Самоучитель системного администратора. 5-е изд
жүктеу/скачать 20,51 Mb. Pdf көрінісі
|
Cамоучитель системного администратора книга
раздел — Предпочтения . Параметры этого раздела позволяют управлять подклю- чением дисков, параметрами реестра, локальными пользователями и группами, службами, файлами и папками. Главное преимущество раздела Предпочтения — легкость назначения параметров без обращения к каким-либо сценариям, составлению сложных запросов и т. д. Это позволяет, с одной стороны, облегчить настройку групповой политики, с другой — упростить структуру службы каталогов, поскольку не понадобится создавать до- полнительные контейнеры для выборки компьютеров. Для работы в разделе Предпочтения не требуется знать языки программирования, правила составления запросов в них и т. п., — все операции проводятся при по- мощи графического интерфейса. При этом возможности отбора крайне велики. На рис. 6.9 изображен Редактор нацеливания , облегчающий настройку предпоч- тений. Если вы этим заинтересовались, рекомендуем к прочтению статью: http://habrahabr.ru/post/206744/ . Рис. 6.9. Редактор нацеливания 260 Глава 6 Рекомендации по применению политик Главная рекомендация состоит в том, чтобы не изменять политику по умолчанию . Если в политике возникнет какая-либо серьезная ошибка, то возврат к начальному состоянию приведет к удалению не только последних настроек, но и всех других параметров, тщательно настраиваемых в течение долгого времени. Поэтому для основных административных действий по управлению системой соз- давайте новые политики . Тогда для изменения настроек вам будет достаточно только отключать/включать привязку политик к организационной структуре. При настройке параметров политик ориентируйтесь на рекомендуемые значения для конфигураций предприятия (см. разд. «Начальные объекты групповой полити- ки» ранее в этой главе ). Обработка одной политики с большим числом назначенных параметров практиче- ски не отличается по времени от обработки нескольких политик, в каждой из кото- рых назначается только часть этих параметров. Поэтому удобнее создавать не- сколько политик, чем включать все изменения в одну. Не удаляйте созданные ранее групповые политики — просто отключите привязку их от объектов службы каталогов. Они могут понадобиться для анализа ситуации в случае обнаружения каких-либо проблем в дальнейшем. Если ваши настройки относятся только к параметрам компьютера или только к пользователю, то не забывайте устанавливать признак применения лишь соответ- ствующей части политики. Это повысит скорость обработки. Блокирование запуска нежелательных приложений с помощью компонента AppLocker Начиная с Windows 7, для предотвращения запуска нежелательных программ при- меняется компонент AppLocker, а не политики ограниченного использования про- грамм, как было ранее. Запуск нестандартного или неутвержденного программного обеспечения может изменить желаемое состояние программной конфигурации обычного настольного компьютера. Пользователи могут загрузить новые программы из Интернета, при- нести их с собой на сменных носителях, получить программы через torrent-сети и/или по электронной почте. Все это приводит к росту числа обращений к админи- стратору, а также к увеличению числа случаев заражения компьютера вирусами и вредоносными программами. Каждый простой, связанный с неправильной работой системы после установки стороннего программного обеспечения, снижает эффек- тивность работы предприятия в целом. Именно поэтому многие предприятия стре- мятся тщательно контролировать рабочую среду компьютеров своих пользовате- лей, используя различные схемы блокировки, в том числе — ограничение исполь- зования учетных записей с правами администратора. Если пользователь работает в системе с обычными правами, а не с правами адми- нистратора, то и внести изменения в программную конфигурацию у него не полу- чится, поскольку он не имеет права устанавливать программы. Однако не нужно Управление информационной системой 261 забывать, что пользователь может загрузить и запустить так называемые Portable- версии программ, которые иногда содержат вредоносный код. В Windows XP и Windows Vista использовались политики ограниченного использо- вания программ (SRP), которые предоставляли администраторам механизм для оп- ределения и обеспечения выполнения политик управления приложениями. Однако в сложной динамичной среде, где установка и обновление приложений вы- полняется очень часто, управление SRP становится неудобным, поскольку полити- ки управления приложениями интенсивно используют правила для хэша. Соответ- ственно, администратору приходится создавать правила хэша при каждом обновле- нии приложения. Компонент AppLocker предоставляет простой и гибкий механизм, позволяющий администраторам точно определять приложения, которые разрешено запускать на компьютерах предприятия. С помощью AppLocker администратор может: предотвращать выполнение уязвимых и заблокированных приложений, в том числе вредоносных программ; предотвращать запуск нелицензионного программного обеспечения, если тако- вое явно не внесено в список разрешенных; запретить запуск программ (тех же torrent-клиентов), оказывающих негативное влияние на все предприятие, — например, «узурпирующих» всю пропускную способность сети; запретить запуск программ, нарушающих стабильное функционирование на- стольной системы. Компонент AppLocker предоставляет два действия: разрешение и запрет, а также позволяет определить исключения из этих действий, — вы можете создать список разрешенных и запрещенных программ. Если ваше предприятие нуждается в подобном компоненте, рекомендуем ознако- миться со следующими статьями, в которых компонент AppLocker рассматривается более подробно: https://technet.microsoft.com/ru-ru/library/dd548340(v=ws.10).aspx ; http://www.oszone.net/11303/AppLocker . Некоторые особенности политики установки программного обеспечения С помощью групповых политик можно устанавливать программы на локальные системы. Использование таких возможностей интуитивно понятно — необходимо создать соответствующий пакет установки и включить его в групповую политику. При работе с такими политиками администратору необходимо учесть следующее. Во-первых, в качестве установочного пакета можно использовать файл либо в формате MSI, либо в формате ZAP. ZAP-формат используется для продуктов 262 Глава 6 третьих фирм и является текстовым файлом с описанием особенностей предпо- лагаемой установки. Формат файла приведен в документе KB231747. Мы просто процитируем часть этой статьи с рекомендациями по созданию соответствую- щих строк. По приведенному образцу читатель легко сможет создать ZAP-файл для любой программы. [Application] ; Only FriendlyName and SetupCommand are required, ; everything else is optional. ; FriendlyName is the name of the program that ; will appear in the software installation snap-in ; and the Add/Remove Programs tool. ; REQUIRED FriendlyName = "Microsoft Excel 97" ; SetupCommand is the command line used to ; run the program's Setup. With Windows Server 2003 ; and later you must specify the fully qualified ; path containing the setup program. ; Long file name paths need to be quoted. For example: ; SetupCommand = "\\server\share\long _ ; folder\setup.exe" /unattend ; REQUIRED SetupCommand = "\\server\share\setup.exe" ; Version of the program that will appear ; in the software installation snap-in and the ; Add/Remove Programs tool. ; OPTIONAL DisplayVersion = 8.0 ; Version of the program that will appear ; in the software installation snap-in and the ; Add/Remove Programs tool. ; OPTIONAL Publisher = Microsoft Во-вторых, установка программы должна проводиться в «тихом» режиме, т. е. без диалога с пользователем. Например, не должен запрашиваться серийный номер продукта. Подготовка такого инсталляционного пакета в общем случае является далеко не тривиальной задачей. В-третьих, установка программ может быть включена в политику как в раздел Компьютер , так и в раздел Пользователь . В первом случае установка программ будет проведена на систему, и они будут доступны для любого пользователя. Обратите внимание, что программы, установленные в режиме для пользователя , обычно не могут быть обновлены с помощью средств автоматического обновле- ния программного обеспечения. Также следует учитывать возможность работы подобного пользователя на терминальном сервере. В этом случае администрато- ру следует либо дорабатывать политику ограничений для терминального серве- Управление информационной системой 263 ра, либо включать опцию lookback (см. разд. «“Обход” параметров пользова- теля» ранее в этой главе ), для того чтобы исключить установку программ на терминале. П РИМЕЧАНИЕ Если политика предусматривает установку программного обеспечения для компьюте- ра из общей сетевой папки, то доступ к такой папке будет осуществляться от имени компьютера. При назначении прав доступа обратите внимание, что учетные записи компьютеров не входят в группу пользователей домена, а являются только членами группы компьютеров домена. Поэтому следует разрешить доступ к подобным общим папкам, по крайней мере учетным записям, прошедшим проверку (аутентифицирован- ным пользователям). Другая особенность использования групповой политики касается режимов уста- новки: публикация или назначение . Опубликованные программы по умолчанию про- сто появляются в перечне задач, которые можно установить через задачу Установ- ка/удаление программ в панели управления. В случае использования назначенных программ в меню Пуск системы появляется ярлык к ним, при первом вызове кото- рого осуществляется установка соответствующего программного обеспечения. Административные шаблоны Количество регулируемых групповой политикой параметров можно менять. Проще всего добавлять настройки различных значений реестра системы. Для этого ис- пользуются административные шаблоны . П РИМЕЧАНИЕ По образцу файлов шаблонов администратору легко создать свои дополнительные настройки, которые он сможет распространить при помощи групповой политики. По- нятно, что для создания такого файла администратору необходимы соответствующие знания, которые он может получить из технической документации на операционные системы и настраиваемое программное обеспечение. Обычно административные шаблоны копируются на локальный диск после уста- новки соответствующего программного обеспечения. Поэтому администратору для добавления нового шаблона достаточно открыть для изменения групповую полити- ку (с компьютера, на котором установлено приложение) и выполнить операцию добавления нового шаблона. Другой способ — загрузить административные шаб- лоны с сайта разработчика (если они там предоставлены) и импортировать их в по- литику. В завершение следует настроить необходимые параметры и привязать групповую политику к соответствующему подразделению. Утилиты группового управления Несмотря на большое количество утилит, входящих в состав операционной систе- мы и пакетов Resource Kit, администраторы обычно предпочитают иметь в запасе продукты третьих фирм, которые хорошо зарекомендовали себя при разрешении тех или иных проблем. 264 Глава 6 Профессиональные продукты управления большими сетями: HP Open View, Unicenter и др. — обычно недоступны администраторам малых и средних сетей из- за высокой стоимости: их базовые комплекты оцениваются в 20–30 тыс. долларов без стоимости клиентских лицензий. Поэтому в таких предприятиях управление сетью строится на использовании отдельных, не интегрированных друг с другом, комплектов. Существует много средств, облегчающих выполнение административных задач. жүктеу/скачать 20,51 Mb. Достарыңызбен бөлісу:
|