Создание групповой политики на предприятии

Папка Adm. Ввиду того, что начиная с операционных системы Windows 7 и Windows Server 2008 для административных шаблонов стали использоваться ADMX и ADML файлы, необходимость в этой папке отпала. В случае использования устаревших административных шаблонов, все файлы административных шаблонов *.adm из папки %SystemRoot%\inf того компьютера, на котором создавался объект GPO, будут сохраняться в текущей папке.

USER. В этой папке вы можете найти все внесенные в объект групповой политики изменения для конфигурации пользователя. В зависимости от того, как вы настроите объект GPO, в текущей папке можно найти следующее:

- Registry.pol – параметры системного реестра, настроенных параметров политики административных шаблонов;

- \Applications – информацию по установке программного обеспечения при помощи CSE GGPSI;

- \Documents & Settings – данные о перенаправлении папок;

- \Microsoft\IEAK – информацию о настройках браузера Internet Explorer;

- \Scripts\Logon – файлы сценариев входа, настроенных в GPO;

- \Scripts\Logoff – файлы сценариев выхода, настроенных в GPO;

MACHINE. В этой папке вы можете найти все внесенные в объект групповой политики изменения для конфигурации компьютера. В зависимости от того, как вы настроите объект GPO, в текущей папке можно найти следующее:

- Registry.pol – параметры системного реестра, настроенных параметров политики административных шаблонов;

- Applications – информацию по установке программного обеспечения при помощи CSE GGPSI;

- \Microsoft\Windows NT\SecEdit – файл GptTmpl.inf, определяющий настройки, указанные в узле «Параметры безопасности»;

- Scripts\Shutdown – файлы сценариев завершения работы, настроенных в GPO;

- Scripts\Startup – файлы сценариев запуска компьютера, настроенных в GPO;

- Gpt.ini. Файл, используемый для выводимого имени соответствующего объекта групповой политики и хранения номера версии шаблона GPO.

Последний, кто участвует во взаимодействии клиента и сервера групповой политики – это клиентский компьютер, на который должны распространяться параметры политики, указанные в соответствующем объекте GPO. Если говорить о процессе распространения групповых политик на клиентский компьютер в общих чертах, то это выглядит следующим образом. Целевой компьютер связывается с контроллером домена. Модель групповых политик вызывает расширения клиентской стороны, реализованные в библиотеках, зарегистрированных в системном реестре и отвечающих за внесение изменений, согласно параметрам политики.

Для выполнения настроек, указанных в параметрах групповой политики, расширения клиентской стороны изменяют конкретные параметры операционной системы. Изменения, внесенные в операционную систему при помощи модуля групповых политик, записываются в журналы событий. Начиная с операционных систем Windows Vista и Windows Server 2008, в отличие от предыдущих операционных систем, которые для выполнения обработки групповой политики использовали службу Winlogon, теперь для выполнения этих действий используется служба клиента групповой политики gpsvc.

Реализовано это было с целью повышения стабильности работы системы, так как эта служба выполняется в процессе Svchost, что позволяет реализовать снижение объема памяти, занимаемого для обработки каждого процесса. В этом случае, подобно тому, как было в предыдущих операционных системах, расширения CSE запускаются в пространстве текущего процесса, как можно увидеть на следующей иллюстрации.

 

 

 

 

 

 

 

Рисунок 3 – Клиент групповой политики.

 

 

(RSoP) может обеспечивает удаленный метод определения применения объектов групповой политики к пользователю или компьютеру с учетом блокирования наследования, всех связей, включая принудительные, а также фильтры безопасности и фильтрации WMI. Также, ни для кого не окажется секретом, что результирующая политика может работать в двух режимах: режиме журналирования (также называемым режимом протоколирования или входа) и режиме планирования. Режим журналирования позволяет вам работать с отчетом по результатам применения параметров групповой политики к существующему пользователю или компьютеру. Этот режим доступен для любой операционной системы Windows, начиная с Windows XP. В свою очередь, режим планирования позволяет имитировать результаты политики, основываясь на анализе «что-если», которые могут быть применены в будущем к конкретному пользователю или компьютеру на основании указанных вами переменных.

Данный режим целесообразно применять в том случае, если планируете переместить пользователя или компьютер между сайтами, доменами или подразделениями, а также в том случае, если у пользователя будет изменена группа безопасности, под область которой попадает целевой объект Active Directory. Оба режима результирующей политики интерпретируются при помощи оснастки «Управление групповой политики», причем, режим журналирования реализуется при помощи результатов групповой политики, а режим планирования – средствами моделирования групповой политики.

