Управление на политики в компютърни мрежи

  • Управление на политики в компютърни мрежи

     

    Във всекидневната ви работа като администратор вероятно има рутинни задачи, които трябва да изпълнявате отново и отново. Може би ви се налага да обикаляте системите, за да контролирате потребителите или да ги превеждате през основните процедури по влизане и излизане. Ако е така, то вашето време не се използва ефективно. Бихте били много по-ефективни, ако автоматизирате тези досадни задачи и се заемете с по-важните дейности. Автоматизирането повишава производителността и ви позволява да наблегнете върху по-важните въпроси.

     

    I.Управляване на груповите политики

    Груповите политики опростяват администрирането, като предоставят на администраторите централизиран контрол върху определени аспекти на работата на потребителите и компютрите -привилегиите, позволенията и възможностите.

    Груповите политики позволяват да:

             Създадете директории за централно управляване на специалните папки, като например папката Desktop.

             Контролирате достъпа до компонентите на Windows, системните и мрежовите ресурси, помощните програми от Control Panel, работното поле и менюто Start.

             Дефинирате потребителски и компютърни скриптове, които да стартират в зададено от вас време.

             Конфигурирате политиките за заключване на акаунти и пароли, одитирането, назначаването на потребителски права и сигурността.

    Следващите секции обясняват работата с групови политики, като се набляга върху разбирането и прилагането им.

     

    Какво представляват груповите политики

    Мислете за груповата политика като за набор от правила, които ви помагат да управлявате потребители и компютри. Груповите политики могат да бъдат прилагани за: множество домейни, отделни домейни, подгрупи в даден домейн или за отделни системи. Политиките, прилагани към отделни системи, се наричат локални групови политики и се съхраняват единствено на локалната система. Другите групови политики се съхраняват в обекти на Active Directory .

    За да разберете груповите политики, трябва да имате основни познания за структурата на директорийната услуга Active Dirеctory. В Active Directory, логическите групирания на домейни се наричат сайтове, а подгрупите в домейна се наричат организационни единици. Така вашата мрежа би могла да има сайтове, наречени NewYorkMain, CalifomiaMain и WashingtonMain. В сайта WashingtonMain бихте могли да имате домейни, наречени SeattleEast, SeattleWest, SeattleNorth и SeattleSouth. В домейна SeattleEast бихте могли да имате организационни единици, наречени Infonnation Services (IS), Engineering

    и Sales.

    Груповите политики се прилагат единствено за системи, работещи с Windows 2003. Политиките за системи с Microsoft Windows NT 4.0 се настройват чрез System Policy Editor (poledit.exe). Зa Microsoft Windows 95 и Microsoft Windows 98 ще трябва да поработите с програмата System Policy Editor, oсигурявана с Windows 95 или Windows 98, след което да копирате файла на пoлитикатa в дяла SYSVOL на някой домейн контролер.

    Ако са дефинирани множество политики, те се прилагат в следния ред:

    1. Политики на Windows NT 4.0 (NTConfig.pol)

    2. Локални групови политики.

    3. Групови политики за сайта.

    4. Гpyпoви политики за домейна.

    5. Групови политики за организационната единица.

    6. Групови политики за дъщерните организационни единици

    Ако политиките влизат в конфликт, по-късно приложените политики имат приоритет над тези, зададени на предишните нива. Например груповите политики за организационни единици имат приоритет над политиките за домейна.

    Има изключения в това правило, както вероятно предполагате. Те са разгледани по-надолу в секцията "Блокиране, налагане и забраняване на политики" в тази глава.

     

    Кога се прилагат груповите политики?

    Както ще установите при започване на работата с групови политики, те са разделени в две широки категории:

             Политики, прилагани за компютри

             Политики, прилагани за потребители

    Политиките за компютри обикновено се прилагат по време на стартирането на системата, а тези за потребители -по време на влизането на потребителя.

    Точната последователност на събитията често е от значение при отстраняване на пpoблеми в работата на системата. Събитията, възникващи по време на стартирането и влизането в системата, са следните:

    1. Стартира се мрежата, след което Windows 2003 прилага политиките за компютъра. По подразбиране, те се прилагат по една наведнъж в реда, описан по-горе. Докато политиките биват обработвани, не се визуализира никакъв потребителски интерфейс.

    2. Windows 2003 изпълнява стартовите скриптове. По подразбиране, те се изпълняват по един наведнъж, като всеки от тях завършва преди стартирането на следващия. Потребителят не вижда тяхното изпълнение, освен ако това не е указано.

    3. Потребителят натиска CTRL+ALT+DEL, за да влезе в системата. След валидизирането му , Windows 2003 зарежда потребителския профил.

    4. Windows 2003 прилага политиките за потребителя. По подразбиране, те се прилагат по една наведнъж в реда, описан по-горе. Докато трае обработването на политиките за потребителя, се визуализира потребителският интерфейс.

    5. Windows 2003 стартира logon скриптовете (скриптовете, изпълнявани при влизане ). По подразбиране, скриптовете на груповата политика се изпълняват едновременно. Потребителят не вижда тяхното изпълнение, освен ако това не е указано. Скриптовете от поделения обект Netlogon се изпълняват последни в прозорец на команден шел, както при Windows NT 4.0.

    6. Windows 2003 визуализира стартовия интерфейс, конфигуриран чрез Group Policy.

     

    Управляване на локалните групови политики

    Всеки компютър с Windows 2003 притежава локални групови политики. Можете да управлявате локалните политики на даден компютър, като изпълните следните стъпки:

    I. Отворете диалоговия прозорец Run, като натиснете Start и изберете Run.

    2. В полето Open въведете mmc, след което натиснете ОК. Отваря се Microsoft Management Console (ММС).

    3. В ММС, щракнете върху Console и изберете Add/Remove Snap-In. Това действие предизвиква отварянето на диалоговия прозорец Add/Remove Snap- In.

    4. На страницата Standalone, натиснете Add.

    5. В диалоговия прозорец Add Snap-In, щракнете върху Group Policy и натиснете Add. Това действие предизвиква отварянетона диалоговия прозорец Group Policy Object.

    6. Щракнете върху Local Computer, за да редактирате локалната политика на вашия компютър или потърсете локалната политика на друг компютър.

    7. Натиснете Finish и след това Close.

    8. Натиснете ОК. Сега можете да управлявате локалната политика на селектирания компютър

    Локалните групови политики се съхраняBат на всеки компютър с Windows 2003 в папката %SystemRoot%\system32\GroupPolicy. В тази папка ще откриете следните подпапки:

    .Adm Съхранява файлове с употребяваните в момента административни шаблони. Тези файлове завършват с разширението .adm.