Windows server 2003 сценарий входа

Использование сценариев для управления средой пользователя

Другой инструмент, который используется для управления пользовательскими рабочими столами — это сценарии. Наиболее типичное использование сценариев состоит в создании простой рабочей среды пользователя. Обычно сценарии входа в систему используются для отображения

сетевых дисков или принтеров. Они помогают упростить среду конечного пользователя. Пользовательские сценарии входа в систему были доступны в системе Windows NT. Однако использование сценариев в Active Directory Windows Server 2003 обеспечивает множество существенных преимуществ по сравнению с Windows NT 4, включая следующие.

Возможность назначать сценарии для запуска и завершения работы системы. В Active Directory можное назначать выполнение сценариев на момент запуска и выключения компьютеров. В системе Windows NT сделать это было очень трудно. Эти сценарии выполняются в контексте безопасности учетной записи LocalSystem.
Возможность назначать сценарии для пользовательского входа в систему и выхода из системы. Система Windows NT обеспечивала только сценарии входа в систему. В Active Directory можно также выполнять сценарии выхода из системы.
Возможность назначать сценарии на контейнеры вместо отдельных индивидуумов. Это одно из самых больших преимуществ использования Active Directory для назначения сценариев. В Windows NT единственным вариантом выполнения сценариев являлось назначение индивидуальных сценариев входа в систему на учетные записи пользователя. Когда вы назначаете сценарий на контейнер в Active Directory, сценарий применяется ко всем пользователям или компьютерам, находящимся внутри контейнера.
Наличие «родной» поддержки для сценариев WindowsScriptHost. В системе Windows NT большинство клиентов выполняли только пакетные файлы MS-DOS для реализации сценариев входа в систему. В системах Windows Server 2003, Windows XP и Windows 2000 клиенты обеспечивают родную поддержку для сценариев Windows Script Host (WSH). При конфигурировании пользовательских рабочих столов сценарии WSH оказываются гораздо более гибкими и мощными. С помощью WSH сценарии могут использоваться в более широких целях, чем простое отображение сетевых дисков. Служба Active Directory Windows Server 2003 поддерживает личные сценарии входа в систему, назначенные на индивидуальные учетные записи пользователя. Если в вашей сети имеются клиенты с системой Windows NT Workstation, используйте их для входа в систему. Клиенты с системами Windows 2000 и Windows XP Professional также могут обработать индивидуальные сценарии входа в систему. Если вы имеете индивидуальные сценарии входа в систему, назначенные учетным записям пользователя, они будут выполняться после выполнения сценариев запуска компьютера и пользовательских сценариев входа в систему, назначенных групповыми политиками.

Чтобы сконфигурировать сценарий для Active Directory, нужно его создать, а затем скопировать на контроллер домена. Сценарии можно хранить в любом месте на сервере, доступном для клиентов. Типичное место хранения сценариев — папка %systemroot %SYSVOLsysvol domainnamescripts. Она открыта для общего доступа под сетевым именем NETLOGON, и является заданным по умолчанию местом, в котором клиенты низкого уровня ищут сценарии входа в систему. Вы можете хранить сценарии входа в систему в папке %systemroot %SYSVOL sysvoldomainnameGlobalPolicy GUIDMachineScripts или в папке %systemroot %SYSVOLsysvoldomainnameGlobalPolicy GUIDUser Scripts. После копирования файлов сценария на сервер откройте объект GPO и найдите папку Scripts (Startup/Shutdown) (Сценарии (Запуск/ Завершение), расположенную в папке Computer Conf iguration Windows Settings, или папку Scripts (Logon/Logoff) (Сценарии (Вход в систему/ выход из системы)), расположенную в папке User Conf igurationWindows Settings. Например, чтобы создать запись для сценария запуска, разверните цапку Scripts (Startup/Shutdown) и дважды щелкните на Startup. Затем можно добавлять любые сценарии запуска к объекту GPO. Active Directory Windows Server 2003 обеспечивает множество административных шаблонов, которые использоваться для конфигурирования сценариев на рабочих станциях клиентов. Большинство параметров настройки расположено в папке Computer Configuration Administrative TemplatesSystemScripts, а некоторые — в nanKeUser Conf iguration Administrative TemplatesSystemScripts. Опции конфигурации включают опцию, позволяющую выполнять сценарии запуска асинхронно, т.е. несколько сценариев запуска смогут выполняться одновременно. Можно выполнять сценарии входа в систему синхронно, т.е. все сценарии запуска завершаются, прежде чем появится рабочий стол пользователя. Вы можете также сконфигурировать максимальное время ожидания окончания выполнения всех сценариев. И, наконец, можно сконфигурировать, будут ли сценарии выполняться в фоновом режиме, чтобы быть незаметными, или они будут видимыми при выполнении.

Источник

Управление рабочей средой пользователя.

Рабочая среда пользователя состоит из настроек рабочего стола, например, цвета экрана, настроек мыши, размера и расположения окон, из настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений.
Для управления средой пользователя предназначены следующие средства систем Windows 2000/XP и Windows Server 2003.

Профили пользователей. В профиле пользователя хранятся все настройки рабочей среды системы, определенные самим пользователем. Это могут быть, например, настройки экрана и соединения с сетью. Все настройки, выполняемые самим пользователем, автоматически сохраняются в папке, имя которой для вновь установленной системы выглядит следующим образом: %SystemDrive%Documents and settings<имя_полъзователя>.
Сценарий входа в систему (сценарий регистрации) представляет собой командный файл, имеющий расширение bat или cmd, исполняемый файл с расширением ехе или сценарий VBScript, который запускается при каждой регистрации пользователя в системе или выходе из нее. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.
Сервер сценариев Windows (Windows Scripting Host, WSH). Сервер сценариев независим от языка и предназначен для работы на 32-разрядных платформах Windows. Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или в окне консоли команд. При этом сценарии не нужно встраивать в документ HTML.

Профили пользователей

На изолированном компьютере с Windows Server 2003 локальные профили пользователей создаются автоматически. Информация локальных профилей необходима для поддержки настроек рабочего стола локального компьютера, характерных для конкретного пользователя. Профиль создается для каждого пользователя в процессе его первой регистрации в компьютере.
Профиль пользователя обладает следующими преимуществами:

при регистрации пользователя в системе рабочий стол получает те же настройки, какие существовали в момент предыдущего выхода пользователя из системы;
несколько пользователей могут работать на одном и том же компьютере в . индивидуальных средах (нельзя только иметь собственные параметры разрешения экрана и частоты развертки; здесь нужно применять профили оборудования);
при работе компьютера в домене профили пользователей могут быть сохранены на сервере. В этом случае пользователь получает возможность работать со своим профилем при регистрации на любом компьютере сети. Такие профили называются перемещаемыми (roaming profile). Разновидностью перемещаемых профилей являются обязательные профили (mandatory profiles). Такой профиль пользователь не может изменять, и все изменения, сделанные в настройках системы, теряются при выходе из нее. В Windows XP и Windows Server 2003 обязательные профили поддерживаются только для совместимости, вместо них рекомендуется применять групповые политики.

Не все настройки локального профиля пользователя входят (копируются) в его перемещаемый профиль!
Пользовательские профили можно применять различным образом:

создать несколько типов профилей и назначить их определенным группам пользователей. Это позволит получить несколько типов рабочих сред, соответствующих различным задачам, решаемым пользователями;
назначать общие групповые настройки всем пользователям;
назначать обязательные профили, какие-либо настройки которых пользователи изменять не могут.

Настройки, хранящиеся в профиле пользователя
Профиль пользователя хранит настройки конфигурации и параметры, индивидуально назначаемые каждому пользователю и полностью определяющие его рабочую среду (табл. 10.3).

Таблица 10.3. Настройки профиля пользователя

Объект	Соответствующие ему параметры
Windows Explorer	Все настройки, определяемые самим пользователем, касающиеся программы Windows Explorer
Панель задач	Все персональные группы программ и их свойства, все программные объекты и их свойства, все настройки панели задач
Настройки принтера	Сетевые соединения принтера
Панель управления	Все настройки, определенные самим пользователем, касающиеся панели управления
Стандартные	Настройки всех стандартных приложений, запускаемых для конкретного пользователя
Приложения, работающие в операционной системе Windows Server 2003	Любое приложение, специально созданное для работы в среде Windows Server 2003, может обладать средствами отслеживания своих настроек относительно каждого пользователя. Если такая инсрормация существует, она хранится в профиле пользователя
Электронная подсказка	Любые закладки, установленные в справочной системе Windows Server 2003
Консоль управления Microsoft	Индивидуальный файл конфигурации и текущего состояния консоли управления

Структура нового профиля пользователя
Профиль пользователя создается на основе профиля, назначаемого по умолчанию. Он хранится на каждом компьютере, где работает Windows Server 2003. Файл NTUSER.DAT, находящийся в папке Default User, содержит настройки конфигурации, хранящиеся в реестре Windows Server 2003. Кроме того, каждый профиль пользователя использует общие программные группы, находящиеся в папке All Users.

Структура профиля пользователя
Как уже говорилось, при создании профиля пользователя используется профиль, назначаемый по умолчанию, находящийся в папке Default User. Папка Default User, папки профилей индивидуальных пользователей, а также папки All Users, LocalService и NetworkService находятся в папке Documents and Settings корневого каталога на загрузочном томе. В папке каждого пользователя находятся файл NTUSER.DAT и список ссылок на объекты рабочего стола. На рис. 10.23 показана структура папок локального профиля пользователя. В этих папках, в частности, хранятся ссылки на различные объекты рабочего стола. Файл ntuser.dat.LOG представляет собой журнал транзакций, фиксирующий изменения профиля и позволяющий восстановить его в случае, когда происходит повреждение файла NTUSER.DAT.

Рис. 10.23. Структура подпапок профиля пользователя

В табл. 10.4 перечислены подпапки, находящиеся внутри папки локального профиля пользователя, и описано их содержимое. Некоторые из этих подпапок являются скрытыми и могут быть не видны при обычном просмотре. Все указанные папки, кроме папки Local Settings, входят в перемещаемый профиль пользователя (при работе компьютера в составе домена). При использовании обычного профиля локальные папки Application Data, Desktop, My Documents, My Pictures и Start Menu можно переназначать на общие сетевые диски при помощи оснастки-расширения Folder Redirection (Перенаправление папки), входящей в оснастку Group Policy Object Editor (Групповая политика).

Таблица 10.4. Содержимое папки локального профиля пользователя

Подпапка	Содержимое
Application Data	Данные, относящиеся к конкретным приложениям, например, индивидуальный словарь. Разработчики приложений сами принимают решение, какие данные должны быть сохранены в папке профиля пользователя
Cookies	Служебные файлы, получаемые с просматриваемых вебсерверов
Desktop (Рабочий стол)	Объекты рабочего стола, включая файлы и ярлыки
Favorites (Избранное)	Ярлыки часто используемых программ и папок
Local Settings	Данные о локальных настройках, влияющих на работу программного обеспечения компьютера
My Documents (Мои документы)	Данные о документах и графических файлах, используемых пользователем
My Recent Documents (Недавно использовавшиеся документы)	Данные о документах и графических файлах, открытых пользователем в течение последнего времени
NetHood	Ярлыки обьектов сетевого окружения
PrintHood	Ярлыки обьектов папки принтера
Recent	Ярлыки недавно используемых объектов
SendTo	Ярлыки объектов, куда могут посылаться документы
Start Menu (Главное меню)	Ярлыки программ
Templates (Шаблоны)	Ярлыки шаблонов
UserData	Служебная информация

Папка All Users
Настройки, находящиеся в папке All Users, не копируются в папки профиля пользователя, но используются для его создания. Платформы Windows NT поддерживают два типа программных групп.

Общие программные группы. Они всегда доступны на компьютере, независимо от того, кто зарегистрирован на нем в данный момент. Только администратор может добавлять объекты к этим группам, удалять или модифицировать их.
Персональные программные группы. Они доступны только создавшему их пользователю.

