Групові політики Windows Server 2008 R2 і Windows 7

Вверсіі Windows Server 2008 були реалізовані переваги групових політик - набір з більш ніж 20 розширень групових політик, які збільшують діапазон параметрів, що настроюються об'єкта групової політики Group Policy object (GPO). Після виходу в світ цієї версії, повністю змінила наші уявлення про роботу з груповими політиками, логічно було припустити, що розробники Windows Server 2008 R2 і Windows 7 включать в свої системи аналогічні нові функції групових політик. На жаль, практично всі нововведення, які ви побачите і про яких я буду розповідати в статті, є інкрементні удосконалення, а не революційні зміни.

Правда, треба сказати, що фахівці Microsoft все-таки внесли в Windows Server 2008 і Windows 7 одна принципова нововведення, зробивши кілька пробних кроків в напрямку автоматизації управління груповими політиками за допомогою PowerShell. А все решта нововведення в останній редакції Windows, по суті справи, зводяться до оновлень існуючих областей політик, до кількох додаткових компонентів Windows, пов'язаним з управлінням груповими політиками, і до ряду удосконалень, що стосуються переваг групових політик. Розглянемо ці зміни більш докладно.

Зміни в адміністративних шаблонах

В системі Windows Vista з'явилися важливі зміни, що стосуються адміністративних шаблонів, або політики реєстру. У цій версії розробники Microsoft реалізували новий формат ADMX і центральне сховище Central Store. Формат ADMX забезпечив більш якісну багатомовну підтримку, а центральне сховище дозволило перенести старі файли ADM з компонента SYSVOL кожного об'єкта GPO. У системах Server 2008 R2 і Windows 7 найбільш значною зміною в даній області стала поява ще однієї групи додаткових налаштувань адміністративних шаблонів (понад 300). Ці настройки зачіпають цілий ряд нових можливостей Server 2008 R2 і Windows 7 (таких, як політики, що управляють новими елементами призначеного для користувача інтерфейсу, специфічними для кожної платформи, см. екран 1 ). З повним списком параметрів адміністративних шаблонів і налаштувань політики безпеки в форматі Excel можна ознайомитися в документі Microsoft Group Policy Settings Reference for Windows and Windows Server (www.microsoft.com/downloads/details.aspx? Displaylang = en & FamilyID = 18c90c80-8b0a-4906- a4f5-ff24cc2030 fb).

До більш тонким модифікаціям адміністративних шаблонів відноситься змінена схема ADMX, яка тепер підтримує два нових типи значень реєстру: REG_MULTI_SZ і REG_QWORD. Раніше змінювати ці два типи значень за допомогою адміністративних шаблонів було неможливо. Адміністратору доводилося вибирати: надавати значення через сценарії реєстру або переносити ці типи значень на клієнтські системи за допомогою розширень реєстру в перевагах групових політик. Тепер же ці типи підтримуються з використанням синтаксису ADMX, і адміністратор може створювати спеціальні шаблони ADMX, сумісні з новими типами.

Ще одне тонке зміна в адміністративних шаблонах - це удосконалення в області користувальницького інтерфейсу. У системах Server 2008 і Vista фахівці Microsoft вперше застосували концепцію «коментарі до налаштувань адміністративних шаблонів». При бажанні можна додавати коментарі до кожної налаштування політики. Ці коментарі, а також вдосконалене діалогове вікно «Пояснення», яке надає довідкові дані по кожній налаштуванні, відображаються у вигляді трьох окремих вкладок в інтерфейсі редактора групових політик Group Policy Editor (GPE). У процесі роботи з ними необхідно переходити з однієї вкладки на іншу. У системах Server 2008 R2 і Windows 7 все три елемента представлені на одній панелі, яка добре видна і легко редагується, як показано на екрані 2.

підтримка PowerShell

Важлива зміна в даному випуску Windows, яке згадувалося раніше, це додана підтримка PowerShell всередині «всесвіту» групових політик. Розробники Microsoft додали кошти підтримки виконання сценаріїв PowerShell всередині політики сценаріїв, побудованих на базі систем або на базі користувачів, і включили в комплект поставки набір з 25 складових команд PowerShell для версії PowerShell 2.0, що забезпечують виконання багатьох операцій, які можна виробляти всередині консолі GPMC (Group Policy Management Console). Почнемо з опису засобів підтримки політики нових сценаріїв.