Для того чтобы определить параметры групповой политики, распространяемые на целевого пользователя или компьютер, результирующая политика во время своей работы использует инструментарий управления Windows (WMI). Поставщик WMI позволяет создавать отчеты по заданным в мастере результирующей политики параметрам, а также определяет, когда именно выполнялась обработка объекта групповой политики, какие параметры были применены, какие ошибки возникли в процессе применение и так далее. Для выполнения сбора информации, как на контроллере домена, так и на клиентском компьютере должна быть запущена служба «Инструментарий управления Windows» (Winmgmt.exe), при помощи которой информация иерархии WMI моделируется как иерархия стандартов объектов общей модели данных (Common Information Model, CIM). Такая иерархия является расширением, позволяющим разным службам и приложениям предоставлять поставщику WMI информацию о конфигурации. Вся информация, которая собирается поставщиком, сохраняется в базе данных WMI на локальном компьютере, также известном, как база данных CIMOM. Так как сгенерированные поставщиком WMI данные могут быть динамическими и статическими, а, в свою очередь, статические данные хранятся в базе CIMOM для того, чтобы они могли быть извлечены в любое время, при выполнении запросов результирующей политики генерируются статические данные WMI. При помощи запросов результирующей групповой политики в базу данных WMI на контроллере домена сохраняется информация о политиках целевого компьютера, после чего вся эта информация отображается в оснастке «Управление групповой политикой».

Также при обработке результирующей политики стоит обратить внимание на работу поставщика результирующего набора политики. Работу поставщика, результирующего набора групповой политики, можно проанализировать на примере режима планирования результирующей политики. В этом режиме, для генерации отчета результирующей политики даже не нужно присутствие в сети самого клиентского компьютера, так как информация рассчитывается на основании существующих объектов групповой политики, которые будут применяться к текущему объекту. В этом случае, на контроллере домена, поставщик результирующего набора политики выполняет определенные функции клиентской операционной системы, требуемые для применения объектов GPO. Данный поставщик при обработке режима планирования результирующей групповой политики использует три следующих параметра.

Область управления (Scope of management, SOM), которая является сочетанием объектов пользователя и компьютера.

WMI фильтр, который может применяться к целевому объекту во время генерирования отчета результирующей политики;

Членство в группах безопасности объектов компьютеров и пользователей, определяющее реальные группы безопасности, членами которых являются целевой пользователь или компьютер.

Помимо всего указанного выше, следует также обратить внимание на то, что для успешного генерирования отчета результирующей групповой политики, должны быть соблюдены следующие обязательные условия:

- на целевом компьютере должна быть установлена операционная система не ниже Windows XP;

- у учетной записи, которая генерирует отчет RSoP на конечном компьютере, должны быть привилегии администратора;

- на обоих компьютерах должна быть запущена служба «Инструментарий управления Windows»;

- для того чтобы иметь доступ к WMI, на конечном компьютере должны быть открыты порты 135 и 445;

- в том случае, если генерируется отчет RSoP для определенного пользователя, этот пользователь должен как минимум один раз выполнить вход в домен под своей учетной записью.

Принципы работы результирующей политики в режиме журналирования и планирования отображены на следующей иллюстрации.

 

 

Рисунок 3 - Режим журналирования и планирования

 

Режим журналирования результирующей групповой политики работает следующим образом.

Во время выполнения пользователем входа в домен, процесс Gpsvc при использовании контекста безопасности пользователя или компьютера получает список объектов групповой политики из домена Active Directory, которые распространяются на этот объект.

Процесс Gpsvc последовательно сохраняет в базу данных WMI экземпляры расширений клиентской стороны объектов групповой политики;

Список зарегистрированных расширений групповой политики извлекается из базы данных и на конечный компьютер выводится подробный отчет в динамическом формате HTML, после чего в самой консоли отображается динамическое содержимое отчета результирующей групповой политики.

В свою очередь, при выполнении результирующей групповой политики в режиме планирования, поставщик результирующего набора политики выполняет следующие действия.

При помощи мастера утилита результирующей групповой политики, RSoP моделирует применение политики с помощью службы групповой политики доступа к каталогу (GPDAS) и извлекает из контроллера домена имя пользователя или компьютера и подключается к базе данных WMI.

Служба WMI на том же компьютере, на котором генерируется отчет результирующей политики вызывает поставщика WMI, а затем получает список объектов групповой политики, которые распространяются на определенного пользователя или компьютер в Active Directory.

База данных WMI заполняется экземплярами объектов групповой политики для определенного пользователя или компьютера.