Общие программные группы хранятся в папке All Users, находящейся в папке Documents and Settings. Папка All Users также содержит настройки для рабочего стола и меню Start. Группы этого типа на компьютерах, где работает Windows Server 2003, могут создавать только члены группы Administrators.

Создание локального профиля пользователя

Локальный профиль пользователя хранится на компьютере в папке, имя которой совпадает с именем данного пользователя, находящейся в папке Documents and Settings на загрузочном томе. Если для данного пользователя не существует сконфигурированный перемещаемый (находящийся на сервере) профиль, то при первой регистрации пользователя в компьютере для него создается индивидуальный профиль. Содержимое папки Default User копируется в папку нового профиля пользователя. Информация профиля, вместе с содержимым папки All Users, используется при конфигурации рабочей среды пользователя. При завершении пользователем работы на компьютере все сделанные им изменения настроек рабочей среды, выбираемых по умолчанию, записываются в его профиль. Содержимое папки Default User остается неизменным.
Если пользователь имеет отдельную учетную запись на локальном компьютере и в домене, для каждой из них создается свой профиль пользователя, поскольку регистрация на компьютере происходит с помощью различных учетных записей. При завершении работы все сделанные изменения также записываются в соответствующий данной учетной записи профиль.

Перемещаемые профили пользователей

Перемещаемый профиль по своей структуре идентичен локальному профилю, за исключением того, что в нем отсутствует папка Local Settings. Перемещаемый профиль определяется на уровне доменной учетной записи пользователя. Чтобы определить перемещаемый профиль, откройте вкладку Profile (Профиль) окна свойств объекта, ассоциированного с учетной записью пользователя (рис. 10.24). В поле Profile path необходимо указать путь к перемещаемому профилю пользователя.

Рис. 10.24. Назначение перемещаемого профиля

Путь к профилю пользователя задается в следующем формате: \<сервер><общая_папка><имя_профиля>
Для размещения профилей можно использовать любую общую папку с полным доступом для группы Everyone (Все). Имя профиля может быть произвольным. Однако традиционно имя профиля совпадает с именем учетной записи пользователя.
Непосредственно создание профиля может быть осуществлено двумя способами. Первый способ предполагает автоматическое создание профиля в указанной папке при выходе пользователя из системы. Второй способ предполагает копирование в указанную папку приготовленного заранее профиля (например, можно скопировать один из локальных профилей пользователей).
Каждый раз, когда пользователь выходит из системы, текущие настройки рабочей среды сохраняются в локальном и перемещаемом профиле. В ходе регистрации пользователя в системе копия локального профиля сравнивается с копией перемещаемого профиля. Если копии различаются, используется более свежий профиль. Локальный профиль пользователя будет использован также в ситуациях, когда перемещаемый профиль окажется по каким-либо причинам недоступен (например, в случае отказа сервера, на котором он расположен). При этом по завершении работы пользователя система не будет предпринимать попыток сохранения изменений профиля на сервере.
Для придания перемещаемому профилю статуса обязательного необходимо переименовать файл NTUSER.DAT в файл NTUSER.MAN.

Настройка рабочей среды пользователя при помощи сценариев

Сценарии входа выполняются автоматически в процессе каждой регистрации пользователя на компьютере, работающем под управлением систем Windows 2000/XP или Windows Server 2003; подобным образом сценарии могут выполняться при выходе из системы. Также сценарии могут запускаться при загрузке системы и по окончании работы. Хотя сценарии входа чаще используются в доменах, их можно применять и на компьютерах — членах рабочей группы (а любой автономный компьютер также является членом группы). Для назначения сценариев используется оснастка Group Policy Object Editor (см. разд. «Сценарии»главы 21 «Использование групповых политик»).
Хотя чаще всего сценарий входа представляет собой командный файл с расширением bat или cmd, в качестве сценария входа может быть использован сценарий VBScript/JScript или исполняемый файл (*.ехе).
Сценарии входа не являются обязательными. Они могут применяться для настройки рабочей среды пользователя, создания сетевых соединений или запуска приложений. Сценарии входа очень удобны, если необходимо изменить некоторые параметры рабочей среды пользователя без выполнения ее полной настройки.

Примечание
Профили пользователя могут в процессе регистрации восстанавливать существовавшие ранее соединения с сетью, но они не могут быть использованы для создания новых соединений.

Создание сценариев входа

Для создания сценариев входа может быть использован обыкновенный текстовый редактор. Затем с помощью оснастки Group Policy Object Editor сценарии входа назначаются соответствующему пользователю, компьютеру или объекту каталога Active Directory, если компьютер входит в домен. Поскольку действия групповых политик могут распространяться на группы объектов каталога, один сценарий может выполняться несколькими пользователями или компьютерами. В табл. 10.5 приведены примеры параметров, значения которых можно устанавливать с помощью сценария входа, и их описание.

Таблица 10.5. Параметры, устанавливаемые с помощью сценария входа

Параметр	Описание
%HOMEDRIVE%	Имя устройства локального компьютера, связанного с домашним каталогом пользователя
%НОМЕРАТН%	Полный путь к домашнему каталогу пользователя
%HOMESHARE%	Имя общего ресурса, где находится домашний каталог пользователя
%OS%	Операционная система компьютера пользователя
%PROCESSOR ARCHITECTURE%	Тип процессора (например, Pentium) компьютера пользователя
%PROCESSOR_LEVEL%	Уровень процессора компьютера пользователя
%USERDOMAIN%	Домен, в котором находится учетная запись пользователя
%USERNAME%	Имя пользователя

Изменение системных и пользовательских переменных среды

Для конфигурирования, поиска, выделения памяти определенным программам и управления приложениями операционная система Windows Server 2003 и прикладные программы требуют определенной информации, называемой переменными среды (environment variables) системы и пользователя. Их можно просмотреть на вкладке Advanced (Дополнительно) окна свойств системы (System Properties), нажав кнопку Environment Variables (Переменные среды) (рис. 10.25). Эти переменные похожи на переменные, которые устанавливались в операционной системе MS-DOS, например PATH и TEMP.

Рис. 10.25. Окно настроек переменных среды для пользователя и системы

Системные переменные среды определяются в Windows Server 2003 независимо от того, кто зарегистрировался на компьютере. Если вы зарегистрировались как член группы Administrators, то можете добавить новые переменные или изменить их значения.
Переменные среды пользователя устанавливаются индивидуально для каждого пользователя одного и того же компьютера. Сюда включаются любые переменные среды, которые вы хотите определить, или переменные, определенные вашим приложением, например путь к файлам приложения.
После изменения переменных среды их новые величины сохранятся в реестре, после чего они становятся доступны («видны») при закрытии окна Environment Variables.
Если между переменными среды возникает конфликт, он разрешается следующим способом:
1. Устанавливаются системные переменные среды.
2. Устанавливаются переменные, определенные в файле Autoexec.bat (за исключением переменных PATH). Они перезаписывают системные переменные.
3. Устанавливаются переменные среды пользователя, определенные в окне Environment Variables. Они перезаписывают как системные переменные, так и переменные файла Autoexec.bat.
4. Устанавливаются переменные PATH файла Autoexec.bat.

Примечание
Настройки пути (PATH), в отличие от других переменных среды, кумулятивны. Полный путь (который вы видите как результат выполнения в командной строке команды path) создается присоединением путей, устанавливаемых в файле Autoexec.bat, к путям, определенным в окне Environment Variables.

Всем удачи!

05.08.2009 —

Posted by |
ms windows server 2003

Sorry, the comment form is closed at this time.

Источник

В главе
12 описан один из спосебов использования
групповой политики в службе каталога
Active
Directory
системы Microsoft
Windows
Server
2003 для управления вашей сетью —
использование групповой политики для
управления программным обеспечением,
которое устанавливается на рабочих
станциях вашей сети. Использование
централизованного инструмента для
управления программным обеспечением
клиентов дает существенную выгоду для
организации. Однако с управлением
компьютерами клиентов связано много
хлопот, включающих защиту настольных
компьютеров, управление профилями
пользователей и данными, блокировку
пользовательских рабочих столов для
уменьшения количества изменений, которые
могут делать пользователи на своих
компьютерах. В этой главе объясняется,
как использовать групповые политики
для управления компонентами рабочих
столов компьютеров клиентов.

В
больших организациях администрирование
компьютеров клиентов — это одна из самых
серьезных задач в управлении. Установка
и развертывание компьютеров требуют
больших усилий, но и управление рабочими
станциями после развертывания является
не менее трудоемкой задачей. В крупных
компаниях имеется целый сервисный
отдел, посвященный решению проблем, с
которыми сталкиваются пользователи.
Часто этот отдел подкрепляется группой
поддержки рабочих станций, которая
может посещать компьютеры клиентов,
если проблему нельзя решить по телефону.

Звонок в сервисный
отдел обычно связан с тем, что пользователь
сделал что-то такое, что вызвало проблемы.
Пользователь может изменить установки
системы так, что больше не сможет
соединяться с сетью. Другие звонки
связаны с конфигурированием рабочих
станций, например, параметры настройки
были неправильно заданы при установке
рабочей станции или приложения и после
инсталляции должны быть изменены.
Групповые политики могут использоваться
для уменьшения количества таких звонков,
позволяя централизовано управлять
компьютерами вашей компании. Вы можете
использовать групповые политики, чтобы
запретить пользователям изменения на
своих рабочих станциях, наруша-

ющие правильное
функционирование. Можно также использовать
групповые политики для централизованного
конфигурирования многих параметров
настройки рабочих станций вашей компании.

Практический
опыт. Индивидуальные
предпочтения против централизованного
управления компьютерными
рабочими столами

В
большинстве случаев управление рабочими
столами пользователей требует равновесия
между централизованным управлением
компьютерами и удовлетворением
потребностей пользователей, которые
хотят иметь полный контроль над своими
рабочими столами. Если реализовать все
опции управления, обсуждаемые в этой
главе, можно полностью блокировать
пользовательские рабочие столы, чтобы
пользователи гарантировано не смогли
сделать никаких неправомочных изменений.
Многие администраторы думают, что
предоставление пользователям возможности
изменять параметры настройки означает
только то, что они сконфигурируют
что-либо неправильно, и это приведет к
увеличению объема работы для администратора.
Многие пользователи, с другой стороны,
во всех попытках управления их рабочими
столами видят вторжение в их личное
пространство. С точки зрения пользователя
рабочая станция является частью
индивидуальной рабочей среды, и любые
попытки управления этой рабочей средой
вызывают решительное сопротивление.

Решение
о правильном балансе между централизованным
управлением рабочими столами и контролем
их со стороны конечного пользователя
в разных компаниях различно. Некоторые
компании уже имеют опыт использования
системной политики в Microsoft
Windows NT 4 или
групповых политик в Active
Directory Microsoft
Windows 2000, и их конечные
пользователи уже приучены к некоторому
уровню блокирования рабочего стола. В
таких компаниях можно вводить новые
ограничения без особого беспокойства.
Однако во многих компаниях раньше не
существовало никаких ограничений,
поэтому первая же попытка реализовать
ограничение вызовет активное сопротивление.

Для
большинства компаний наилучшим подходом
к управлению рабочими столами является
медленный старт и создание благоприятного
первого впечатления. Это означает, что
вы используете групповые политики для
решения проблем, раздражающих конечных
пользователей. Если вы покажете конечным
пользователям, что управление рабочими
столами фактически сделает их работу
более легкой, они более охотно согласятся
на дополнительное управление. С другой
стороны, если первые результаты вызовут
сотни звонков в сервисный отдел, то вы
лишитесь поддержки для реализации
любого управления рабочими столами.
Другим важным компонентом для успешной
реализации групповых политик является
помощь со стороны управленческого
аппарата. В боль-

шинстве
компаний дирекция идет навстречу всему,
что уменьшает стоимость управления
рабочими станциями. Если вы сумеете
доказать, что уменьшение стоимости
работ является конечным результатом
вашей реализации управления рабочими
столами, то вы наверняка получите
поддержку дирекции в улаживании жалоб,
поступающих от конечных пользователей,
не желающих, чтобы их рабочими столами
управляли.

