Опрос
Вы участвуете в программе Windows Insider?
Популярные новости
Обсуждаемые новости

Изменение в групповых политиках Windows Vista

Напечатать страницу
14.07.2006 23:00 | deeper2k

Microsoft называют наиболее грамотной компанией в сфере групповых политик. Тем более приятно видеть изменения в существующих политиках, улучшения и новые возможности, которые Microsoft дарит своим пользователям...

В связи с близящимся релизом новой операционной системы – Vista - компания Microsoft готовится к внесению более радикальных и полезных изменений в групповые политик. Для меня – консультанта и инструктора по Active Directory и Group Policy/Групповым политикам уже в течение 6 лет – эти изменения получили мое одобрение. Причина моего довольства состоит в следующем: благодаря усилиям Microsoft мне больше не нужно отсылать пользователей, задающих мне вопросы: «Как с помощью групповых политик можно решить проблемы, связанные с потреблением питания, общими принтерами и установкой новых устройств?», к приложениям сторонних разработчиков. Среди новшеств, появившихся в групповых политиках, можно отметить возможность определения состояния сети и новый подход к ADM-шаблонам.

Новые настройки групповых политик
По сравнению с Windows XP Professional Service Pack 2 в новую Windows Vista включено гораздо больше настроек групповых политик – всего в Vista присутствует порядка 2400 групповых политик, которые могут быть назначены администратором компьютера. В новую ОС добавлено 800 новых политик, что в два раза превосходит количество политик, появившихся с выходом Windows XP Service Pack 2. Некоторые политики были добавлены по отзывам пользователей, некоторые необходимы для работы новых функций Vista. Наиболее важные добавления мы рассмотрим ниже:

Управление питанием
С момента появления групповых политик каждый администратор хотел получить контроль над настройками питания. Наконец-то, компания Microsoft добавила эту возможность в Windows Vista. Возможность контроля параметров питания окажет серьезное влияние на корпоративный рынок, потому как совместные тесты Microsoft и EPA показали, что использование настроек электропитания сэкономит порядка на компьютер в год. Идея очень проста – нет причины использовать компьютер на полную мощь, если пользователь не всегда присутствует на рабочем месте. До появления Vista компаниям приходилось обращаться к сторонним разработчикам, например к DesktopStandard или Full Armor, для осуществления контроля потребления электропитания компьютера в Windows 2000 и XP.

Контроль установки устройств
Большинство IT-специалистов, работающих в сфере обеспечения безопасности своих компаний, весьма обеспокоены ситуацией со сменными устройствами такими, как USB флэш-диски и внешние жесткие диски. Эти устройства представляют реальную угрозу безопасности как сети в целом, так и компьютера в частности. Без контроля над установкой и использованием подобных устройств на компьютер могут проникать вирусы, черви и другое вредоносное ПО. Vista позволяет осуществлять контроль над установкой и использованием USB-драйвов, CD-RW, DVD-RW и другими съемными устройствами.

Установки безопасности
В Vista разработчики Microsoft объединили две технологии, обеспечивающие безопасность системы- брандмауэр и службы IPSec. Совместное использование IPSec и защиты брандмауэра имеет множество преимуществ при соединениях между серверами в Интернете: можно установить уровень доступа к различным ресурсам в зависимости от состояния системы или в зависимости от установленных администратором требований. И так как эти настройки всегда были нужны пользователям, Microsoft ничего не оставалось делать, как только добавить их в групповые политики.

Назначение принтеров в зависимости от размещения мобильного ПК
Управление установленными принтерами – почти всегда кошмар для компаний и сетевых администраторов. Для большинства компаний, использующих артель мобильных компьютеров, упраление принтером становится более сложным процессом, так как сотрудники постоянно перемещаются между зданиями компании. Vista решает эту проблему, позволяя конфигурировать принтера в зависимости от текущего подключения к Active Directory, к которую в данный момент входит компьютер. С того момента, как Active Directory может выявлять расположение компьютера в географической или сетевой топологии, у пользователей появилось прекрасное решение проблемы с использованием принтеров для мобильных ПК. До появления на рынке Vista компаниям приходилось обращать свои взоры в сторону решений для контроля работы принтеров в Windows 2000 и XP от сторонних производителей ПО, к примеру от уже известных нам DesktopStandard и Full Armor.

