Дополнения групповой политики в Windows 2003

В Windows 2003 в групповую политику добавлены два отдельных элемента, связанных с безопасностью систем в AD. Этими элементами являются Software Restriction Policies (Политики ограничения программного обеспечения) (о них уже говорилось выше) и Wireless Network (IEEE 802.11) Policies (Политики беспроводных сетей [IEEE 802.11]).

Политики ограничения программного обеспечения. Функции оснастки Group Policy такие же, как у оснастки Local Security Policy (Локальная политика безопасности), однако эту оснастку можно применить к домену или OU. Параметры, связанные с безопасностью, настраиваемые с помощью данной групповой политики, включают в себя следующие настройки.

· Тип беспроводной сети, к которой могут осуществлять доступ клиенты: Ad Hoc (Точка доступа), Infrastructure (Инфраструктура) или Аny (Любая).

· Возможность запрета на использование беспроводными клиентами Windows локальных параметров Windows для настройки их параметров беспроводных сетевых соединений.

· Возможность разрешить пользователям подключаться только к предпочитаемым сетям.

· Возможность требовать аутентификацию 802.1X при каждом подключении к беспроводным сетям 802.11 (см.рис.17).

· Указание типа EAP: Smart Card or other certificate (Смарт-карта или другой сертификат) или Protected EAP (PEAP) (Защищенный EAP).

· Выбор метода аутентификации для использования в PEAP: Secured password (EAP-MSCHAP v2) (Защищенный пароль EAP-MSCHAP v2) или Smart Card or other certificate (Смарт-карта или другой сертификат).

[PAGEBREAK]

Старшинство

Ниже приведены шаги, автоматически выполняемые системой при оценке/применении Group Policy.

Рис.17
При загрузке системы:

1. Область Computer Configuration (Конфигурация компьютера) оснастки Local Security Policy (Локальная политика безопасности).

2. Область Computer Configuration (Конфигурация компьютера) оснастки Group Policies (Групповые политики), связанной с сайтом (в порядке предпочтения - от наименее до наиболее предпочтительного).

3. Область Computer Configuration (Конфигурация компьютера) оснастки Group Policies (Групповые политики), связанной с доменом.

4. Область Computer Configuration (Конфигурация компьютера) оснастки Group Policies (Групповые политики), связанной с OU, в порядке предпочтения - от самой внешней организационной единицы до самой внутренней, и внутри OU - с самого низкого уровня до самого высокого.

При входе пользователя:

1. Области User Configuration (Конфигурация пользователя) оснастки Local Security Policy (Локальная политика безопасности).

2. Области User Configuration (Конфигурация пользователя) оснастки Site Group Policies (Групповые политики сайта) в порядке предпочтения.

3. Области User Configuration (Конфигурация пользователя) оснастки Domain Group Policies (Групповые политики домена) в порядке предпочтения.

4. Области User Configuration (Конфигурация пользователя) оснастки OU Group Policies (Групповые политики организационного подразделения) в порядке предпочтения.

Замыкание на себя

Ранее мы говорили о том, что по умолчанию GP применяются в зависимости от расположения настраиваемого объекта. Чтобы обойти эту возможность для пользователей, компания Microsoft реализовала замыкание на себя (loopback). Эта возможность используется для конфигурации пользователя групповых политик, а также конфигурации компьютера, в зависимости от расположения объекта "компьютер" (не пользователь) при входе пользователя в систему. Таким образом, каждый пользователь, осуществляющий вход в систему компьютера, получает конфигурацию пользователя (User Configuration) из групповых политик этого компьютера. При включении опции можно также указать функцию Merge (Слияние) (объединение конфигурации из всех групповых политик) или Replace (Замещение) (только применение конфигураций пользователей в зависимости от расположения объекта "компьютер").

Наследование

Во многом аналогично наследованию списков ACL, параметры GP передаются от самых дальних к самым ближним, причем ближние/низшие имеют большее старшинство. Порядок оценки таков: Local Security Policy (Локальная политика безопасности), Site Group Policies (Групповые политики сайта), Domain Group Policies (Групповые политики домена) и OU Group Policies (Групповые политики организационного подразделения). Существует возможность блокировки наследования политики, если не требуется наследовать параметры. Это позволит блокировать групповые политики, связанные с сайтами, доменами или организационными единицами высших уровней от применения их к текущему сайту, домену или организационному подразделению и к их дочерним объектам. Как администратору верхнего уровня вам может понадобиться включение принудительного использования некоторых политик верхнего уровня (например, минимальная длина пароля); для этого существует опция No Override (Игнорирование невозможно). Эту опцию можно включить для того, чтобы предотвратить обход (включая блокировку) политики любым дочерним объектом.

Примечание

По большому счету, между сайтами и доменами в действительности нет никакого "наследования". Будет происходить оценка только тех групповых политик, связанных с конкретным сайтом или доменом, в котором находится пользователь или компьютер. Организационная единица является единственным контейнером, для которого действительно наблюдается наследование при проходе вниз по дереву элементов.