Управление
рабочими столами с использованием
групповых политик

Служба
Active
Directory
Windows
Server
2003 имеет множество опций групповых
политик, которые мржно использовать
для конфигурирования компьютеров.
Параметры настройки расположены в
нескольких местах в структуре Group
Policy.
Поэтому перед началом детального
описания некоторых из параметров
настройки в этом разделе дается краткий
обзор доступных параметров настройки.
На рисунке 13-1 показано расширенное
представление опций управления рабочими
столами в пределах отдельного объекта
групповой политики GPO.
В таблице 13-1 дано краткое пояснение для
контейнеров высшего уровня.

Рис.
13-1. Контейнеры высшего уровня в Default
Domain Policy
(Заданная по умолчанию политика домена)

Табл.
13-1. Контейнеры
высшего уровня в заданной по умолчанию
политике домена

Контейнер высшего уровня	Дочерние контейнеры	Содержимое
Computer Configuration and User Configuration (Компьютерная и пользовательская конфигурация)	Software Settings (Параметры настройки программного обеспечения)	Содержит параметры настройки для пакетов программного обеспечения, используемых для распределения программ.
Computer Configuration and User Configuration (Компьютерная и пользовательская конфигурация)	Windows Settings Scripts (Параметры настройки WindowsСценарии)	Содержит сценарии запуска и выключения для компьютеров и сценарии входа в систему и выхода из нее для пользователей.
Computer Configuration and User Configuration (Компьютерная и пользовательская конфигурация)	Windows Settings Security Settings (Параметры настройки Windows Параметры настройки защиты)	Содержит параметры настройки, используемые для конфигурирования защиты компьютера. Некоторые параметры настройки специфичны для доменного уровня, а некоторые можно установить на контейнерном уровне. Большинство параметров настройки защиты конфигурируются в разделе компьютерной конфигурации
User Configuration (Пользовательская конфигурация)	Windows Settings Folder Redirection (Параметры настройки Windows Пере-назначение папки)	Содержит параметры настройки, которые переадресовывают пользовательские папки, такие как папки My Documents (Мои документы), на сетевой ресурс.
User Configuration (Пользовательская конфигурация)	Windows Settings Remote Installation Services (Параметры настройки Windows Служба удаленной инсталляции)	Содержит отдельную опцию конфигурации для службы удаленной инсталляции (RIS).
User Configuration (Пользовательская конфигурация)	Windows Settings Internet Explorer Maintenance (Параметры настройки WindowsОбслуживание Internet Explorer)	Содержит параметры настройки для управления конфигурацией приложения Microsoft Internet Explorer на пользовательских рабочих столах.
Computer Configuration and User Configuration (Компьютерная конфигурация и пользовательская конфигурация)	Administrative Templates (Административные шаблоны)	Содержит большое количество конфигурационных параметров настройки, которые могут использоваться для конфигурирования системного реестра компьютера.

Последующий
материал содержит детальное описание
многих контейнеров высшего уровня.

Управление
данными пользователей и параметры
настройки профиля

Одна из проблем,
с которыми сталкиваются сетевые
администраторы, состоит в управлении
пользовательскими данными и
пользовательскими профилями. Данные,
с которыми работают пользователи, часто
являются критическими с точки зрения
бизнеса, они должны соответствующим
образом защищаться и управляться. В
большинстве случаев они должны храниться
централизовано с поддержкой регулярного
резервного копирования. Имеется много
способов обращения с этими данными.
Обычно данные всех пользователей
хранятся на сетевом ресурсе. Однако
многие пользователи хранят некоторые
данные, которые нужны в случае отсутствия
сети, на своих компьютерах, особенно на
портативных

Другой аспект
управления рабочими столами компьютеров
состоит в управлении пользовательскими
профилями, которые часто больше беспокоят
конечных пользователей, чем администраторов.
Некоторые пользователи проводят
значительное время, конфигурируя свои
приложения и рабочие столы для
удовлетворения собственных предпочтений.
Для этих пользователей конфигурация
рабочего стола очень важна, и они хотят,
чтобы данный рабочий стол появлялся
независимо от того, с какого компьютера
они войдут в систему.

До
появления Active
Directory
основным методом управления
пользовательскими данными и параметрами
настройки была реализация пользовательских
профилей. Некоторые компании реализовывали
роу-минговые профили пользователя,
которые сохранялись на сетевом ре-

сурсе и были
доступны пользователям с любой рабочей
станции в организации. Некоторые компании
налагают ограничения на профили своих
пользователей, реализуя принудительные
профили. Используя принудительные
профили, администратор может создать
стандартный профиль для пользователя
или группы пользователей, а затем
сконфигурировать профиль так, чтобы
пользователи не могли его изменять.

Роуминговые
и принудительные пользовательские
профили могут быть реализованы, используя
Active
Directory,
а некоторые из параметров настройки,
предназначенные для управления ими,
могут быть сконфигурированы через
групповые политики. В дополнение к
пользовательским профилям Active
Directory
обеспечивает также переназначение
папки для управления пользовательскими
данными и параметрами настройки, что
создает существенные выгоды для
пользовательских профилей.

Управление
пользовательскими профилями

Пользовательский
профиль содержит всю конфигурационную
информацию для рабочего стола пользователя.
Эта информация включает содержание
поддерева HKEY_CURRENT_USER
в системном реестре (хранящееся как
файл Ntuser.dat),
который включает параметры настройки
конфигурации для приложений и рабочего
стола. Кроме того, профиль содержит
папки My
Documents
(Мои документы), Start
Menu
(Меню Пуск), Desktop
(Рабочий стол) и Application
Data
(Данные приложений). На рисунке 13-2
показано содержимое пользовательского
профиля на компьютере с системой Windows
Server
2003.

Рис.
13-2. Пользовательский профиль содержит
все пользовательские параметры настройки
рабочего стола и папки для пользовательских
данных

Пользовательский
профиль создается на каждом компьютере,
когда пользователь первый раз входит
в систему. Начальный профиль основан
на заданном по умолчанию пользовательском
профиле, который хранится в папке
%systemdrive%Documents
And
Settings.
Когда пользователь выходит из системы,
профиль пользователя, включая любые
сделанные им изменения к заданному по
умолчанию, сохраняется в папке с именем,
под которым пользователь входил в
систему, в папке Documents
And
Settings
(Документы и параметры настройки). Когда
пользователь снова войдет на тот же
самый компьютер, его профиль будет
найден, и пользователю будет представлен
тот же самый рабочий стол, который был
перед выходом из системы. Некоторые
компании реализовали роу-минговые
профили пользователя. Роуминговые
пользовательские профили хранятся на
сетевом ресурсе, чтобы быть доступными
пользователю, когда он перемещается
между компьютерами. Когда пользователь,
для которого сконфигурирован роуминговый
профиль, впервые входит на компьютер,
этот профиль загружается с сетевого
ресурса и применяется к компьютеру.
Когда пользователь выходит из системы,
сделанные им изменения к пользовательскому
профилю копируются назад на сетевой
ресурс. Копия профиля также кэшируется
на местной рабочей станции. Если
пользователь уже входил на рабочую
станцию прежде, то временная метка
профиля, хранящегося на местной рабочей
станции, сравнится с временной меткой
профиля, хранящегося на сетевом ресурсе.
В системах Windows
2000 и Windows
XP
Professional
временная метка на индивидуальных
файлах используется для определения
того, какой из файлов профиля является
более новым. Если профиль, хранящийся
на сервере, новее, чем местный профиль,
то весь профиль будет скопирован с
сервера на местную рабочую станцию.
Включить роуминговый профиль пользователя
можно, конфигурируя путь профиля на
вкладке Profile
(Профиль) окна Properties
(Свойства) учетной записи пользователя
в инструменте Active
Directory
Users
And
Computers
(Пользователи и компьютеры Active
Directory).

Некоторые
компании реализуют принудительные
профили. В большинстве случаев
принудительные профили используются
в комбинации с роуминговыми профилями
для создания стандартной настольной
конфигурации для группы пользователей.
Например, вы имеется группа пользователей,
исполняющих одни и те же функции и
нуждающихся в очень ограниченной
конфигурации рабочего стола. Если вы
являетесь членом групп Account
Operators
(Операторы учетных записей), Domain
Admins
(Администраторы домена) или Enterprise
Admins
(Администраторы предприятия), вы можете
создать один стандартный рабочий стол
для этой группы пользователей и
использовать принудительные профили,
чтобы помешать изменению конфигурации.
Чтобы включить опцию принудительных
профилей, сначала создайте желательную
стандартную конфигурацию рабочего
стола. Затем сохраните все содержимое
пользовательского профиля на сетевом
ресурсе и переименуйте файл

Ntuser.dat
в Ntuser.man.
Далее сконфигурируйте всех необходимых
пользователей, чтобы этот профиль был
их роуминговым профилем. Когда пользователи
войдут в сеть, им будет представлен
стандартный профиль, и поскольку этот
профиль является принудительным, они
не смогут сохранить никакие изменения,
сделанные к нему.

Роуминговые
пользовательские профили существуют
и в Windows
Server
2003. Если в вашей компании реализованы
роуминговые или принудительные
пользовательские профили, можно
продолжать их использование. Для
управления пользовательскими профилями
используются групповые политики.
Большинство пользовательских параметров
настройки профиля расположено в папке
Computer
Configuration
Administrative
Templates
SystemUser
Profiles.
Дополнительные параметры настройки
расположены в подпапке того же названия
в разделе параметров User
Configuration.
В таблице 13-2 объясняются опции
конфигурации.

Табл.
13-2. Конфигурирование пользовательских
профилей с помощью редактора объектов
групповой политики

