Более мощные групповые политики Windows Vista
В Windows Vista значительно обновлена инфраструктура групповых политик. Когда организации во всем мире начнут активно использовать Windows Vista, многие администраторы даже не заметят разницы, поскольку все многочисленные изменения групповых политик скрыты...
Однако администраторы несомненно увидят, что возможности групповых политик в Windows Vista намного шире, чем в предыдущих версиях.
До Windows Vista за обработку групповых политик отвечал процесс winlogon. Процесс Winlogon отвечал за выполнение многих задач, в том числе за вход пользователей в систему и за обслуживание групповых политик. Теперь групповые политики представляют собой отдельную службу Windows. Более того, эта служба имеет высокий уровень защиты, что означает, что ее нельзя остановить, и администратор не может получить права отключения групповых политик. Эти изменения повышают общую надежность механизма групповых политик.
И это лишь начало. Давайте более подробно рассмотрим некоторые значительные изменения в групповых политиках.
Доступность расширенной информации сети
До появления Windows Vista механизм групповых политик пытался определить скорость подключения к сети. Эта информация использовалась для того, чтобы определить, какие параметры политик следует применять. При низкой скорости связи на компьютер пользователя отправлялись не все параметры политик, поскольку их загрузка занимала довольно много времени. В новой службе групповых политик эта функция также сохранена. Однако при этом изменен принцип расчета текущей скорости сети.
Ранее скорость определялась посредством отправки пакетов ICMP ping на контроллеры домена. При использовании этого подхода возникало много проблем. Прежде всего, многие администраторы отключают пакеты ICMP на своих маршрутизаторах. Во-вторых, расчеты были ненадежными в случаях, когда соединение осуществлялось через каналы с высоким уровнем задержки (например, через спутниковые каналы). В таких ситуациях механизм групповых политик не мог определить, является ли соединение действительно быстрым, или нет.
Кроме того, механизм групповых политик не мог определять случаи, когда компьютер подключался к сети после длительного простоя. Также механизм групповых политик не мог определять и случаи, когда компьютер подключался к сети после долгого времени работы в автономном режиме. На компьютерах под управлением Windows XP или Windows 2000 пользователь мог подключиться к сети, проверить электронную почту и отключиться, и при этом обновление групповых политик не выполнялось. Большинство администраторов хотели бы обновлять групповые политики на системах, заново подключаемых к сети после длительного простоя или после долгого периода автономной работы.
Новая служба групповых политик Windows Vista понимает основные аспекты подключения к сети в реальном времени. Основное изменение заключается в том, что теперь механизм групповых политик использует обработчик NLA 2.0 в Windows Vista. Служба NLA просто оповещает службу групповых политик о доступности контроллера домена. Если контроллер домена доступен, при необходимости выполняется обновление групповых политик.
Использование нескольких локальных объектов GPO
До появления Windows Vista поддерживалось использование только одного объекта локальной групповой политики (GPO). Если вы набирали GPEDIT.MSC в командной строке и вносили некоторые изменения в настройки, эти изменения влияли на всех пользователей и администраторов, использовавших этот компьютер. Это нередко представляло собой проблему, например, в ситуациях, когда требовалось удалить команду «Выполнить» из меню «Пуск» для обычных пользователей, но оставить ее доступной для администраторов.
Возможность использования нескольких локальных объектов GPO позволяет решить эту проблему с помощью многоуровневой системы GPO. Это возможность будет в основном использоваться на системах, не входящих в домен Active Directory. Однако она может показаться полезной и для конечных пользователей.
Новая многоуровневая система локальных объектов GPO может выглядеть немного сложной (см. Рисунок 1). Локальный объект GPO, используемый по умолчанию, по-прежнему действует в контексте локальной системы и влияет на всех пользователей этой системы. Этот объект GPO определяет параметры компьютера и параметры пользователя.
