Безопасность при работе в сети

Групповая политика

Одним из наиболее сильных инструментов администрирования в Windows XP Professional является Group Policy (Групповая политика). Разумное использование этого инструмента может уменьшить TCO (Total Cost of Ownership - полная стоимость владения) посредством блокировки системы пользователя и снижения вероятности взлома ее каким-нибудь пользователем. Group Policy является оснасткой ММС и может применяться практически к любому объекту. Вы могли бы создать и применить групповую политику к домену, подразделению и группе внутри подразделения. Применение политики иерархически распространяется по всему дереву домена. Следовательно, если политика на более высоких уровнях дерева конфликтует с политикой нижележащих уровней, то по умолчанию приоритет остается за политикой верхних уровней.

Примечание. В целом Group Policy используется для доменов Active Directory. Для применения групповой политики на своем локальном компьютере вы должны использовать инструмент Local Group Policy (Локальная групповая политика). Вы применяете эту политику примерно так же, как и групповую политику. Однако при подключении оснастки Group Policy задается вопрос, каким компьютером вы намерены управлять - следует выбрать Local Computer (Локальный компьютер).

Оснастка

Оснастка Group Policy (Групповая политика) (рис. 9.19) включает в себя две основные группы: Computer Configuration (Настройка компьютера) и User Configuration (Конфигурация пользователя). Они соответствуют System Policy Editor (Редактор системной политики) и User Policies (Политики пользователей). Каждая из этих групп содержит в себе еще три подгруппы.

• Software Settings (Настройки программ). Инсталлирует программы на определенные компьютеры или пользовательские системы.
• Windows Settings (Настройки Windows). Устанавливает настройки системы безопасности и запускает сценарии при включении и выключении компьютера.
• Administrative Templates (Административные шаблоны). Контролирует вид и поведение системы Windows и приложений.

После выбора политики, требующей изменения, щелкните правой кнопкой мыши на ней и выберите Properties (Свойства). Вы можете подключить или отключить политику. Допустим, мы подключили меню Remove Documents (Удалить меню (Документы)) из главного меню. Теперь ни один пользователь во всем домене не будет видеть элемент Documents (Документы) в своем меню Start (Пуск).

Управление группами

В организации с тысячами работников не представляется возможным отдельно управлять каждой учетной записью пользователя. Именно здесь полезны и необходимы группы. Вы можете присваивать атрибуты широкому диапазону пользователей двумя щелчками мыши.

Рис. 9.19. Оснастка Group Policy (Групповые политики)

Создание группы. Первым шагом является создание OU (Organizational Unit - организационная единица). Это можно сделать на Windows 2000 или .NET сервере или с помощью пакета инструментов Windows .NET Server Administration Tools Pack (см. гл. 6 и приложение). OU являются основными строительными блоками Active Directory. Откройте инструмент Active Directory Users and Computers (Active Directory - пользователи и компьютеры), выбрав Start\Administrative Tools\ Active Directory Users and Computers (Пуск\Администрирование\Active Directory - пользователи и компьютеры). Выберите домен, в котором вы хотите разместить OU. Выберите Action\New\Organizational Unit (Действие\Создать\Подразделение). Введите имя для новой организационной единицы и нажмите на ОК.

Для добавления пользователя во вновь созданную OU вернитесь к оснастке Active Directory Users and Computers и выберите OU, куда необходимо поместить пользователя. В панели выберите Action\New\User (Действие\Создать\Пользователь).

Появится окно New Object-User (Новый объект - пользователь), в котором следует ввести необходимую информацию о пользователе и затем щелкнуть на Next (Далее). Вас попросят ввести пароль пользователя, который может быть изменен при следующем входе пользователя в систему.

Добавление новой группы в OU происходит аналогичным образом. Снова воспользуйтесь оснасткой Аctive Directory Users and Computers, выберите Action\New\Group (Действие\Создать\Группа) и введите информацию в диалоговые окна для установки группы и ее атрибутов.

Следует обратить особое внимание на то, где создается новый объект, так как новый объект можно добавить практически в любое место иерархии. Можно и даже нужно создавать OU внутри других OU. Если это то, что вы хотели сделать, а на самом деле создали новую OU внутри домена, то результат будет совершенно другой и это почувствуют все члены OU. То же самое можно сказать о пользователях и группах. Место их размещения в иерархии Active Directory имеет существенное влияние на их свойства. Например, создание нового пользователя внутри домена будет давать этому пользователю права на доступ ко всем объектам, иерархически расположенным ниже, включая все организационные единицы, являющиеся членами домена. Это существенно отличается от размещения нового пользователя в OU с весьма ограниченными правами.

Примечание. Вы легко можете перемещать пользователей, группы и OU по дереву домена, используя эту оснастку. Но помните, что простое перемещение может оказать влияние на многих пользователей.

Редактирование группы. Информация о группе редко остается неизменной со времени ее создания. Active Directory обеспечивает вас необходимыми инструментами для редактирования группы и ее атрибутов. Воспользуйтесь оснасткой Active Directory Users and Computers, щелкните правой кнопкой мыши на учетной записи пользователя или группы и выберите Properties (Свойства). Откроется окно свойств, в котором содержатся все атрибуты пользователя или группы.

Как видно на примере групповой политики, управление безопасностью в Windows XP Professional сетях может быть весьма детализированным. Вы должны осознать всю важность управления безопасностью, а также и то, что к этой задаче нельзя подходить легкомысленно.