Опция конфигурации	Пояснение
Do Not Check For User Ownership Of Roaming Profile Folders (He проверять право собственности пользователя на папки роу-минговых профилей)	Используется для конфигурирования действий в случае, если папка роуминговых профилей пользователя уже существует и рабочие станции модернизированы до Microsoft Windows 2000 Service Pack 4 или Microsoft Windows XP Professional Service Pack. Эти новые сервисные пакеты увеличивают заданную по умолчанию защиту пользовательских профилей. Включение этой опции означает, что поддерживается более ранняя защита.
Delete Cached Copies Of Roaming Profiles (Удалить кэширован-ные копии роуминго-вых профилей)	Используется для удаления в местном масштабе кэшированной копии роумингового профиля пользователя, когда пользователь выйдет из системы. Не включайте эту опцию, если вы используете функцию обнаружения медленных связей в системах Windows 2000 или Windows XP Professional, потому что этой функции требуется локально кэшированная копия пользовательского профиля.
Do Not Detect Slow Network Connections (He обнаруживать медленные сетевые подключения)	Используется для предотвращения использования функции обнаружения медленных связей при конфигурировании способов управления роуминговыми профилями пользователя. Если опция включена, то роуминговые профили пользователей будут загружаться всегда, независимо от скорости передачи в сети.
Slow Network Connection Timeout For User Profiles (Лимит времени в медленном сетевом подключении для пользовательских профилей)	Используется для определения медленного сетевого подключения. Если опция включена, то заданное по умолчанию определение медленного сетевого подключения — менее 500 Кб/с, или (для компьютеров, не использующих IP-адрес) если серверу на ответ требуется более 120 мс.
Wait For Remote User Profile (Ждать удаленный пользовательский профиль)	Используется для того, чтобы всегда загружать роуминговый профиль пользователя с сервера. Если опция включена, рабочая станция загрузит пользовательский профиль, даже если будет обнаружено медленное сетевое подключение.
Prompt User When Slow Link Is Detected (Предупредить пользователя, если обнаружены медленные связи)	Используется для предупреждения об обнаруженном медленном сетевом подключении, чтобы дать пользователю возможность выбора между загрузкой местного профиля или профиля, расположенного на сервере. Если опция не включена, местный профиль будет загружен без уведомления пользователя.
Timeout For Dialog Boxes (Лимит времени для диалоговых окон)	Используется для конфигурирования времени ожидания система после того, как пользователь будет предупрежден об обнаружении медленного сетевого подключения. Если лимит времени истекает, то применяется заданное по умолчанию значение или действие, связанное с диалоговым окном.
Log Users Off When Roaming Profile Fails (Предотвратить вход пользователей, если роуминговый профиль не доступен)	Используется для запрета входа пользователей в систему, если роуминговый профиль недоступен. Если опция не включена, будет загружен профиль, котируемый в местном масштабе, если он доступен. (Иначе загружается местный заданный по умолчанию пользовательский профиль.)
Maximum Retries To Unload And Update User Profile (Максимальное количество повторных попыток для выгрузки и обнов-	Используется для конфигурирования количества попыток системы обновить файл Ntuser.dat, когда пользователь выходит из системы и обновление терпит неудачу. По умолчанию система будет пробовать обновить файл один раз в секунду в течение 60 с.
Add The Administrators Security Group To Roaming User Profiles (Добавьте группу безопасности администраторов к роуминговым профилям пользователей)	Используется для конфигурирования административного доступа к пользовательским профилям. По умолчанию в системах Windows 2000 и Windows XP Professional учетной записи пользователя дается полное управление профилем, а администраторы не имеют никакого доступа
Prevent Roaming Profile Changes From Propagating To The Server (Предотвратить перемещение изменений роумингового профиля на сервер)	Используется для конфигурирования действий при выходе пользователя из системы. Если эта опция включена, то роуминговый профиль на сервере не модифицируется, когда пользователь выходит из системы.
Only Allow Local User Profiles (Разрешить только местные пользовательские профили)	Используется для конфигурирования того, будут ли роуминговые профили пользователя скопированы с сервера. Если опция включена, роуминговый профиль пользователя не будет применяться
Connect Home Directory To Root Of The Share (Подключить домашний каталог к корню ресурса) (в разделе User Configuration)	Используется для конфигурирования отображения домашнего диска так, как он был сконфигурирован в Windows NT. Если опция включена, то домашним диском’ для всех пользователей будет сетевой ресурс, на котором расположены домашние папки пользователей. Если опция отключена (задано по умолчанию), домашние диски б^удут отображать специфичные для пользователя папки, а не ресурс более высокого уровня.
Limit Profile Size (Ограничить размер профиля) (в разделе User Configuration)	Используется для ограничения размера роумингового профиля пользователя, а также для конфигурирования того, какое предупреждение получит пользователь, если размер его профиля будет превышен.
Exclude Directories In Roaming Profile (Исключить каталоги из роуминговых профилей) (в разделе User Configuration)	Используется для предотвращения включения определенных пользовательских каталогов в роуминговый профиль пользователя.

Как
показано в таблице 13-2, Active
Directory
Windows
Server
2003 имеет мощные возможности для управления
роуминговыми профилями пользователя.
Они используются для проектирования
специфичных конфигураций пользователей
в вашей компании. Например, для большинства
пользователей вашей компании, которые
входят в домен через быстрые сетевые
подключения, можно изменить некоторые
параметры настройки роуминговых
профилей, таких как ограничение размера
профиля, но принять остальные значения
заданными по умолчанию. Для тех
пользователей, которым требуются
специальные конфигурации рабочего
стола, могут понадобиться особенные
параметры настройки, например, запрет
на загрузку роуминговых профилей
пользователя или обязательная загрузка
профиля. Для тех пользователей, которые
входят в сеть через медленные сетевые
подключения, нужно сконфигурировать
параметры медленных сетевых подключений.
Создавая структуру организационных
единиц (OU),
которая соответствует требованиям
пользовательских профилей, можно
реализовать особые конфигурации
роуминговых профилей пользователя.

Роуминговые
пользовательские профили полезны для
компаний, в которых пользователи не
пользуются все время одним и тем же
компьютером. Когда функция роуминговых
профилей включена, рабочая среда
пользователя остается одной и той же,
независимо от того, в каком месте
пользователь входит в систему. Однако
роуминговые профили пользователя имеют
некоторые ограничения. Самая большая
проблема состоит в том, что пользовательский
профиль может стать очень большим.
Например, пользователь хранит большинство
своих документов в папке My
Documents
(Мои документы) или на рабочем столе.
Временные интернет-файлы могут вырастать
до размеров, составляющих десятки
мегабайт. Все эти файлы сохраняются в
пользовательском профиле. Проблема
заключается в том, что весь профиль
должен быть скопирован на локальную
рабочую станцию всякий раз, когда
пользователь входит в систему, и компьютер
обнаруживает, что профиль, находящийся
на сервере, новее, чем профиль, находящийся
на локальной рабочей станции. Если
пользователь делает изменения профиля,
то при выходе профиль копируется назад
на сервер. Этот процесс создает
существенный объем сетевого трафика.

Переназначение
папки

Active
Directory
Windows
Server
2003 обеспечивает переназначение папки
как способ получения выгоды от
использования роуминговых профилей
при уменьшении пропускной способности
сети. Если включена функция переназначения
папки, то папки, которые обычно являются
частью местного пользовательского
профиля, перемещаются из местного
профиля и сохраняются на сетевом ресурсе.
Например, одна из типичных папок, которая
конфигурируется для переназначения
папки, — это папка
My
Documents.
Во многих компаниях эта папка является
логической папкой, использующейся для
переадресования, так как она представляет
собой заданное по умолчанию место для
хранения пользовательских файлов. Когда
эта папка конфигурируется для
переназначения, вы сохраняете ее на
сетевом ресурсе, где централизованно
поддерживается ее резервное копирование
и одновременно обслуживается среда
конечного пользователя. Переназначение
папки полностью прозрачно для конечного
пользователя, единственный способ
узнать, что папка была переадресована,
— посмотреть свойства папки My
Documents.

Другая причина переназначения
папки состоит в том, что вы можете
использовать эту опцию для развертывания
стандартной среды рабочего стола вместо
использования принудительных
пользовательских профилей. Например,
можно переадресовать папки Start
Menu
или Desktop
на сетевой ресурс, затем сконфигурировать
группу пользователей, использующих
одну и ту же папку. Давая всем пользователям
разрешения Read
(Чтение) к этим папкам, но не давая
разрешения Write
(Писать), вы можете сконфигурировать
стандартный рабочий стол для группы
пользователей.

Можно переназначить четыре
различные папки в Active
Directory
Windows
Server
2003: Application
Data,
Desktop,
My
Documents
и Start
Menu
Переназначение папки конфигурируется
в редакторе объектов групповых политик
выбором User
Configuration
(Конфигурация пользователя), далее —
Windows
Settings
(Параметры настройки Windows),
затем — Folder
Redirection
(Перенаправление папаки). Папки перечислены
таким образом, что можно сконфигурировать
каждую папку отдельно.

Чтобы сконфигурировать
папку My
Documents
для переназначения, найдите объект My
Documents
в папке Folder
Redirection
(Переназначение папки), щелкните на нем
правой кнопкой мыши, а затем выберите
Properties
(Свойства). Первая вкладка листа Properties
объекта — это вкладка Target
(Цель) (см. рис. 13-3).

На этой вкладке имеется три
конфигурационные опции. По умолчанию
опция Setting
(Параметры установки) установлена как
Not
Configured
(He
конфигурирована), т.е. папка не
переадресована на сетевой ресурс. Две
другие опции, предназначенные для
конфигурирования, следующие.

Basic
— Redirect
Everyone‘s
Folder
To
The
Same
Location
(Основная -переадресовать
все папки в одно и то же место). Используется
в том случае, если вы хотите создать
одно место, куда будут переадресованы
все папки. Например, папки всех
пользователей, на которых действует
эта политика, будут расположены на
сетевом ресурсе servernam
е sharenam
е.
Advanced
— Specify
Locations
For
Various
User
Groups
(Расширенная -указать
местоположение для различных групп
пользователей). Используется для
конфигурирования альтернативных
местоположений
для
переадресованной папки в зависимости
от того, какой группе Active
Directory
принадлежит пользователь. Если опция
выбрана, можно назначать альтернативное
целевое место расположения папки для
каждой группы.

Рис.
13-3. Конфигурирование целевого места
расположения папки при ее переназначении

Совет.
Нельзя использовать опцию Advanced
для назначения альтернативных мест
расположения папки для индивидуальных
учетных записей пользователя. Помните,
что эта групповая политика применяется
только к учетным записям пользователя,
которые находятся в контейнере, в котором
вы конфигурируете групповую политику.
Если вы конфигурируете опцию Advanced,
чтобы переадресовать групповую папку
в определенное место, установка применится
только к тем учетным записям пользователей
данной группы, которые расположены в
данном контейнере. Если группа содержит
пользователей из других контейнеров,
переназначение папки к ним применяться
не будет.

Как только выбраны
параметры настройки для переадресования
папок, можно сконфигурировать целевое
место расположения папки. Имеется
несколько опций, предназначенных для
выбора места хранения папки.

Redirect
To
The
User‘s
Home
Directory
(Переадресовать
в основной каталог пользователя).
Используется для переадресации папки
My
Documents
в основной (домашний) каталог пользователя,
который определен в свойствах учетной
записи пользователя. Используйте эту
опцию,
только если вы уже создали основной
каталог. Если основной каталог не
создан, конфигурирование этой опции
его не создаст. Опция доступна только
для папки My
Documents.
Create
a
Folder
For
Each
User
Under
The
Root
Path
(Создать
папку для каждого пользователя в
корневом каталоге). Используется для
указания корневого каталога, в котором
будут храниться папки. Когда вы выбираете
эту опцию, папка будет создана в корневом
каталоге каждого пользователя. Имя
папки будет основано на переменной
входа в систему %username
%.
Redirect
To
The
Following
Location
(Переадресовать
по следующему адресу). Используется
для указания корневого каталога и места
расположения папки для каждого
пользователя. Вы можете использовать
UNC-путь
или путь к локальному диску. Используйте
переменную %username
% для создания индивидуальных папок.
Эта опция используется также для
переадресации нескольких пользователей
к одной и той же папке. Например, если
нужно сконфигурировать стандартное
Start
Menu
для группы пользователей, можно указать
для всех один и тот же файл.
Redirect
To
The
Local
Userprofile
Location
(Переадресовать
в место расположения локального профиля
пользователя). Эта установке является
заданной по умолчанию конфигурацией,
если никакие политики не включены.
После установки опции папки не будут
переадресовываться на сетевой ресурс.

Вы
можете также сконфигурировать другие
параметры настройки для переадресованных
папок. Чтобы сделать это, щелкните на
вкладке Settings
в окне Properties
объекта (см. рис. 13-4).

Рис.
13-4. Конфигурирование параметров настройки
переназначения папки

Вкладка
Settings
(Параметры настройки) имеет несколько
опций конфигурации.

Grant
The
User
Exclusive
Rights
To
foldername
(Предоставить
пользователю исключительные права на
имя
папки). Предоставляет
пользователю и системной учетной записи
полный контроль над папкой. Учетная
запись Administrator
(Администратор) не будет иметь никакого
доступа к этой папке. Если вы очистите
флажок, то разрешения на доступ к папке
будут сконфигурированы на основе
унаследованных разрешений.
Move
The Contents Of foldername
To
The New Location (Переместить
содержимое
папки
имя
папки
в
новое
место).
Перемещает
текущее содержимое переадресованной
папки в целевое место расположения.
Если опция не выбрана, содержимое
текущей папки не будет скопировано в
целевое место расположения.
Policy
Removal
(Удаление
политики). Используется для выбора
действий в случае удаления политики.
Если вы примете заданную по умолчанию
опцию Leave
The
Folder
In
The
New
Location
When
Policy
Is
Removed
(Оставить папку в новом месте, когда
политика удалена), то содержимое
переадресованной папки не будет
перемещено в локальный пользовательский
профиль, если политика удалена. Выбор
опции Redirect
The
Folder
Back
To
The
Local
Userprof
ile
Location
When
Policy
Is
Removed
(Переадресовать папку назад к месту
расположения локального профиля
пользователя, когда политика удалена)
переместит содержимое папки, когда
политика будет удалена.
My
Pictures Preferences (Предпочтения,
касающиеся
папаки
My Pictures). Эта
установка используется для конфигурирования
того, будет ли папка My
Pictures
включена в переназначение папки My
Documents.