Працюючи в редакторі GPE над створенням сценарію запуску або сценарію входу в систему, користувач бачить на екрані нову вкладку. Як показано на екрані 3, тепер можна в свою політику сценаріїв додавати сценарії PowerShell і визначати, чи повинні ці сценарії виконуватися до або після сценаріїв, які не мають відношення до PowerShell. Але майте на увазі, що ці нові політики сценаріїв на базі PowerShell будуть виконуватися тільки на клієнтах групових політик Server 2008 R2 і Windows 7. Більш ранні версії Windows не підходять.

Можливо, саме цікаве удосконалення в області PowerShell - це набір складових команд всередині нового модуля групових політик PowerShell 2.0. У цих командах инкапсулируются багато функцій з демонстраційних сценаріїв GPMC, які колись поставлялися з цим інструментом. За допомогою команд PowerShell можна виконувати пов'язані з груповими політиками адміністративні завдання, такі як створення нових об'єктів GPO або видалити їх, зв'язування GPO з організаційними одиницями або доменами, а також перепризначення прав GPO. на екрані 4 представлений повний список складових команд, реалізованих в новому модулі GroupPolicy, який входить в комплект поставки набору інструментів систем Server 2008 R2 і Windows 7.

Відзначимо, що використання модуля GroupPolicy можливо лише в тому випадку, якщо ви працюєте з версією PowerShell 2.0 на системі Server 2008 R2 або Windows 7. Щоб дати користувачам можливість застосовувати такого роду функції GPMC PowerShell на системах під управлінням більш ранніх версій Windows, я створив набір команд GPMC для PowerShell 1.0. Їх можна безкоштовно завантажити на моєму сайті за адресою www.sdmsoftware.com/freeware.

Розглянемо приклад, який демонструє можливості цих нових команд. Припустимо, ви хочете створити об'єкт GPO, наділити його правами доступу і здійснити прив'язку даного об'єкта всередині сценарію PowerShell. Всі ці завдання виконує наступна однорядкова команда, в якій використовуються три з числа нових складових команд, а також конвеєр PowerShell:

new-gpo «Marketing IT GPO» |

Set-GPPermissions -TargetName

«Marketing Users» -TargetType Group

-PermissionLevel GPOEdit | new-gplink

-order 1-Target "OU = Marketing,

DC = cpandl, DC = com "

У наведеному прикладі я використовую три складові команди - New-GPO, Set-GPPermissions і New-GPLink. З їх допомогою я створюю об'єкт групової політики Marketing IT GPO. Я роблю це для модифікації дозволів GPO, щоб надати групі безпеки Marketing Users Active Directory (AD) права на редагування даного GPO і здійснити прив'язку GPO до організаційної одиниці Marketing OU в моєму AD-домені cpandl.com. Всі ці завдання виконуються в рамках однієї команди за допомогою функції конвеєрної обробки, що забезпечує передачу вихідних даних попередньої команди в наступну. PowerShell і модуль Group-Policy дозволяють без праці виконувати складні завдання управління груповими політиками.

Модифікація політики реєстру за допомогою PowerShell

Розробники Microsoft заклали в модуль Group-Policy не тільки функції GPMC. Ще одна зміна - додаткові базові засоби підтримки модифікації невеликого підмножини параметрів всередині об'єкта GPO. Але перед тим як приступити до опису змін, внесених Microsoft, хочу дати невелику довідку. В даний час групова політика дає можливість отримувати значення параметрів реєстру двома способами. Основний спосіб управління параметрами реєстру в груповій політиці, яким ми мали завжди, полягає в використанні політики адміністративних шаблонів. За допомогою файлів шаблонів ADM або ADMX адміністративні шаблони створюють в редакторі GPE призначений для користувача інтерфейс, який описує, якими значеннями реєстру можна управляти за допомогою групової політики; крім того, вони забезпечують довідковий текст, що описує дію параметра політики. Коли ви визначаєте політики адміністративних шаблонів в редакторі GPE, задані параметри політики зберігаються в розділі SYSVOL GPO в файлі registry.pol. У цьому файлі містяться інструкції для значень реєстру, які належить розгорнути в даному GPO.

