европейский политикъ

НАУМОВ ЮРИЙ AKA CRAZY_SCRIPT

Спецвыпуск: Хакер, номер #068, стр. 068-032-2

Фактически, GP не только используют преимущества AD, но и расширяют их. Настройки находятся в объектах групповой политики (GPO – Group Policy Object), которые в свою очередь могут ссылаться на сайты/домены/подразделения. Редактирование GPO осуществляется с помощью оснастки «Редактор групповых политик» (gpedit.msc). Объекты GP - локальный объект групповой политики и объект групповой политики домена. Сами GPO хранят свои настройки в контейнере GPC (Group Policy Container) и шаблоне GRT (Group Policy Template). Первый является объектом AD, второй представляет собой папку с настройками, управляемую с помощью одного из расширений GP - административных шаблонов.

[узлы и расширения GP.]

При запуске Group Policy загружает корневой узел - GPO, привязанный к определенному контейнеру. Узел получает имя:

Политика Имя_GРО[.Имя_домена.соm]

Далее идет разделение пространства имен на 2 уровня, с помощью которых собственно и производится настройка групповых политик.

1 Узел «Конфигурация компьютера». Здесь содержатся параметры тех политик, которые отвечают за работу компьютера. Политики следят за работой ОС, задают параметры приложений, определяют работу системы безопасности.

2 Узел «Конфигурация пользователя». Включает в себя политики, отвечающие за работу пользователя. Слежение идет все за теми же параметрами приложений и системой безопасности, а так же за пользовательскими сценариями входа/выхода ;).

Ниже находятся дочерние узлы, расширяющие узлы конфигурации индивидуально для каждого. Индивидуальность проявляется вследствие различия параметров каждого из узлов конфигурации. Group Policy имеет следующие расширения:

- Административные шаблоны (Administrative Templates) - политики, базирующиеся на реестре ОС. Благодаря им, и без того широкая функциональность GP может применяться не только к стандартным параметрам, связанным с ОС, но и к другим объектам.

- Параметры безопасности (Security Settings) - как ни странно, служат для настройки параметров безопасности компьютера/домена/сети.

- Установка программ (Software Installation) - назначает и публикует программы для пользователей.

- Сценарии (Scripts) - определяют процедуры start/stop компьютера, login/logout пользователя. Сценарии полностью совместимы с языком Windows Script Host.

- Перенаправление папок (Folder Redirection) - перенаправляет обращение к специальным папкам Windows (Desktop, Application Data, My Documents) в сеть.

[политики учетных записей.]

Практически все управление юзерами и группами осуществляется с помощью этой оснастки. Пользователь или группа представляют собой учетную запись, которой могут дать различные права и разрешения, определяя таким образом их взаимодействие с доменом. Политика учетных записей (lusrmgr.msc) включает в себя политики паролей, блокирования учетных записей и др.

Оснастка дает возможность полностью сконфигурировать требования для групп и пользователей: max/min длину пароля, срок его действия, требования к сложности. Но тут нужно обратить внимание на то, что все перечисленные настройки в ветке «Политика паролей» относятся не к одному, а сразу ко всем пользователям. После настройки длины пароля и срока его действия следует обратить внимание на хранение паролей. То есть когда у пользователя истекает срок действия пароля, ему предлагается его сменить. А что будет вводить юзер? Конечно старый пароль. Для предотвращения таких ситуаций нужно включить сохранение паролей: политика будет записывать все используемые юзером пароли и фиксировать их смену. Но здесь есть одно большое НО: хранение осуществляется с использованием обратимого шифрования, а практически это означает, что вообще без шифрования. Поэтому здесь стоит выбирать: либо важнее приложение, либо защита пароля пользователя.