Когда
вы используете переназначение, чтобы
переадресовать папку My
Documents,
содержимое папки не копируется на сервер
и обратно, как это делается в случае с
роуминговыми пользовательскими
профилями. Содержимое папки расположено
на сервере, как и любые другие данные
сетевого ресурса. Следовательно, часть
содержимого папки пересекает сеть
только тогда, когда пользователь
открывает файл в папке. Это справедливо
и для папки Desktop
(Рабочий стол). Если на рабочем столе
имеется большой файл, то этот файл
хранится на сетевом ресурсе и копируется
на компьютер клиента, когда пользователь
открывает файл. Тот факт, что данные
пересекают сеть только по требованию,
может значительно улучшать выполнение
входа в систему, особенно если у вас
имеется большое количество пользователей,
одновременно загружающих свои роуминговые
профили.

Одно
из преимуществ использования
пользовательских профилей для сохранения
папок типа папки My
Documents
состоит в том, что после начального
входа в систему на рабочей станции копия
пользовательского профиля всегда
сохраняется в местном масштабе, т.е.
если сервер профиля недоступен или
рабочая станция отключена от сети, то
профиль, укомплектованный папкой My
Documents,
будет доступен на рабочей станции. Когда
рабочая станция повторно связывается
с сетью, изменения, сделанные к
пользовательскому профилю, копируются
на сервер.

Вы
можете достичь этого, комбинируя
переназначение папки с автономными
файлами. Автономные файлы доступны на
рабочих станциях с системами Windows
2000, или более поздними, и могут
использоваться для поддержки
синхронизированной копии общей папки
между локальной рабочей станцией и
сетевым ресурсом. По умолчанию
переадресованные папки сконфигурированы
для автономного использования с
клиентами, имеющими систему Windows
XP
Professional.
Если имеются клиенты с системой Windows
2000, можно щелкнуть правой кнопкой мыши
на папке My
Documents,
расположенной на рабочем столе, и выбрать
Make
Available
Offline
(Сделать доступным в автономном режиме).
Включение автономных файлов означает,
что переадресованная папка будет
скопирована клиентам, делая папку
доступной даже в том случае, если сетевое
место, в которое была переадресована
папка, недоступно.

Конфигурирование
параметров настройки защиты с помощью
групповых политик

Один из критических
моментов в управлении пользовательским
рабочим столом состоит в конфигурировании
на них защиты. Поддержание согласованной
конфигурации защиты для тысяч рабочих
столов почти невозможно без центрального
управления. Для обеспечения централизованного
управления могут использоваться
групповые политики. Некоторые параметры
настройки защиты, сконфигурированные
с помощью групповых политик, могут быть
реализованы только на уровне домена,
некоторые — на любом контейнерном уровне.

Конфигурирование
политики безопасности на уровне домена

Account
Policies
(Политики учетных записей), расположенные
в контейнере Computer
Conf
iguration
Windows
SettingsSecurity
Settings,
содержат параметры настройки защиты,
которые могут быть сконфигурированы
только на уровне домена. Account
Policies
включает три группы политик: Password
Policy
(Политика паролей), Account
Lockout
Policy
(Политика блокировки учетных записей)
и Kerberos
Policy
(Политика Kerberos)
(см. рис. 13-5). Эти политики, за исключением
Kerberos
Policy,
применяются ко всем пользователям в
домене, независимо от того, с какой
рабочей станции пользователи вошли в
сеть. Политика Kerberos
Policy
применяется только на тех компьютерах
домена, на которых вы-

полняются
системы
Windows 2000, Windows XP Professional или
Windows Server 2003.

Рис.
13-5. Отображение политик безопасности
уровня домена Политика паролей

Опции конфигурации
политики паролей содержат параметры
настройки для истории пароля, его длины
и сложности. В таблице 13-3 описывается
каждая установка.

Табл.
13-3. Политики паролей

Параметры установки конфигурации	Описание	Значение по умолчанию
Enforce Password History (Предписанная история пароля)	Определяет количество новых уникальных паролей, которые должны быть введены, прежде чем пользователь сможет повторно использовать старый пароль. Возможные значения: от 0 до 24	24 пароля запоминается для контроллеров домена и компьютеров-членов домена; 0 для автономных серверов.
Maximum Password Age (Максимальное время использования пароля)	Определяет количество дней, в течение которых может использоваться пароль, прежде чем пользователь должен будет его изменить. Чтобы сконфигурировать пароль для бесконечно долгого использования, установите число дней на 0. Возможные значения: от 0 до 999	42 дня.
Minimum Password Age (Минимальное время использования пароля)	Определяет количество дней, в течение которых пароль должен использоваться, прежде чем пользователь сможет его изменить. Чтобы позволить немедленное изменение пароля, установите это значение на 0. Возможные значения: от 0 до 998	1 день для контроллеров домена и компьютеров-членов домена; 0 -для автономных серверов.
Minimum Password Length (Минимальная длина пароля)	Определяет наименьшее количество символов, требуемых для пароля. Если никакого пароля не требуется, установите значение на 0. Возможные значения: от 0 до 14	7 символов для контроллеров домена и компьютеров-членов домена; 0 — для автономных серверов.
Passwords Must Meet Complexity Requirements (Пароли должны удовлетворять требованиям определенной сложности)	Увеличение сложности пароля за счет предписания : условия, что пароль не должен содержать какую-либо часть имени пользователя — этой учетной записи, должен содержать по крайней мере 6 символов, содержать символы, принадлежащие трем из четырех перечисленных ниже категорий: английские прописные буквы, английские буквы нижнего регистра, цифры от 0 до 10, специальные символы (типа !, $,#)	Включено для контроллеров домена и компьютеров-членов домена. Выключено для автономных серверов.
Store Password Using Reversible Encryption (Хранить пароль, используя обратимое кодирование)	Использование этой установки означает то же самое, что и сохранение паролей в открытом тексте. Эта политика обеспечивает поддержку для приложений, которые требуют доступа к паролю для аутентификации.	Заблокировано.

Политика
блокировки учетных записей

Опции конфигурации
политики блокировки учетных записей
содержат параметры настройки для порога
и продолжительности блокировки пароля,
а также для повторной устаовки пароля.
В таблице 13-4 описаны все установки.

Табл.
13-4. Политики блокировки учетных записей

Параметры настройки конфигурации	Объяснение	Значение по умолчанию
Account Lockout Duration (Продолжительности блокировки учетной записи)	Определяет количество минут, в течение которых заблокированная учетная запись остается заблокированной. После указанного числа минут учетная запись будет автоматически разблокирована. Разблокировать учетную запись должен администратор, установив это значение на 0. Любое значение, отличное от нуля должно быть равно или больше, чем значение, установленное в опции Reset Account Lockout Counter After. Возможные значения: от 0 до 99999	Никакого значения. Установите значение на 30 минут, если порог блокировки учетной записи установлен на 1, или больше.
Account Lockout Threshold (Порог блокировки учетной записи)	Определяет количество неудавшихся попыток входа в систему, которое позволяется сделать, прежде чем учетная запись пользователя будет заблокирована. Значение 0 означает, что учетная запись никогда не будет заблокирована. Возможные значения: от 0 до 999	0 недопустимых попыток входа в систему.
Reset Account Lockout Counter After (Сброс счетчика блокировки учетной записи)	Определяет число минут, которые должны пройти после неудавшейся попытки входа в систему, прежде чем счетчик неудачных входов в систему будет сброшен на 0. Любое значение, отличное от нуля, должно быть равно или меньше, чем значение, заданное для Account Lockout Duration. Возможные значения: от 1 до 99999	Никакого значения. Установите значение на 30 минут, если порог блокировки учетной записи установлен на 1 или больше.

Политики
Kerberos

Опции
конфигурации политик Kerberos
содержат параметры настройки билета
Kerberos
Ticket-Granting
Ticket
(TGT),
сроков службы билета сеанса и параметров
настройки временной метки. В таблице
13-5 описаны все установки.

Табл.
13-5. Политики Kerberos

Параметры настройки конфигурации	Объяснение	Значение по умолчанию
Enforce User Logon Restrictions (Предписать выполнение ограничений на вход пользователей в систему)	Требует, чтобы центр распределения ключей (Key Distribu tion Center — KDC) подтверждал каждый запрос на билет сеанса по отношению к политике User Rights (Права пользователя) целевого компьютера	Включено.
Maximum Lifetime For Service Ticket (Максимальный срок пригодности билета службы)	Определяет максимальное время в минутах, в течение которого билет службы пригоден для обращения к ресурсу. Возможные значения: 10, вплоть до значений, меньших или равных значению в минутах параметра Maximum Lifetime For User Ticket, но не превышающих 99999. Значение 0 приведет к тому, что время пригодности билета станет бесконечным, значение Maximum Lifetime For User Ticket будет установлено^на 1, a значение Maximum Lifetime For User Ticket Renewal будет установлено на 23	600 минут (10 часов).
Maximum Lifetime For User Ticket (Максимальный срок службы пользовательского билета)	Определяет максимальное время в часах, в течение которого может использоваться билет TGT. Когда это время истекает, рабочая станция должна получить новый билет TGT. Возможные значения: от 0 до 99999. Значение 0 указывает, что срок службы билета не будет истекать, а опция Maximum Lifetime For User Ticket Renewal будет установлена на значение Not Defined	10 часов.
Maximum Lifetime For User Ticket Renewal (Максимальный срок, в течение которого пользовательский билет может быть возобновлен)	Определяет время в днях, в течение которого билет TGT пользователя может быть возобновлен вместо получения нового билета. Значение 0 указывает, что возобновление билета заблокировано	7 дней.
Maximum Tolerance For Computer Clock Synchronization (Максимальный допуск в синхронизации компьютерных часов)	Определяет различие между временем на компьютере клиента и временем на часах сервера в минутах, которое допускает протокол Kerberos. Обратите внимание, что эта установка переустанавливается на заданное по умолчанию значение при каждом перезапуске компьютера	5 минут.

Политики
учетных записей должны быть установлены
на уровне Domain
Security
Policy
(Политики безопасности домена) на
контроллере домена. Эти параметры
настройки затрагивают всех пользователей
и все компьютеры в домене. Хотя эти
политики могут быть сконфигурированы
на уровне OU,
они не будут влиять на тех, кто входит
в систему домена. Если вы устанавливаете
политику для OU,
она затронет только местную базу данных
безопасности для компьютеров, входящих
в эту OU.
Когда эти политики сконфигурированы
на уровне OU,
они применяются только тогда, когда
пользователи входят в систему в местном
масштабе. Когда пользователи входят в
домен, политики домена всегда подменяют
локальную политику.

Конфигурирование
других параметров безопасности

В
дополнение
к политике безопасности уровня домена
групповые политики обеспечивают большое
количество связанных с безопасностью
параметров настройки. Как и в случае с
политиками Account
Policies,
многие из этих параметров настройки
конфигурируются при выборе контейнера
Computer
Conf
igurationWindows
SettingsSecurity
Settings.
Некоторые дополнительные параметры
настройки конфигурируются при выборе
контейнера User
ConfigurationWindows
SettingsSecurity
Settings.
На рисунке 13-6 показаны опции, находящиеся
в каждой из папок Security
Settings
(Параметров настройки безопасности), в
таблице 13-6 они суммированы для каждого
заголовка.