После чего извлекается список зарегистрированных расширений клиентской стороны, где каждое расширение загружается последовательно. После того как данные были занесены в базу данных, поставщик результирующего набора групповой политики возвращает список имен и передает их инструменту результирующей политики.

Результирующая политика подключается к пространству имен базы данных WMI на контроллере домена и при помощи API интерфейса WMI получает данные о групповой политике. На конечный компьютер выводится подробный отчет в динамическом формате HTML, после чего в самой консоли отображается динамическое содержимое отчета результирующей групповой политики.

2.1 Расширения клиентской части CSE

 

Как вы уже поняли из всего вышеизложенного, каждая группа параметров групповой политики обслуживается определенным расширением клиентской стороны (Client-side Extension, CSE), установленном и зарегистрированном в процессе установки операционной системы Windows. По сути, расширений клиентской стороны можно разделить на логические категории, соответствующие определенным узлам, расположенным в дереве консоли оснастки «Редактор управления групповой политикой». Сами расширения CSE состоят из динамически подключаемых библиотек, вызываемых при помощи модуля групповой политики, который для определения параметров групповой политики, применяемых к целевому компьютеру или пользователю, использует информацию шаблона групповой политики из контейнера групповой политики.

Соответственно, расширения клиентской стороны применяются на целевой компьютер только в том случае, если изменены соответствующие параметры групповой политики. Физически, все библиотеки DLL, отвечающие за расширения клиентской стороны можно найти в папке %windir%\System32, однако, если какое-то определенное расширение CSE было написано сторонним производителем, оно может храниться в расположении отличном от расположения CSE по умолчанию. Несмотря на то, что большинство параметров групповой политики применяются так, чтобы ни пользователь, ни администратор клиентского компьютера не могли изменить соответствующий системный параметр при помощи графического интерфейса, некоторые параметры, управляемые расширениями CSE все-таки можно изменить. Стоит обратить внимание на то, что все библиотеки DLL для каждого расширения клиентской стороны регистрируются в операционной системе и просмотреть список расширений CSE можно при помощи редактора системного реестра в разделеHKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\GPExtensions.

Как вы уже, наверное, догадались, судя по информации из раздела, посвященного контейнеру групповой политики, к каждому расширению клиентской стороны привязывается идентификатор GUID, включающий в себя набор определенных атрибутов, позволяющих указать разные параметры конфигурации обработки групповой политики. В контейнере GPC вы могли увидеть эти идентификаторы в атрибутах gPCMachineExtensionNames и gPCUserExtensionNames. Находясь в разделе идентификатора GUID определенного расширения CSE, вы можете с легкостью узнать имя библиотеки DLL, отвечающей за текущее расширение клиентской стороны, посмотрев на значение параметра Dllname. Все расширения клиентской стороны, созданные при установке операционной системы, связаны с идентификаторами GUID, предоставленными в следующей таблице:

 

Таблица 2.1 – Функции клиентской части

Расширение клиентской части	DLL	Идентификатор GUID
Групповые политики беспроводной сети	gptext.dll	{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63}
Групповые политики среды	gpprefcl.dll	{0E28E245-9368-4853-AD84-6DA3BA35BB75}
Групповые политики локальных пользователей и групп	gpprefcl.dll	{17D89FEC-5C44-4972-B12D-241CAEF74509}
Групповые политики настроек устройств	gpprefcl.dll	{1A6364EB-776B-4120-ADE1-B63A406A76B5}
Перенаправление папок	fdeploy.dll	{25537BA6-77A8-11D2-9B6C-0000F8080861}
Реестр	userenv.dll	{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
Квота дисков Microsoft	dskquota.dll	{3610eda5-77ef-11d2-8dc5-00c04fa31a66}
Групповые политики сетевых настроек	dskquota.dll	{3610eda5-77ef-11d2-8dc5-00c04fa31a66}
QoS на основе политики	gptext.dll	{426031c0-0b47-4852-b0ca-ac3d37bfcb39}
Сценарии	gptext.dll	{42B5FAAE-6536-11d2-AE5A-0000F87571E3}
Продолжение таблицы 2.1 – Функции клиентской части
Безопасность	scecli.dll	{827D319E-6EAC-11D2)
Групповые политики зон безопасности Internet Explorer	iedkcs32.dll	{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}
Групповые политики сопоставления дисков	gpprefcl.dll	{5794DAFD-BE60-433f-88A2-1A31939AC01F}
Групповые политики папок	gpprefcl.dll	{6232C319-91AC-4931-9385-E70C2B099F0E}
Групповые политики общих сетевых ресурсов	gpprefcl.dll	{6232C319-91AC-4931-9385-E70C2B099F0E}