Второй уровень относится или к участникам локальной группы Администраторы, или ко всем остальным пользователям. Учетная запись пользователя по определению не может состоять в обеих группах одновременно. Данный уровень определяет, является ли пользователь администратором или обычным пользователем локальной системы, а затем использует соответствующий объект GPO (для администраторов или для остальных пользователей). Третий уровень относится к конкретным учетным записям пользователей локальной системы.
Итак, мы перечислили три локальных объекта GPO, которые могут повлиять на любого пользователя компьютера. Например, вы можете использовать три уровня для настройки параметров для всех пользователей компьютера, для настройки дополнительных параметров, действующих только для администраторов, и для настройки еще нескольких параметров, действующих только для одного пользователя компьютера .
Разумеется, если система входит в домен Active Directory, объекты групповых политик Active Directory имеют приоритет по отношению к объектам локальных политик. Также необходимо отметить, что администраторы домена могут отключить обработку всех локальных объектов GPO в Windows Vista.
Сообщения об ошибках, поиск и устранение неисправностей
В Windows Vista используется совершенно новая система журнала событий. Механизм групповых политик использует эту новую систему под названием Windows Eventing 6.0 (также называемую журналом событий) и разделяет события на два журнала. Уже знакомый большинству специалистов системный журнал (теперь носящий название Административный журнал) содержит перечень проблем с групповыми политиками. При возникновении ошибки в механизме групповых политик, эта ошибка должна публиковаться в системном журнале, при этом должно указываться, что источником ошибки является служба групповых политик (а не процесс Userenv).
Уже знакомый большинству специалистов системный журнал (теперь носящий название Административный журнал) содержит перечень проблем с групповыми политиками. Он фактически заменяет неудобный файл userenv.log, поскольку в нем для удобства чтения перечислены все шаги механизма групповых политик.
ADM и ADMX
Еще со времен Windows NT® 4.o файлы ADM сообщали шаблонам определений о том, что является возможным в групповых политиках. Не все в групповых политиках контролируется файлами ADM, но эти файлы отвечают за все полезные шаблоны, содержащиеся в разделах User Configuration | Administrative Templates и Computer Configuration | Administrative Templates.
С функциональной точки зрения эти файлы ADM имеют ряд недостатков. В версиях Windows, предшествовавших Windows Vista, при каждом создании нового объекта GPO эти файлы ADM размером около 5 мегабайт требовалось копировать во все папки GPO (в SYSVOL). При большом количестве объектов GPO дублируется большое количество файлов системных шаблонов в SYSVOL, в результате чего репликация каждого блока файлов объемом 5 МБ происходит несколько раз.
Кроме того, файлы ADM требуют использования определенного языка. Они создаются на определенном языке, и все пользователи этих файлов должны использовать этот язык.
В службе групповых политик в Windows Vista эта проблема решена благодаря использованию нового формата XML для файлов определения политик ADMX. Файлы ADM сами по себе не требуют использования определенного языка. Однако их должны сопровождать требующие использования определенного языка файлы ADML. Вы можете легко добавить дополнительные языки посредством добавления дополнительных файлов ADML к файлу ADMX.
Формат ADMX поддерживает централизованное хранение. Это устраняет необходимость репликации дублирующейся информации и упрощает обновление файлов ADMX. Допустим, вы произвели обновление файла ADMX, например, установив пакет обновлений. После этого вам требуется только поместить обновленный файл в централизованное хранилище. Все администраторы групповых политик домена, использующие рабочие станции Windows Vista, получат доступ к обновленному файлу ADMX. Ранее требовалось обеспечить присутствие на компьютерах всех администраторов правильных копий всех файлов ADM, и это было непростой задачей.