Рис.
13-6. Дополнительные политики, имеющиеся
в папке Security Settings

Использование
групповых политик для настройки
безопасности компьютеров вашей сети
значительно облегчает создание и
поддержание безопасной сетевой среды.
Намного легче конфигурировать
безопасность, используя групповые
политики, чем иметь дело с каждой рабочей
станцией индивидуально. Все, что вы
должны сделать, — это создать централизованные
политики безопасности, сконфигурировать
их в объекте GPO
и связать его с контейнерным объектом
Active
Directory.
В следующий раз, когда будет применяться
объект GPO,
защита будет сконфигурирована на всех
компьютерах в контейнере. Использование
групповых политик облегчит постоянное
управление параметрами настройки защиты
для ваших компьютеров. Параметры
настройки защиты, которые устанавливаются
политиками, непрерывно обновляются.
Даже если пользователь изменит
конфигурацию защиты на рабочей станции,
политика будет повторно применена в
следующем цикле обновления. Изменить
параметры настройки защиты просто,
потому что вы можете изменить групповую
политику и применить параметры настройки
ко всем компьютерам, на которые
воздействует данная политика.

Табл.
13-6. Параметры настройки защиты в групповых
политиках

Опция конфигурации	Пояснение
Local PoliciesAudit Policy (Локальные политикиПолитика аудита)	Используется для конфигурирования параметров настройки аудита. Можно устанавливать политику аудита для таких опций, как действия по управлению учетными записями, события входа в систему, изменения политик, использование привилегий и системных событий.
Local PoliciesUser Rights Assignment (Локальные полити-киНазначение прав пользователей)	Используется для конфигурирования прав пользователей на компьютерах, подверженных воздействию этой политики. Можно устанавливать разнообразные политики, включая конфигурирование локального входа в систему, доступа к компьютеру из сети, резервного копирования файлов и папок, входа в систему для служебных целей и т.п.
Local PoliciesSecurity Options (Локальные политикиОпции безопасности)	Используется для конфигурирования опций безопасности для компьютеров, на которые воздействует эта политика. Можно конфигурировать переименование учетной записи локального администратора, управление установкой принтера, установкой драйверов, не имеющих подписи, возможностью хранения паспорта Microsoft .NET на рабочих станциях и т.п.
Event Log (Журнал регистрации событий)	Используется для конфигурирования параметров журнала регистрации событий для всех компьютеров, на которые воздействует данная политика. Можно конфигурировать максимальный размер журнала, разрешение на просмотр, сохранение всех журналов.
Restricted Groups (Ограниченные группы)	Используется для ограничения членства локальных групп на компьютерах, которые повержены воздействию данной политики. Эта опция обычно используется для конфигурирования членства в группе локальных администраторов на компьютерах с системами Windows 2000 или более поздних. Если эта опция используется для конфигурирования членства локальной группы, то все пользователи или группы, которые являются частью локальной группы, но не входят в список членов, подверженных влиянию этой политики, будут удалены при следующем обновлении политики.
System Services (Системные службы)	Используется для управления службами на компьютерах: для определения автоматически запускаемых службы или для выключения служб.
Registry (Системный реестр)	Используется для конфигурирования защиты на ключах системного реестра. Вы можете добавить любой ключ системного реестра к политике, а затем применит определенную защиту к этому ключу.
File System(Файловая система )	Используется для конфигурирования защиты на файлах и папках. Можно добавить любые файлы или папки к политике, а затем применить управление доступом и аудит для этих объектов файловойсистемы.
Wireless Network (IEEE 802.11) Policies (Политика беспроводных сетей)	Используется для создания беспроводных сетевых политик, которые затем могут использоваться для управления требованиями безопасности для компьютеров, использующих беспроводные сетевые подключения.
Public Key Policies (Политика открытых ключей). Эта установка включена как в раздел Computer Configuration, так и в раздел User Configuration. Раздел User Configuration включает только опцию Enterprise Trust (Доверительные отношения предприятия).	Используется для конфигурирования политик, связанных с цифровыми сертификатами и с управлением сертификатами. Можно также создавать агентов восстановления данных, использующихся для восстановления файлов, которые были зашифрованы на локальных рабочих станциях с помощью системы шифрования файлов (Encrypting File System — EFS).
IP Security Policies On Active Directory (domainname) (Политика IP безопасности в Active Directory)	Используется для конфигурирования политик IP-безопасности (IP Security — IPSec). Можно сконфигурировать политику, точно определяющую, какой сетевой трафик должен быть защищен с помощью IPSec, на каком компьютере она должна использоваться в обязательном порядке.

Примечание.
Политики Software Restriction
(Ограничения программного обеспечения)
включены в раздел Security
Settings как для параметров
настройки User Configuration,
так и для Computer Configuration.
Они будут подробно рассмотрены в
следующем разделе.

Политики
ограничения программного обеспечения

В
Active
Directory
Windows
Server
2003 имеется один специальный тип
конфигурации защиты, которого не было
в Active
Directory
Windows
2000 -это политики ограничения программного
обеспечения. Одно из самых больших
беспокойств связано с пользователями,
запускающими неизвестное или%е
пользующееся доверием программное
обеспечение. Во многих случаях пользователи
запускают потенциально опасное
программное обеспечение непреднамеренно.
Например, миллионы пользователей
запускали вирусы или устанавливали
приложения типа «троянский конь», не
имея ни малейших намерений выполнять
опасное программное обеспечение.
Политика ограничения программного
обеспечения предназначена для
предотвращения таких случаев.

Политика ограничения
программного обеспечения защищает
ваших пользователей от выполнения
опасных программ, определяя, какие
приложения можно выполнять, а какие
-нет. Эта политика позволяет выполняться
любому программному обеспечению, за
исключением того, которое вы специально
заблокируете. Или можно определить
политику, не позволяющую выполнять
никакое программное обеспечение за
исключением того, которое вы явно
позволите выполнять. Хотя вторая опция
более безопасна, усилия, необходимые
для перечисления всех приложений,
которым позволяется выполняться в среде
Сложного предприятия, слишком серьезны.
Большинство компаний выберут первую
опцию, разрешающую выполнение всего
программного обеспечения и блокирующую
только избранное программное обеспечение.
Однако если вы развертываете среду с
высоким уровнем безопасности, примените
более безопасную опцию.

При создании
политики ограничения программного
обеспечения можно сконфигурировать
пять типов правил, характеризующих
приложения, на которые воздействует
данная политика.

Hash
rules
(хэш-правила).
Хэш-правило — это криптографический
идентификатор, который уникально
идентифицирует определенный файл
приложения независимо от имени файла
или его местоположения. Если в папке
Security
Levels
(Уровни безопасности) был выбран объект
Unrestricted
(He
ограничен), и нужно ограничить выполнение
определенного приложения, создайте
хэш-правило, используя политику
ограничения программного обеспечения.
Когда пользователь попытается выполнить
это приложение, рабочая станция проверит
его
хэш-значение и предотвратит выполнение.
Если политика блокирует выполнение
всех приложений, используйте хэш-правило
для допуска определенных приложений.
Certificate
rules
(Правила
сертификата). Можно создавать правила
сертификата так, что критерием выбора
приложений будет сертификат издателя
программного обеспечения. Например,
если у вас есть собственное приложение,
которое вы сами разработали, назначьте
сертификат этому приложению, а затем
сконфигурируйте правило ограничения
программного обеспечения, состоящее
в доверии соответствующему сертификату.
Path
rules
(Правило
путей). Можно создавать правила,
основанные на пути, характеризующем
место, где расположено выполняемое
приложение. Если вы выберете папку, то
это правило будет распространяться на
приложения, расположенные в этой папке.
Можно использовать переменные среды
(типа %systemroot
%), чтобы определить путь и подстановочные
знаки (типа *.vbs).
Registry
path
rules
(Правило
пути системного реестра). Можно создавать
правила, основанные на месте расположения
системного реестра, которые использует
данное приложение. Каждое приложение
имеет заданное по умолчанию место
расположения в пределах системного
реестра, где оно хранит специфическую
для приложения информацию, позволяющую
создавать правила, блокирующие или
разрешающие выполнение приложений,
основанные на этих ключах системного
реестра. В меню не имеется никакой
опции, специфичной для системного
реестра, предназначенной для создания
правил пути системного реестра, но
опция New
Path
Rule
(Новое правило пути) позволяет создавать
этот уникальный набор правил. При
создании новой политики ограничения
программного обеспечения формируются
четыре заданных по умолчанию правила
пути системного реестра. Эти правила
конфигурируют неограниченную программную
групповую политику для приложений,
расположенных в системной корневой
папке и в заданной по умолчанию папке
программных файлов.
Internet
zone
rules
(Правило
зон интернета). Заключительный тип
правил основан на интерне-зоне, из
которой было загружено программное
обеспечение. Например, нужно
сконфигурировать правило, позволяющее
выполнение всех приложений, загруженных
из зоны Trusted
Sites
(Доверенные сайты), или правило,
предотвращающее выполнение любого
программного обеспечения, загруженного
из зоны Restricted
Sites
(Ограниченные сайты).

Если вы сконфигурируете
свое ограничение так, что все приложения
должны выполняться, за исключением
указанных приложений, то эти правила
определят те приложения, которые не
будут выполняться. Если вы создаете
более ограничительное правило, блокирующее
все приложения, то оно определяет те
приложения, которым позволено выполняться.

Политики
ограничения программного обеспечения
могут быть определены для компьютеров
в разделе Computer
ConfigurationWindows
SettingsSecurity
Settings,
для пользователей — в разделе User
ConfigurationWindows
SettingsSecurity
Settings.
По умолчанию в Active
Directory
не ус танавливается политики ограничения
программного обеспечения. Чтобы создать
политику, щелкните правой кнопкой мыши
на папке Software
Restrictions
Policies
(Политики ограничений программного
обеспечения) и выберите New
Software
Restrictions
Policy
(Новая политика). В результате будет
создана заданная по умолчанию политика
(см. рис. 13-7).

Рис.
13-7. Создание новой политики ограничения
программного обеспечения

Папка
Security
Levels
(Уровни безопасности) используется для
определения заданного по умолчанию
уровня защиты. Внутри папки имеются два
объекта: Disallowed
(Запрещенный)
и Unrestricted
(Неограниченный).
Если нужно сконфигурировать защиту
так, чтобы выполнялись все приложения
за исключением специально указанных,
щелкните правой кнопкой мыши на объекте
Unrestricted
и выберите Set
As
Default
(Установить по умолчанию). Если вы хотите
задать более ограничительную установку,
щелкните правой кнопкой мыши на Disallowed
и установите его заданным по умолчанию.

Папка
Additional
Rules
(Дополнительные правила) используется
для конфигурирования правил ограничений
программного обеспечения. Чтобы
сконфигурировать правило, щелкните
правой кнопкой мыши на папке Additional
Rules
и выберите тип правила, которое вы хотите
создать. Например, для нового хэш-правила
выберите New
Hash
Rule.
Чтобы создать новое хэш-правило, щелкните
на кнопке Browse
(Обзор) и найдите файл, который вы хотите
идентифицировать хэш-значением. При
выборе файла хэш-значение файла будет
создано автоматически. За-

тем можно
сконфигурировать, будет ли это приложение
разрешено для выполнения или заблокировано
(см. рис. 13-8).

Рис.
13-8. Конфигурирование хэш-правила

Объект
Enforcement
(Принуждение)
используется для определенного указания
приложения, на которое оказывается
воздействие. Можно сконфигурировать
правила, которые будут применяться или
ко всем приложениям, или ко всем
приложениям, кроме DLL.
Правила могут применяться или ко всем
пользователям, или ко всем пользователям,
кроме местных администраторов.

Объект
Designated
File
Types
(Отмеченные
типы файлов) определяет все расширения
файлов, которые рассматриваются как
расширения исполняемых файлов и поэтому
подчиняются этой политике. Вы можете
добавлять или удалять файловые расширения
из этого списка.

Объект
Trusted
Publishers
(Доверенные
издатели) используется для определения
того, кто может выбирать, является ли
издатель доверенным или нет. Вы можете
указать всех пользователей, только
локальных администраторов или только
администраторов предприятия. Вы можете
также сконфигурировать, должна ли
рабочая станция проверять факт возможной
отмены действия сертификата перед
выполнением приложения.