Другий метод управління значеннями реєстру - за допомогою розширень реєстру в перевагах групових політик. Цей метод відрізняється більшою гнучкістю, ніж політика адміністративних шаблонів, і забезпечує більш тонкі засоби вибору параметрів, пов'язані з уподобаннями групових політик. Обидва методи дозволяють управляти змінами в реєстрі централізовано, причому кожен з них має свої сильні сторони.

У тому, що стосується сумісності з середовищем PowerShell, зміни, внесені розробниками Microsoft в системи Server 2008 R2 і Windows 7, зводяться до реалізації можливості модифікувати настройки GPO для обох методів маніпулювання реєстром. У першому випадку для виконання операцій з зчитування і модифікації відповідного файлу registry.pol, який використовується політикою адміністративних шаблонів з метою зберігання своїх налаштувань, ви можете застосовувати команди Get-GPRegistryValue, Set-GPRegistryValue і Remove-GPRegistryValue. Перевага використання цих команд з метою редагування політики адміністративних шаблонів полягає в тому, що адміністратору не доводиться створювати спеціальний файл ADM для введення того чи іншого значення реєстру. Для успішного виконання цих команд файли ADM і ADMX не потрібні; замість того, щоб використовувати їх, ви отримуєте можливість примусово відправляти значення реєстру в базовий файл зберігання. Таким чином можна швидко передати нове значення реєстру об'єкту GPO.

Недолік же розглянутого методу полягає в наступному. Коль скоро ви не застосовуєте файли ADM або ADMX для визначення того, які значення реєстру використовуються в даний момент, ви повинні знати відповідний базовий розділ реєстру і значення, яке збираєтеся розгорнути. Крім того, якщо ви переглядаєте GPO, який використовує даний метод для настройки політики параметра реєстру, і при цьому файли ADM або ADMX, що представляють даний параметр, відсутні, то в звіті про параметри GPMC він буде показаний як Extra Registry Settings. А якщо ви запустите редактор GPE, то не побачите значення реєстру, яке примусово передали в цей файл registry.pol. Зрозуміло, якщо ви будете неуважно використовувати даний метод, це легко може привести до плутанини. Я не рекомендую застосовувати даний підхід при виконанні всіх операцій по внесенню змін до адміністративного шаблон, але він може стати в нагоді в скрутну хвилину.

Другий метод роботи з політикою реєстру з використанням PowerShell забезпечує можливість зчитувати і модифікувати настройки в розширенні реєстру Group Policy preferences. Для цих цілей Microsoft розробила команди Set-GPPrefRegistryValue, Get-GPPrefRegistryValue і Remove-GPPrefRegistryValue. Ці три команди дозволяють управляти настройками реєстру нових Group Policy preferences (відзначимо, до речі, що згадані команди не можна використовувати для зміни існуючої політики реєстру Group Policy preferences). Як приклад давайте розглянемо, як можна за допомогою цих команд додати нове значення реєстру до параметру реєстру Group Policy preferences. Наступна команда прикладу вводить значення mouse beep в об'єкт групової політики Test:

Set-GPPrefRegistryValue -Name Test

-Context User -Action Create -Key

"HKEY_CURRENT_USERControl Panel

Mouse "-Valuename« Beep »-Value« Yes »

-Type «String»

Зверніть увагу: щоб успішно ввести параметр Group Policy preferences, в цьому прикладі доводиться вказувати розділ реєстру, valuename, значення і вводити їх з клавіатури. Однак ці команди не забезпечують доступ до деяких більш розвиненим функціям всередині Group Policy preferences, наприклад до елементів, які відображаються на вкладці Common, а також до функції вибору на рівні елемента (засіб детального націлювання на параметри переваги). Однак складові команди представляють собою хороший стартовий точку на шляху до автоматизації групових політик.

Стартові об'єкти групової політики - для чого вони?