Улучшенные ADM-шаблоны
Если вы назначает групповые политики в рамках вашей компании, вы, наверняка, сталкивались с ADM-шаблонами. Эти шаблоны впервые появились в составе Windows NT4, в которой использовали язык разметки для определения и внесения необходимых изменений в реестр. С введением групповых политик концепция ADM-шаблонов практически не претерпела изменений, хотя появились новые возможности. ADM-шаблоны обеспечивают необходимые функции для изменений ключей реестра, но имеются следующие проблемы:
•Увеличение объемов ADM, вызванное дублированием ADM-шаблонов для каждого из объекта групповых политик
•Несовпадение версий ADM, неоднократно вызывающее появление сервис-паков
•Сбивающие с толку настройки “политик” или “свойств”, зависящие от того, какой из разделов реестра был изменен
•Невозможность контроль многострочных или бинарных значений реестра
Компании Microsoft известно, что шаблоны ADM могут стать реальным препятствием для взлома реестра, но они требуют серьезной доработки. В выходом Vista, большинство существующих проблем будет решено простым преобразованием шаблонов ADM в новый формат, основанный на XML. Кроме того, будет создан специальное хранилище – репозиторий – для шаблонов ADM. Новые основанные на XML файлы будут называться ADMX-шаблонами. Также появится возможность адресации различных языков к одному файлу. ADMX-файлы призваны заменить громоздкие шаблоны ADM на менее объемные и легко конфигурируемые ADMX-шаблоны.
Одно из моих любимых нововведений Vista – это централизованное хранилище шаблонов ADMX. Это позволяет централизованно осуществлять обновление, хранение и управление шаблонами ADMX. Теперь нет необходимости хранения копий ADMX-шаблонов для каждого объекта групповых политик. Наоборот, каждый объект обращается к репозиторию за шаблоном ADMX. Это сэкономит место на доменном контроллере и позволит довольно-таки легко управлять этими файлами.

Уведомления о состоянии сети
Групповые политики в большой степени зависят от доступности сетевого соединения, а также от скорости соединения. Vista предлагает новый подход к осведомлению о состоянии сети, ускоряя загрузку и предоставляя более надежные политики. В Windows Vista существуют следующие возможности уведомлений о состоянии сети:
•При загрузке компьютера время, которое тратится на применение политики, даже если сеть недоступна, может быть снижено. Vista имеет индикаторы применения групповых политик в зависимости от того, включена ли NIC-карта или отключена, а также индикаторы доступности сети.
•Vista также дает возможность определять доступность доменного контроллера, а также осуществлять проверку доступности контроллера через определенные промежутки времени. Это идеальный вариант для удаленных соединений типа dial-up и VPN.
•Исчезла необходимость в ICMP-запросах (прим. PING) для определения скорости соединения. Это было необходимо при медленных сетевых соединениях, но если ICMP-запросы были отключены из соображений безопасности, компьютер игнорировал PING-запросы, вызывая сбой в групповых политиках. Данная функция также выполняет задачи по выявлению пропускной способности сети для успешного обновления состояния политики.

ЗАКЛЮЧЕНИЕ
Приближается релиз Windows Vista. Нет сомнений в том, что в ближайшие месяцы она появится на прилавках (ну хорошо, в ближайшие полгода). К моменту официального релиза пользователям необходимо знать, какие преимущества она может дать их компаниям. В связи с усовершенствованием групповых политик растет и надежда пользователей. Изменения в некоторых случаях весьма существенны, в других - незаметны. С 800 новыми установками у пользователя появилась возможность сделать систему максимально удобной для работы. Некоторые установки электропитания, устройств, безопасности оказывают благотворное влияние на корпоративный рынок. Благодаря этому Vista станет быстро окупаемой системой. Эволюция шаблонов ADM в ADMX-файлы также весьма неожиданно, но в тоже время имеет много преимуществ. Новые ADMX-файлы легко управляемы и обеспечивают лучший контроль, благодаря созданию центрального репозитария. Наконец, уведомления о состоянии сети станут приятным дополнением к сокращению числа сбоев групповых политик, которые были вызваны стандартной сетевой архитектурой Windows 2000 и XP.

Источник: http://www.windowsecurity.com
Перевод: deeper2k

Комментарии

Комментариев нет...
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
420.55 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.051 секунд (Общее время SQL: 0.037 секунд - SQL запросов: 53 - Среднее время SQL: 0.0007 секунд))
Top.Mail.Ru