Шаблоны
защиты

Как показано в
предыдущих разделах, существуют сотни
опций, предназначенных для конфигурирования
безопасности с использованием

групповых
политик в сети Windows
Server
2003. На первый взгляд можете показаться,
что количество опций непомерно велико.
Трудно даже определить, с него начать
конфигурирование опций безопасности.
К счастью, компания Microsoft
разработала шаблоны защиты, которые
позволяют справиться с этой задачей.

Шаблоны защиты
предопределяют наборы конфигураций
защиты, которые вы можете применять к
компьютерам вашей сети. Вместо того
чтобы просматривать каждый параметр
защиты, можно выбрать шаблон защиты,
соответствующий тому, чего вы хотите
добиться, а затем применить этот шаблон,
используя групповые политики. Например,
если вы развертываете рабочие станции
в среде, где требуются строгие параметры
настройки защиты, выберите один из
шаблонов сильной защиты. Если вы
развертываете рабочие станции, которые
нуждаются в меньшей защите, то для этих
рабочих станций выберите другой шаблон.
Шаблоны защиты можно модифицировать.
Если вы не найдете шаблон защиты, который
точно отвечает вашим потребностям,
можно выбрать один из предопределенных
шаблонов, а затем изменить несколько
параметров настройки.

Почти
все параметры настройки защиты,
сконфигурированные с помощью групповых
политик, могут быть сконфигурированы
с использованием шаблон защиты.
(Исключения составляют политики IPSec
и политики открытых ключей.) Вы можете
создать ваш собственный шаблон защиты
или использовать один из предопределенных
шаблонов. Если вы изменяете шаблон,
сохраните его так, чтобы он был доступен
другим объектам GPO.
При сохранении шаблона он записывается
в виде текстового .inf
файла.

Предопределенные
шаблоны защиты

Чтобы
облегчить применение защиты, компания
Microsoft
создала разнообразные предопределенные
шаблоны защиты. Эти шаблоны сконфигурированы
в соответствии с категориями защиты,
такими как default
(заданная по умолчанию), secure
(безопасная) и high
security
(сильная защита). Шаблоны хранятся в
папке %systemroot
%securitytemplates.
Когда вы устанавливаете на компьютере
системы Windows
Server
2003 или Windows
XP
Professional,
к компьютеру применяется шаблон Setup
Security.inf.
Этот шаблон различен для рабочих станций
и серверов, он также зависит от того,
была ли ваша операционная система
установлена как обновление или как
чистая инсталляция. Вы можете повторно
применять шаблон защиты в любое время
после начальной инсталляции. Например,
если изменяются параметры настройки
защиты на компьютере и нужно вернуть
заданные по умолчанию параметры, можно
повторно применить этот шаблон. Он
создается в процессе установки для
каждого компьютера и должен применяться
только локально. Он содержит много
параметров настройки, которые не
конфигурируются в составе какого-либо
другого шаблона. Следовательно, не нужно
ис-

пользовать групповые
политики для развертывания заданного
по умолчанию шаблона. Их можно использовать
для развертывания дополнительных
шаблонов защиты, которые могут изменять
некоторые параметры настройки,
сконфигурированные в заданном по
умолчанию шаблоне.

Если
вы устанавливаете на компьютере системы
Windows
Server
2003 или Windows
XP
Professional
как обновление предыдущей операционной
системы, заданные по умолчанию шаблоны
на компьютере не применяются. Это
гарантирует, что после обновления будут
поддерживаться любые предыдущие
конфигурации защиты.

Если
заданные по умолчанию параметры настройки
защиты не отвечают вашим потребностям,
примените другие конфигурации защиты,
используя шаблоны. Они предназначены
для использования на тех компьютерах,
где уже выполняются заданные по умолчанию
шаблоны защиты. Компания Microsoft
включила следующие шаблоны в систему
Windows
Server
2003.

Compatwsinf.
Этот
шаблон может применяться к рабочим
станциям или серверам. Windows
Server
2003 сконфигурирован так, чтобы быть
более безопасным, чем предыдущие версии
Windows.
Это означает, что некоторые приложения,
работающие в предыдущих операционных
системах, не будут выполняться в системах
Windows
Server
2003 или Windows
XP
Professional.
Особенно справедливо это для
несер-тифицированных приложений,
которым требуется доступ пользователя
к системному реестру. Один из способов
выполнить такие приложения состоит в
том, чтобы сделать пользователя членом
группы Power
Users
(Полномочные пользователи), которая
имеет более высокий уровень разрешений,
чем обычный пользователь. Другой вариант
состоит в том, чтобы ослабить параметры
настройки защиты на выбранных файлах
и ключах системного реестра так, чтобы
группа Users
(Пользователи) имела больше разрешений.
Шаблон Compatws.inf
может использоваться для применения
второго варианта. Применение этого
шаблона изменяет заданный по умолчанию
файл и разрешения системного реестра
так, чтобы члены группы Users
могли выполнять большинство приложений.
Securewsinf
и Securedcinf.
Эти
шаблоны обеспечивают усиленную защиту
для политики учетных записей, аудита
и разрешения на доступ к системному
реестру. Они ограничивают использование
NTLM-аутентификации,
включая подписи на серверах пакетов
блока серверных сообщений (Server
Message
Block
— SMB).
Шаблон Securews.inf
применим для любой рабочей станции или
сервера, а шаблон Securedcinf
— только для контроллеров домена.
Hisecwsinf
и Hisecdc.inf.
Эти
шаблоны последовательно увеличивают
защиту, которая создается другими
шаблонами. Защита усиливается в областях,
затрагивающих сетевые протоколы связи.
Они должны использоваться только в
сетях, включающих компьютеры с системами
Windows
Server
2003, Windows
2000 или Windows
XP,
и должны быть протестированы и применены
на всех компьютерах, чтобы убедиться,
что все они работают на одном и том же
уровне защиты. Шаблон Hisecws.inf
применяется для любой рабочей станции
или сервере, а шаблон Hisecdc.inf
— только для контроллеров домена.
DC
security.inf.
Этот
шаблон применяется автоматически
всякий раз, когда сервер-член домена с
системой Windows
Server
2003 назначается контроллером домена.
Он дает возможность администратору
повторно применить начальную защиту
контроллера домена, если возникает
такая потребность.
Notssid.inf.
Этот
шаблон удаляет идентификатор безопасности
SID
группы безопасности Terminal
Users
(Пользователи терминала) из всех «тисков
управления разграничительным доступом
DACL
на сервере. Используется для повышения
безопасности терминальных серверов,
потому что все пользователи терминального
сервера будут иметь разрешения,
полученные через членство индивидуальных
пользователей и групп, а не через общую
группу безопасности Terminal
Users.
Этот шаблон включен только в Windows
Server
2003, который сконфигурирован как
терминальный сервер в режиме приложений.
Rootsec.inf.
Этот
шаблон переустанавливает заданные по
умолчанию разрешения системной корневой
папки и распространяет унаследованные
разрешения на все подпапки и файлы,
расположенные в корневой папке.
Применение этого шаблона не изменяет
явные разрешения, назначенные на файлы.

После
того как вы решили, какой шаблон защиты
использовать, ими можно управлять через
редактор объектов групповых политик.
Если нужно установить один из настроенных
шаблонов, щелкните правой кнопкой мыши
на папке Security
Settings
и выберите Import
Policy
(Импорт политики). По умолчанию диалоговое
окно откроет папку %systemroot
%SecurityTemplates,
где расположены предопределенные
шаблоны защиты. Когда вы выберете один
из шаблонов, он загрузится в редактор
объектов групповых политик. Затем можно
применить эту групповую политику к
выбранному контейнерному объекту. Вы
можете изменить импортированный шаблон
защиты так, чтобы он точно удовлетворял
вашим требованиям. После этого
экспортируйте шаблон, чтобы он был
доступен для импортирования в другую
групповую политику.

Дополнительная
конфигурация защиты и инструментальные
средства анализа

Система
Windows
Server
2003 обеспечивает инструментальные
средства, которые могут использоваться
для управления шаблонами защиты. Одно
из
этих
средств
— оснастка
Security Configuration And Analysis (Конфи-

гурация
защиты и анализ), которая используется
для создания или изменения существующих
шаблонов защиты. Затем шаблон загружается
в оснастку Security
Configuration
And
Analysis
и используется для анализа определенных
компьютеров. Например, можно загрузить
шаблон сильной защиты, а затем
проанализировать, имеются ли различия
между шаблоном и текущей компьютерной
конфигурацией. На рисунке 13-9 показан
пример результатов такого анализа.

Вы
можете использовать этот инструмент и
для применения шаблона защиты к
компьютеру. Щелкните правой кнопкой
мыши на Security
Configuration
And
Analysis
и выберите Configure
Computer
Now
(Сконфигурировать компьютер сейчас).
Все параметры настройки защиты на
компьютере будут изменены в соответствии
с шаблоном защиты.

Рис.
13-9. Анализ конфигурации защиты компьютера
с помощью оснастки Security
Configuration And
Analysis

Оснастка
Security
Configuration
And
Analysis
не предназначена для использования с
групповыми политиками. Этот инструмент
использует те же самые предопределенные
шаблоны защиты, что и редактор объектов
групповых политик, но он предлагает
альтернативные средства для развертывания
шаблонов. Он предназначен прежде всего
для использования с автономными
компьютерами.

Инструмент
командной строки Secedit
обеспечивает похожие функциональные
возможности. С помощью него можно
анализировать параметры настройки
компьютера, основанные на шаблоне, а
затем применять эти параметры. Одна из
полезных функций инструмента командной
строки Secedit
состоит в том, что вы можете использовать
его для гене-

рации отката
конфигурации перед применением шаблона
защиты. Эта опция обеспечивает простой
план возврата, если применяемый вами
шаблон защиты окажется неподходящим.

Административные
шаблоны

Одна
из наиболее мощных опций, предназначенных
для управления рабочими столами
пользователей с помощью групповых
политик, состоит в использовании
административных шаблонов. Административные
шаблоны применяются для конфигурирования
параметров настройки системного реестра
на компьютерах с системами Windows
2000 Server,
Windows
2000 Professional,
Windows
XP
Professional
или Windows
Server
2003. Административные шаблоны могут
использоваться для конфигурирования
большого количества разнообразных
параметров настройки, которых существует
более 700. Их так много, что этот раздел,
возможно, не сможет охватить их все. В
таблице 13-7 приводится краткий обзор
только нескольких административных
шаблонов, чтобы вы почувствовали силу
групповых политик. Административные
шаблоны имеются также и в Active
Directory
Windows
2000, но в Windows
Server
2003 добавлено около 150 новых параметров
настройки. В таблице 13-7 перечисляются
также некоторые новые функции, которые
доступны в Active
Directory
Windows
Server
2003 клиентам с Windows
XP
Professional.

Табл.
13-7. Образец административных шаблонов

Место расположения административного шаблона	Пояснение
Computer Conf iguration Administrative Templates SystemNet Logon	Обеспечивает разнообразные параметры настройки, управляющие местом расположения клиентского компьютера и кэшированием записей DNS контроллера домена.
Computer Configuration Administrative Templates SystemRemote Assistance	Обеспечивает параметры настройки для функции Remote Assistance (Удаленная помощь), имеющейся в системе Windows ХР Professional.
Computer Conf iguration Administrative Templates Windows Components Terminal Services	Обеспечивает параметры настройки, которые могут использоваться для конфигурирования служб терминала Terminal Services на сервере и на клиентах.
User Conf iguration Administrative Templates NetworkNetwork Connections	Обеспечивает конфигурирование параметров настройки, предназначенных для управления сетевыми связями, и ограничения доступа пользователей к сетевым подключениям.
User Conf iguration Admin istrative TemplatesControl Panel User Conf iguration Administrative Templates Windows Components Internet Explorer	Обеспечивает конфигурацию частей панели управления и возможности пользователей по изменению параметров настройки через панель управления. Обеспечивает разнообразные параметры настройки, предназначенные для управления конфигурацией приложения Internet Explorer. Требуется Internet Explorer версии 5.01 или более поздней.