Теперь же администратор домена должен вручную создавать центральное хранилище SYSVOL для каждого домена Active Directory. После создания центрального хранилища все администраторы, использующие компьютеры под управлением Windows Vista для создания объектов GPO и управления ими, автоматически будут использовать центральное хранилище. Обратите внимание, что данная функция является особенностью Windows Vista, и компьютеры под управлением Windows Vista проверяют наличие центрального хранилища при подключении к домену Active Directory. Вам не придется ждать выхода следующей версии Windows Server® под кодовым названием "Longhorn" или переносить все компьютеры пользователей на платформу Windows Vista. Это происходит вне зависимости от того, на базе какой платформы построен домен – Windows Server Longhorn, Windows Server 2003 или Windows 2000. Для использования преимуществ центрального хранилища достаточно просто создать центральное хранилище и использовать компьютеры под управлением Windows Vista для создания объектов GPO и управления ими.
Как уже говорилось, файлы ADMX и ADML построены на базе языка XML. Основное преимущество формата XML заключается в использовании стандартного языка. Однако необходимо отметить, что графического редактора файлов ADMX не существует (и корпорация Майкрософт не планирует выпускать такой редактор). Также не существует никаких инструментов для преобразования имеющихся файлов шаблонов из формата ADM в формат ADMX.
В комплект Windows Vista входит приблизительно 130 файлов ADMX, которые заменят 6 – 8 файлов ADM, которые входили в состав предыдущих версий Windows. Эти файлы располагаются в каталоге \Windows\PolicyDefinitions, как показано на Рисунке 2. Обратите внимание, что файлы ADML хранятся в отдельных вложенных каталогах для разных языков, например, в директории en-US для языка "Английский – США".
Консоль управления групповыми политиками
Консоль управления групповыми политиками (GPMC) была доступна в Windows XP и Windows Server 2003, как отдельно загружаемый компонент. Консоль GPMC, поддерживающая сценарии MMC, являлась единственным административным инструментом для управления групповыми политиками.
Теперь консоль GPMC является встроенным компонентом Windows Vista. Это означает, что при необходимости создать или отредактировать объект GPO у вас всегда под рукой будет самый удобный инструмент для этой работы. Достаточно набрать в командной строке Windows Vista Пуск | Поиск название файла GPMC.MSC, и вы сможете начать работу.
Новые объекты контроля
В Windows Vista добавлено около 800 новых параметров политик. Эти параметры принадлежат к различным категориям, многие из которых вам уже известны и хорошо знакомы. Однако также в Windows Vista представлено несколько очень полезных новых категорий, которых раньше просто не было, или в которых не было элементов управления групповых политик.
В состав улучшенных областей групповых политик входят политики проводных и беспроводных сетей, брандмауэра Windows и IPsec, управления печатью, оболочки рабочего стола, удаленного помощника и планшетных ПК. Обратите внимание, что для обновленных политик проводных и беспроводных сетей может потребоваться обновление схемы на уровне группы деревьев (леса). Более подробную информацию по этому вопросу можно найти на странице microsoft.com/technet/itsolutions/network/wifi/vista_ad_ext.mspx.
В состав новых областей групповых политик Windows Vista входят управление съемными устройствами хранения данных, управление питанием, управление учетными записями пользователей, отчеты об ошибках Windows, защита доступа к сети и программа Windows Defender.
Чтобы контролировать области, непосредственно влияющие на компьютеры под управлением Windows Vista, необходимо использовать компьютер под управлением Windows Vista (или Windows Server "Longhorn") при создании и редактировании объектов GPO. Это связано с тем, что старые операционные системы не распознают новые настройки, которые являются специфическими для Windows Vista.
Подробное описание каждой из этих областей может занять целую статью, поэтому места на такое обсуждение не хватает. Однако следует обратить особое внимание на функции управления съемными устройствами хранения данных и управления питанием (см. Рисунок 3). Я считаю, что эти функции будут очень полезны всем администраторам. Они позволяют контролировать, какие устройства можно подключать к компьютерам под управлением Windows Vista, а также какие настройки питания можно использовать на ноутбуках, настольных ПК и мониторах для экономии средств компании.
С дополнительными параметрами управления питанием в Windows Vista администратор может установить необходимость отключения неактивных мониторов или их перевод в режим сна. Опубликованные на веб-узле Energy Star Агентства по защите окружающей среды результаты исследований показывают, что управление электропитанием мониторов позволяет сэкономить от $10 до $30 долларов на каждый монитор в год. Если в компании используются сотни или тысячи мониторов, экономия может оказаться весьма существенной.