У системах Server 2008 і Vista корпорація Microsoft вперше реалізувала ідею стартових об'єктів групової політики - шаблонів GPO, на основі яких можна створювати реальні об'єкти групової політики. Ідея здорова, але механізм її реалізації пророблений не був. Проблема стартових GPO полягає в тому, що вони підтримують тільки параметри політик адміністративних шаблонів; можливості створюваних користувачами шаблонів при цьому жорстко обмежуються. Зміни, внесені фахівцями Microsoft в версії Server 2008 R2 і Windows 7, - лише незначне удосконалення продуктів, що випускалися раніше. По суті, тепер ми отримуємо можливість попередньо заповнювати стартові об'єкти групової політики директивними настройками безпеки Windows Server 2008, Vista і Windows XP SP2, які раніше задавалися в інструментах, іменованих GPO Accelerators.

Зрозуміло, оскільки стартові об'єкти групової політики підтримують тільки параметри адміністративних шаблонів, а не параметри безпеки (головний фокус директивних параметрів безпеки), від цих попередньо заповнених стартових GPO мало пуття. Але якщо вам потрібно створювати шаблони параметрів адміністративних шаблонів, які ви згодом зможете повторно використовувати для формування реальних GPO, тоді стартові GPO знадобляться.

Нові функції, здатні взаємодіяти з політиками

Остання група змін, про які піде мова в цій статті, - це нові політики, призначені для підтримки нових функцій, представлених в системах Server 2008 R2 і Windows 7. Майже всі нові політики пов'язані з параметрами безпеки, однак поряд з цим кілька непринципових оновлень було зроблено і в області Group Policy preferences. З них-то ми і почнемо.

• Підтримка нових засобів Power Plans для управління електроживленням, які були реалізовані в системі Vista. Зараз вони використовуються як доповнення до засобів Power Options і Power Schemes. Для функціонування засобів Power Plans необхідно, щоб одержує їх клієнт працював під управлінням версії Windows не старші Vista.
• Оновлене засіб Updated Scheduled Tasks preferences тепер сумісно з новітньою версією планувальника Task Scheduler, який входить в комплект поставки версії Server 2008 і пізніших, а також Windows Vista. Цей новий планувальник має набагато більше налаштувань, ніж Task Scheduler систем Windows 2003 і Windows XP. Крім того, розробники Microsoft додали модуль Immediate Tasks для систем починаючи з Vista, що дозволяє формувати одноразові планові завдання, які виконуються в міру здійснення політики.
• Додавання в Internet Settings preferences програми Internet Explorer (IE) 8, що дає можливість налаштовувати параметри, специфічні для IE 8.

Нові політики безпеки

Найважливіше доповнення в області політик безпеки, що базуються на групових політиках, - це політики управління додатками, або AppLocker. Дані політики зберігаються в папці Computer ConfigurationWindows SettingsSecurity SettingsApplication Control Policies. По суті справи, це важливе оновлення старих політик обмеженого використання програм Software Restriction Policies (SRP), до цього дня підтримуваних в Server 2008 R2 і Windows 7, які дозволяють визначати, які програми можуть виконуватися на системах Windows. AppLocker дає можливість формувати білі і чорні списки додатків, щоб відповідно до низки зазначених критеріїв явно включати або виключати ту чи іншу програму або набір додатків з числа виконуваних.

Важлива відмінність між AppLocker і SRP полягає в тому, що тепер в розпорядженні адміністратора є більш гнучкі правила для визначення додатків. Наприклад, як показано на екрані 5, ви можете створювати правила з використанням імені видавця програмного продукту, назви програми і даних про версії, що містяться всередині файлу.

Ви також можете створювати правила для управління виконанням сценарію; в більш ранніх версіях Windows ця функція явно не підтримувалася. Крім того, стосовно кожного створеному правилом можна примусово забезпечувати виконання правила або працювати в режимі аудиту. В цьому режимі щоразу, коли правило вступає в зіткнення з тим або іншим додатком, результат реєструється на клієнті; такі дії, як блокування або санкціонування виконання не вживаються. Подібним чином адміністратор може випробувати правило в тестовому режимі перед тим, як застосувати його у виробничій мережі; це робиться для того, щоб виключити можливість «грубого поводження» з нічого не підозрюють додатком. Єдиний недолік AppLocker в тому, що ця програма функціонує тільки на клієнтах Server 2008 R2 і Windows 7, так що використання її під управлінням більш ранніх версій Windows неможливо.