Дополнительная
информация. Полный список всех
параметров настройки групповых политик
смотрите по адресу http://
www.microsoft.com/windowsxp/prdytechinfo/administration/
policy /winxpgpset.xls.

Одно
из усовершенствований Active
Directory
Windows
Server
2003 — это улучшенная справка по
административным шаблонам. Теперь
Active
Directory
поставляется с полным набором справочных
файлов, детализирующих каждую подборку
административных шаблонов. Чтобы
получить доступ к расширенной справке
по административным шаблонам, щелкните
правой кнопкой мыши на папке Administrative
Templates
в редакторе объектов групповой политики
и выберите Help
(Справка). Затем выберите подходящую
категорию административного шаблона.
На рисунке 13-10 показаны детали, касающиеся
категории System
(Система).

Системные
политики в Windows
NT
обеспечивают функциональные возможности,
подобные функциональности административных
шаблонов в Active
Directory
Windows
Server
2003. Оба инструмента позволяют делать
изменения системного реестра в
системе
клиентов для модификации конфигурации
рабочей станции. Однако административные
шаблоны обеспечивают существенные
преимущества по сравнению с системными
политиками. Одно из самых больших
преимуществ состоит в том, что они не
оставляют неудаляемых следов в системном
реестре, как это делают системные
политики. Когда вы делаете изменение,
используя системную политику, оно
записывается в системный реестр, и для
того чтобы изменить эту установку снова,
надо делать это вручную или использовать
системную политику. Если вы удалите
системную политику, изменения, сделанные
к системному реестру, не будут удалены.

В
Active
Directory
изменения системного реестра, сделанные
административными шаблонами, записываются
в специальные подключи в системном
реестре. Любые изменения, сделанные в
разделе User
Configuration,
записываются в ключе HKEY_CURRENT_USER
и сохраняются в папке SoftwarePolicies
или SoftwareMicrosoftWindowsCurrentVersionPolicies.
Изменения, сделанные в разделе Computer
Configuration,
сохраняются под теми же самыми подключами
в ключе НКЕY_LOCAL_MACHINE.
При начальной загрузке компьютера или
при входе пользователей в систему
загружаются обычные параметры настройки
системного реестра, а затем эти ключи
исследуются на наличие дополнительных
параметров настройки. Если эти параметры
будут найдены, то они загрузятся в
системный реестр, записываясь поверх
существующих записей, если такие записи
имеются. Если административный шаблон
удален, или компьютер (пользователь)
будет перемещен в другой контейнер, где
данный шаблон не применяется, информация
в ключах Policies
удаляется. Это означает, что административные
шаблоны больше не применяются, но обычные
параметры настройки системного реестра
будут применяться.

Рис.
13-10. В Центре справки и поддержки имеется
детальное описание каждой опции
административного шаблона

Административные
шаблоны хранятся в нескольких текстовых
файлах .adm.
По умолчанию эти файлы расположены в
папке %systemroot
%Inf
. В таблице 13-8 перечислены файлы
административных шаблонов, которые по
умолчанию устанавливаются с системой
Windows
Server
2003.

Табл.
13-8. Заданные по умолчанию шаблоны,
загружаемые в систему Windows
Server
2003

Административный шаблон	Параметры настройки конфигурации
System.adm	Системные параметры настройки.
Inetres.adm	Параметры настройки приложения Internet Explorer.
Wmplayer.adm	Параметры настройки приложения Microsoft Windows Media Player.
Conf.adm	Параметры настройки приложения Microsoft NetMeeting.
Wuau.adm	Параметры настройки Windows Update.

Файлы
административных шаблонов состоят из
записей, определяющих опции, которые
доступны через данный шаблон. Каждая
запись в файле .adm
выглядит так как показано на рисунке
13-11. В таблице 13-9 поясняются записи,
относящиеся к шаблону.

Рис.
13-11. Одна из записей в файле System.adm

Административные
шаблоны для каждой групповой политики
хранятся в папке Sysvol,
расположенной на контроллере домена,
и реплицируются на все другие контроллеры
домена в домене. Шаблоны хранятся в
файле Registry.pol,
расположенном в папке %systemroot%
SYSVOL
sysvol
domainname
Policies
GroupPolicyGUID
Machine
для компьютерной конфигурации и в папке
%systemroot%
SYSVOL
sysvol
domainname
Policies
GroupPolicyGUID
User
для пользовательской конфигурации.

Табл.
13-9. Компоненты опции шаблона

Компонент шаблона	Объяснение
Policy (Политика) Keyname (Ключ)	Идентифицирует название политики. Идентифицирует ключ системного реестра, который изменяется с помощью этой установки.
Компонент шаблона	Объяснение
Supported (Поддержанный)	Идентифицирует поддерживаемые рабочие станции или версии программного обеспечения, необходимые для этой установки. Включают поддержку Windows XP Professional, Windows 2000 или Windows 2000 с сервисным пакетом, Microsoft Windows Media Player, версия 9.
Explain (Объяснение)	Идентифицирует текст, который объясняет параметры настройки политики. Фактический текст дан ниже в файле .adm.
Part (Часть)	Идентифицирует записи, которые можно сконфигурировать для этой политики.
Valuename (^Значение)	Идентифицирует значение системного реестра, которое будет заполнено информацией из этого параметра настройки.

Административные
шаблоны имеют большое количество
административных опций. Только анализ
всех политик и выделение тех, которые
необходимы для вашей организации, может
стать совершенно обескураживающей
задачей. В большинстве случаев лучшим
подходом к использованию административных
шаблонов является медленное и осторожное
начало. Возможно, вы захотите
сконфигурировать некоторые основные
параметры настройки, например, запретить
пользователям использование инструментов
редактирования системного реестра и
изменение системы через большую часть
панелей управления. Другой способ
определить, какие параметры настройки
являются наиболее критическими для
вашей организации, состоит в том, чтобы
проследить звонки, поступающие в
сервисный отдел. Просматривая их, можно
идентифицировать многие проблемы. Затем
можно определить, имеется ли такой
административный шаблон, который можно
использовать для изменения этой установки
или предотвращения возможного ее
изменения пользователями после того,
как вы сами ее сконфигурировали. Таким
образом, вы сможете медленно внедрить
политику административного шаблона,
которая сможет справиться с наиболее
критическими проблемами, возникающими
в вашей сети.

Использование
сценариев для управления средой
пользователя

Другой инструмент,
который используется для управления
пользовательскими рабочими столами —
это сценарии. Наиболее типичное
использование сценариев состоит в
создании простой рабочей среды
пользователя. Обычно сценарии входа в
систему используются для отображения

сетевых
дисков или принтеров. Они помогают
упростить среду конечного пользователя.
Пользовательские сценарии входа в
систему были доступны в системе Windows
NT.
Однако использование сценариев в Active
Directory
Windows
Server
2003 обеспечивает множество существенных
преимуществ по сравнению с Windows
NT
4, включая следующие.

Возможность
назначать сценарии для запуска и
завершения работы системы. В
Active
Directory
можное назначать выполнение сценариев
на момент запуска и выключения
компьютеров. В системе Windows
NT
сделать это было очень трудно. Эти
сценарии выполняются в контексте
безопасности учетной записи LocalSystem.
Возможность
назначать сценарии для пользовательского
входа в систему и выхода из системы.
Система
Windows
NT
обеспечивала только сценарии входа в
систему. В Active
Directory
можно также выполнять сценарии выхода
из системы.
Возможность
назначать сценарии на контейнеры вместо
отдельных индивидуумов. Это
одно из самых больших преимуществ
использования Active
Directory
для назначения сценариев. В Windows
NT
единственным вариантом выполнения
сценариев являлось назначение
индивидуальных сценариев входа в
систему на учетные записи пользователя.
Когда вы назначаете сценарий на контейнер
в Active
Directory,
сценарий применяется ко всем пользователям
или компьютерам, находящимся внутри
контейнера.
Наличие
«родной» поддержки для сценариев
Windows
Script
Host.
В
системе Windows
NT
большинство клиентов выполняли только
пакетные файлы MS-DOS
для реализации сценариев входа в
систему. В системах Windows
Server
2003, Windows
XP
и Windows
2000 клиенты обеспечивают родную поддержку
для сценариев Windows
Script
Host
(WSH).
При конфигурировании пользовательских
рабочих столов сценарии WSH
оказываются гораздо более гибкими и
мощными. С помощью WSH
сценарии могут использоваться в более
широких целях, чем простое отображение
сетевых дисков. Служба Active
Directory
Windows
Server
2003 поддерживает личные сценарии входа
в систему, назначенные на индивидуальные
учетные записи пользователя. Если в
вашей сети имеются клиенты с системой
Windows
NT
Workstation,
используйте их для входа в систему.
Клиенты с системами Windows
2000 и Windows
XP
Professional
также могут обработать индивидуальные
сценарии входа в систему. Если вы имеете
индивидуальные сценарии входа в систему,
назначенные учетным записям пользователя,
они будут выполняться после выполнения
сценариев запуска компьютера и
пользовательских сценариев входа в
систему, назначенных групповыми
политиками.

Чтобы
сконфигурировать сценарий для Active
Directory,
нужно его создать, а затем скопировать
на контроллер домена. Сценарии можно
хранить в любом месте на сервере,
доступном для клиентов. Типичное место
хранения сценариев — папка %systemroot
%SYSVOLsysvol
domainnamescripts.
Она открыта для общего доступа под
сетевым именем NETLOGON,
и является заданным по умолчанию местом,
в котором клиенты низкого уровня ищут
сценарии входа в систему. Вы можете
хранить сценарии входа в систему в папке
%systemroot
%SYSVOL
sysvoldomainnameGlobalPolicy
GUIDMachineScripts
или в папке %systemroot
%SYSVOLsysvoldomainnameGlobalPolicy
GUIDUser
Scripts.
После копирования файлов сценария на
сервер откройте объект GPO
и найдите папку Scripts
(Startup/Shutdown)
(Сценарии (Запуск/ Завершение), расположенную
в папке Computer
Conf
iguration
Windows
Settings,
или папку Scripts
(Logon/Logoff)
(Сценарии (Вход в систему/ выход из
системы)), расположенную в папке User
Conf
igurationWindows
Settings.
Например, чтобы создать запись для
сценария запуска, разверните цапку
Scripts
(Startup/Shutdown)
и дважды щелкните на Startup.
Затем можно добавлять любые сценарии
запуска к объекту GPO.
Active
Directory
Windows
Server
2003 обеспечивает множество административных
шаблонов, которые использоваться для
конфигурирования сценариев на рабочих
станциях клиентов. Большинство
параметров
настройки
расположено
в
папке
Computer Configuration Administrative TemplatesSystemScripts, а
некоторые
— в
nanKeUser Conf iguration Administrative TemplatesSystemScripts.
Опции
конфигурации включают опцию, позволяющую
выполнять сценарии запуска асинхронно,
т.е. несколько сценариев запуска смогут
выполняться одновременно. Можно выполнять
сценарии входа в систему синхронно,
т.е. все сценарии запуска завершаются,
прежде чем появится рабочий стол
пользователя. Вы можете также
сконфигурировать максимальное время
ожидания окончания выполнения всех
сценариев. И, наконец, можно сконфигурировать,
будут ли сценарии выполняться в фоновом
режиме, чтобы быть незаметными, или они
будут видимыми при выполнении.

Резюме

В
Active
Directory
Windows
Server
2003 имеется множество инструментальных
средств и опций, предназначенных для
управления рабочими столами пользователей.
Групповые политики могут использоваться
для управления данными и профилями
пользователей, чтобы обеспечить им
знакомую рабочую среду, оставляя
централизованным управление некоторыми
данными. Они применяются также для
конфигурирования параметров настройки
защиты, чтобы все компьютеры, на которые
воздействует данная групповая политика,
имели стандартную и постоянную
конфигурацию защиты. Групповые политики
используются для определения
административных шаблонов, которые
могут конфигурировать параметры
настройки системного реестра для
управления рабочими столами пользователей.
В этой главе дан краткий обзор того, как
можно реализовать эти варианты управления
рабочими столами пользователей.

Источник