европейский политикъ

НАУМОВ ЮРИЙ AKA CRAZY_SCRIPT

Спецвыпуск: Хакер, номер #068, стр. 068-032-1

(CRAZY_SCRIPT@VR-ONLINE.RU)

ГЛАВНОЕ О ГРУППОВЫХ ПОЛИТИКАХ БЕЗОПАСНОСТИ

ЭФФЕКТИВНО СПЛАНИРОВАННАЯ ГРУППОВАЯ ПОЛИТИКА В СОЧЕТАНИИ С УМЕНИЕМ ЕЕ ПРИМЕНЕНИЯ - ПРЕКРАСНЫЙ И ПРАКТИЧЕСКИ НЕЗАМЕНИМЫЙ ИНСТРУМЕНТ УПРАВЛЕНИЯ. НО ДАЛЕКО НЕ КАЖДЫЙ ИСПОЛЬЗУЕТ GP НА СТОЛЬКО, НАСКОЛЬКО ЭТО ВОЗМОЖНО. НЕ СОВСЕМ ВЕРНОЕ ПОНИМАНИЕ ПРИНЦИПОВ И МЕТОДОВ РАБОТЫ МЕШАЮТ ДОСТИГНУТЬ БОЛЬШЕЙ ЭФФЕКТИВНОСТИ. НА САМОМ ДЕЛЕ РАЗОБРАТЬСЯ И ПОНЯТЬ GROUP POLICY НЕ ТРУДНО. ГЛАВНОЕ - СТРЕМИТЬСЯ ПОНЯТЬ СУТЬ МЕХАНИЗМА И ИМЕТЬ ХОТЯ БЫ БАЙТ ФАНТАЗИИ...

[Active Directory.]

При организации домена необходимо иметь хотя бы базовые понятия служб каталогов, в частности Active Directory. Одним из достоинств AD (перед своим предшественником - доменной моделью WindowsNT) является расширение числа объектов. Теперь их может быть до нескольких миллионов. Служба каталогов управляется с помощью консоли Microsoft Managment Console (Пуск-> Выполнить-> mmc).

Одной из ключевых фигур AD является домен - элемент каталога, с собственным пространством имен и правилами безопасности, не распространяющимися за его пределы. Между доменами устанавливаются так называемые транзитивные отношения доверия. Например: домен А доверяет домену В, а В, в свою очередь, доверяет домену С. Если, исходя из этих доверий, домен А будет доверять домену С, их отношения будут называться транзитивными. Домены объединяются в деревья: первый домен называется «корнем дерева», остальные - дочерние, использующие пространство имен от первого домена. Деревья, в свою очередь, объединяются в леса. Первый домен в первом дереве леса называется корнем леса. Каждое дерево наследует имя корня, а лес - имя корневого домена.

Леса характеризуются разным пространством имен и не имеют транзитивных отношений доверия (хотя в Windows2003 это можно исправить).

Для управления пользователями и доменами в Active Directory используют две очень важные оснастки – «Domains and Trusts» и «Users and Computers». Причем вторая, предназначенная для управления пользователями и группами, не работает и будет работать только если компьютер изолирован (на рабочих станциях и изолированных серверах). Ну а первая осуществляет работу с доменами: просмотр лесов, настройка режима работы. Под властью этой оснастки находится очень важная функция настройки доверительных отношений, о которых мы упомянули выше. Но это все теория...

[GPO и Group Policy.]

Правила настройки различных компонентов программного обеспечения в совокупности представляют собой групповые политики (group policy) - по сути, основной инструмент для централизованного управления практически всеми подсистемами и компонентами Windows. Политики могут применяться как к компьютеру (во время загрузки ОС), так и к пользователю (во время его входа в систему). Групповая политика позволяет настраивать огромное количество разнообразных параметров операционных систем Windows, от внешнего вида рабочего стола пользователя до конфигурации сетевых протоколов. С помощью этой технологии можно производить централизованное развертывание программного обеспечения, что сэкономит время и силы.