Приведем также пример из области управления съемными устройствами хранения данных: Администратор хочет, чтобы учащиеся использовали флэш-диски USB для работы с докладами, домашними заданиями и другими документами с любой общей рабочей станции университетского городка. Однако в связи с возможностью злоупотреблений и рисками безопасности учащиеся не должны иметь разрешение записи на диски USB на рабочих станциях университетского городка, если они не используют утвержденный учебным заведением диск USB. Такой вариант управления можно реализовать с помощью настройки групповых политик Windows Vista.
Выводы
Как видите, все эти улучшения системы управления Windows Vista незаметны. Администраторы обнаружат, что служба групповых политик в Windows Vista обеспечивает мощные и гибкие возможности управления конфигурацией благодаря значительному увеличению числа настраиваемых параметров и новых ресурсов, позволяющих повысить безопасность системы (и возможно сократить расходы).
Будущее групповых политик
Вы увидите описанные в этой статье возможности после выпуска Windows Vista. Однако рабочая группа по групповым политикам уже думает о будущем. Дополнительные возможности групповых политик скорее всего будут доступны с выпуском Windows Server "Longhorn". Хотя не все описанные возможности будут доступны сразу же после выпуска первоначальной версии Windows Vista, они будут включены в Windows Vista посредством выпуска пакета обновлений или другим подобным способом. Итак, хотя некоторые из новых возможностей могут быть изменены, на будущее уже намечено три основных области для улучшений. И для уточнения скажем, что для использования этих возможностей не требуется Windows Server "Longhorn".
Комментарии Очень многие пользователи простили добавить возможность добавления комментариев относительно назначения объектов GPO и конкретных параметров групповых политик. В настоящее время единственный способ добавлять комментарии заключается в ведении электронных таблиц объектов GPO и их параметров и добавлении комментариев в этих таблицах. Сейчас, чтобы добавлять комментарии, нужно использовать какие-то другие программы, например, вести отдельную электронную таблицу с перечнем всех объектов GPO и параметров и сопутствующими комментариями. Так что возможность добавления комментариев будет очень полезной.
Шаблоны Иногда администратор хочет дать другим администраторам базис для создания объектов GPO. Эта возможность обеспечивается шаблонами групповых политик. Администратор должен иметь возможность создавать собственные объекты GPO на основании шаблонов. Корпорация Майкрософт скорее всего добавит распространенные сценарии в первоначальный набор шаблонов, а также предложит рекомендации относительно управления разными типами компьютеров. (Более подробную информацию можно найти в Документации и файлах по распространенным сценариям.)
Поиск и фильтры С используемыми подчас миллионами настроек политик иногда бывает сложно найти конкретную политику, которая вам нужна. К счастью, новые возможности поиска упрощают поиск в заголовке, тексте и комментариях параметров политик. Вы также сможете увидеть, какие параметры политик включены или отключены в объекте GPO, что позволит вам быстро вносить в них изменения в случае необходимости.
Вы можете отправлять просьбы о добавлении дополнительных возможностей групповых политик через портал отзывов и предложений по Windows Server, который можно найти по адресуwindowsserverfeedback.com.
--Джереми Московиц--
Источник:
По теме
- Windows Vista официально "мертва"
- Завтра прекращается поддержка Windows Vista
- Остался последний месяц поддержки Windows Vista
- 11 апреля Microsoft прекратит поддержку Windows Vista
- Через год прекращается поддержка Windows Vista
- Microsoft открыла исходный код Open XML SDK
- Баллмер: Longhorn/Vista - моя самая серьезная ошибка
- Сегодня заканчивается бесплатная фаза поддержки Windows Vista и Office 2007
- Microsoft продлила срок поддержки Windows Vista и Windows 7
- Практики обеспечения безопасности Microsoft - лучшие в мире