Удосконалена політика аудиту

Ще одне пов'язане з безпекою засіб систем Server 2008 R2 і Windows 7 - набагато більш детально пророблена інфраструктура аудиту. Якщо ви заглянете в папку Computer ConfigurationWindows SettingsSecurity Settings

Advanced Audit Policy Configuration, то побачите 10 різних категорій аудиту, які адміністратор може підлаштовувати і тим самим визначати, які саме типи подій будуть генерувати аудит безпеки в системах Server 2008 R2 або Windows 7. Зрозуміло, такий новий рівень деталізації реалізується тільки в згаданих новітніх версіях операційної системи, але та обставина, що керувати ним можна за допомогою групових політик, - це хороший знак.

Політики списків мереж

Остання з нових політик безпеки, про яку я розповім в цій статті, дозволяє контролювати списки мереж. За замовчуванням, коли системи Server 2008 R2, Windows 7 або Vista знаходять нові мережі, будь то загальнодоступні бездротові або корпоративні локальні мережі, користувачеві пропонується вказати, до якого типу належить мережа (наприклад, загальнодоступна, доменна, домашня). Тепер за допомогою політик списків мереж в розділі групових політик можна попередньо задавати режим роботи тих чи інших мереж в певних ситуаціях, а також вказувати, в які зони їх слід переводити в разі виявлення цих мереж користувачем.

Крім того, ви можете управляти значками та іменами мереж, що пред'являються користувачеві. Єдиний недолік застосування цієї області політики для попереднього налаштування бездротових вузлів доступу полягає в тому, що потрібно заздалегідь знати ім'я такого вузла, щоб вказати всі різноманітні параметри. Проте ця область політики все ще є вдале доповнення, що дозволяє контролювати дії користувачів, які часто переходять від однієї мережі до іншої.

Політика дозволу імен

Ця остання нова область політики, хоча, строго кажучи, вона не відноситься до категорії політик безпеки (в редакторі GPE вона розміщується в папці Computer ConfigurationWindows SettingsName Resolution Policy), дозволяє управляти розширеннями безпеки DNS Security Extensions (DNSSEC) і настройками Microsoft DirectAccess DNS на основі імен доменів DNS. Так, ви можете вказати, які функції DNSSEC використовуються, коли даний клієнт взаємодіє зі своїм сервером DNS, або який сервер DNS або сервер-посередник буде використовувати клієнт при підключенні до вашої мережі через Direct-Access. Ця функція використовується не на всіх підприємствах, але її зручно мати в групових політиках в разі, коли ви розгортаєте систему Direct-Access для своїх мобільних клієнтів.

Чи не революція, а еволюція

Поза всяким сумнівом, реалізовані в системах Server 2008 R2 і Windows 7 удосконалення в області групових політик носять не революційний, а еволюційний характер. Можливо, слід зробити виняток для деяких доданих засобів автоматизації управління середовищем PowerShell, але в іншому ми можемо з повною підставою стверджувати, що для прихильників групових політик це дуже пересічна версія. Якщо ми хочемо побачити великі архітектурні або функціональні вдосконалення, яких чекають - не дочекаються користувачі цієї з'явилася більше 10 років тому технології, нам доведеться запастися терпінням.

Але якщо ви збираєтеся розгортати систему Windows 7, майте на увазі, що в останній версії досить нових засобів для того, щоб полегшити ваше життя на етапі налаштування клієнтів. Настійно рекомендую всім, хто ще не почав використовувати PowerShell, активно за це взятися і подивитися, що ви зможете зробити за допомогою групових політик і цієї нової технології підготовки сценаріїв.

Даррен Мар-Еліа ([email protected]) - позаштатний редактор Windows IT Pro, головний інженер і засновник компанії SDM Software. Веде сайт, присвячений проблемам групових політик (www.gpoguy.com) і є співавтором книги Microsoft Windows Group Policy Guide