопасности,
в которой состоит
пользователь
• Полный доступ
Разрешения NTFS для каждой перенаправленной папки
Создатель/Владелец
Полный доступ - только для подпапок и файлов
%Username%
• Полный доступ
Администраторы
• Нет
SYSTEM
• Полный доступ

43. Лабораторная работа 1: Создание и конфигурирование объектов групповой политики

• Упражнение 1: Создание и конфигурирование объектов групповой
политики
• Упражнение 2: Управление областью применения групповой
политики
• Упражнение 3: Конфигурирование политик безопасности
Информация к началу работы
Виртуальные машины
LAB-DC1, LAB-CL1
Пользователь
Administrator
Пароль
Pa$$w0rd
Продолжительность: 40 минут

44. Лабораторная работа 2: Проверка применения объектов групповой политики и управление средой

• Упражнение 1: Проверка применения объектов групповой
политики
• Упражнение 2: Управление объектами групповой политики
• Упражнение 3: Конфигурирование сценариев и перенаправления
папок средствами групповой политики
• Упражнение 4: Конфигурирование предпочтений групповой
политики
Информация к началу работы
Виртуальные машины
LAB-DC1, LAB-CL1
Пользователь
Administrator
Пароль
Pa$$w0rd
Продолжительность: 50 минут