Минуло близько року з часу публікації моєї останньої статті про деякі типові недоліки групової політики, з якими мені доводилося стикатися. З тих пір деякі властивості групової політики змінилося, але багато що залишилося колишнім. Компанія Microsoft випустила новий компонент Group Policy Preferences, завдяки якому значно розширилися можливості групової політики Windows Server 2008, Windows Vista, Windows Server 2003 і Windows XP. Однак адміністратори і раніше незадоволені складністю групової політики, хоча добре відгукуються про можливості. Розглянемо деякі вади групової політики та шляхи їх усунення.
Розгортання Office 2007
Випускаючи Office 2007, компанія Microsoft, очевидно, проігнорувала інтереси тисяч ІТ-адміністраторів, які використовують компонент Group Policy Software Installation (GPSI) для розгортання Office на настільних комп'ютерах. У кращому випадку можливості групової політики для розгортання Office 2007 значно скромніше, ніж для Microsoft Office 2003. У гіршому випадку GPSI для розгортання Office 2007 абсолютно даремний. Що ж сталося і як подолати несподівану перешкоду?
Microsoft повністю змінила модель установки Office 2007. Компанія як і раніше надає необхідний для установки Office файл Windows Installer (.msi), але відмовилася від підтримки найважливіших файлів перетворень. У колишніх версіях Office адміністратори використовували файли перетворень в процесі GPSI-установки для настройки способу розгортання примірників Office. За допомогою файлу перетворень можна ввести ліцензійні коди, вибрати встановлювані додатки і навіть налаштувати параметри додатків комплексу Office.
Однак Office 2007 не підтримує перетворень. Адміністратори можуть застосовувати MSP-файли Windows Installer для настройки встановлюються примірників Office, але GPSI не може використовувати MSP-файли. Тому Microsoft надає файл config.xml, який можна використовувати разом з GPSI для настройки Office. Config.xml докладно описаний в статті Microsoft «Use Group Policy Software Installation to deploy the 2007 Office system» за адресою technet.microsoft.com/en-us/library/cc179214.aspx. Але за допомогою config.xml можна лише вказати, які програми Office слід встановити через GPSI. Для будь-яких інших налаштувань необхідно підготувати MSP-файли з використанням адміністративного інструментарію Office. І звичайно, не можна використовувати MSP-файли всередині GPSI. Чи існують інші виходи з ситуації, крім покупки продукту розгортання програмного забезпечення або відмови від розгортання Office 2007?
Альтернативний варіант - використовувати сценарій реєстрації групових політик для розгортання спеціального сценарію, в якому застосовується як програма установки Office, так і MSP-файли. Детальний опис цього підходу наведено в статті Microsoft «Use Group Policy to assign computer startup scripts for 2007 Office deployment» за адресою technet.microsoft.com/en-us/ library / cc179134.aspx. Недолік сценарію реєстрації полягає в неможливості, на відміну від GPSI, управляти життєвим циклом додатків, в тому числі виправляти, оновлювати і видаляти програми за допомогою групової політики. Але підхід на основі сценарію реєстрації, по крайней мере, дозволяє розгорнути Office 2007 з використанням групової політики без дорогого рішення по розгортанню програмного забезпечення.
Групова політика в мережах VPN
Надходить багато питань від адміністраторів, які намагаються застосувати групову політику до мобільних користувачам. Часто їм потрібно послабити настройки групової політики, встановлені в корпоративному середовищі, для співробітників, що працюють поза офісом. На жаль, групова політика не дуже зручна для мобільних користувачів.
В першу чергу потрібно відзначити, що обробка групової політики виконується тільки в тому випадку, якщо комп'ютер встановив зв'язок з контролером (DC) в домені, до якого він належить. Тому якщо мобільний користувач працює вдома зі службовим ноутбуком, що не підключеним з мережі компанії через VPN, групова політика не обробляється. Застосовуються параметри, отримані ноутбуком під час останнього сеансу зв'язку з мережею компанії. Наприклад, якщо користувач працював з proxy-сервером в мережі компанії, то він буде працювати з ним же і поза мережею.
Коли користувач підключається до мережі компанії через VPN, комп'ютер обробляє групову політику як зазвичай, хоча і через більш повільний канал зв'язку. Пам'ятайте, що фонова обробка проводиться кожні 90 хвилин, з урахуванням випадкового зсуву тривалістю 30 хвилин, на робочих станціях і автономних серверах, які є членами домену. На комп'ютерах з Vista є функція Network Location Awareness Refresh. Якщо автономний комп'ютер Vista невдало намагається оновити групову політику, вона оновлюється майже негайно після того, як DC знову стане доступним.
Необхідно враховувати, що, за винятком випадків, коли VPN-з'єднання надається зовнішнім пристроєм, а не робочої станцією, віддалений комп'ютер не зможе обробити політики певних видів. Наприклад, політики для окремих комп'ютерів, що виконуються тільки під час завантаження комп'ютера, такі як розгортання програм або сценарії реєстрації, не працюють, якщо VPN-з'єднання з DC недоступно в процесі завантаження операційної системи комп'ютера. Крім того, політики користувачів, що вимагають процедури реєстрації (наприклад, розгортання спеціальних програм або сценарії реєстрації) не працюють, якщо тільки користувач не реєструється в Windows з використанням параметра Logon using dial-up connection на екрані реєстрації.
Нарешті, припустимо, що потрібно провести віддаленого користувача по процесу скасування деяких параметрів корпоративної політики. Логічно припустити, що користувач, змінивши локальний об'єкт групової політики (GPO), може тимчасово скасувати встановлені раніше параметри домену. Але це не так. Якщо у приєднаного до домену комп'ютера немає зв'язку з DC, Windows ігнорує будь-які зміни в налаштуваннях користувача, зроблені в локальному об'єкті GPO, так як обробка політики не виконується, коли комп'ютер функціонує в автономному режимі.
Обійти цю прикру перешкоду вельми важко, але можна проявити творчий підхід. Можна задіяти об'єкти GPO, пов'язані з сайтами, застосувавши альтернативні настройки до комп'ютера або користувачів, що підключаються до DC з IP-підмережі, виділеної для VPN-клієнтів. Проблема в тому, що пов'язані з сайтами об'єкти GPO знаходяться в ієрархії обробки нижче, ніж більш широко застосовуються користувачами об'єкти GPO, пов'язані з доменом і організаційною одиницею. Навіть якщо діють пов'язані з сайтами об'єкти GPO, що пом'якшують блокування, вони будуть скасовані іншими об'єктами GPO.
Проблему можна обійти, встановивши посилання на пов'язаному з сайтом об'єкті GPO в значення Enforced. Завдяки прапору Enforced параметри пов'язаного з сайтом об'єкта GPO мають пріоритет, навіть якщо нижчестоящі об'єкти GPO конфліктують з ним. Недолік використання Enforced полягає в труднощі управління пов'язаними з сайтом об'єктами GPO, так як сайти можуть охоплювати кілька доменів. Якщо управління пов'язаними з сайтом об'єктами GPO не викликає труднощів, то метод з прапором Enforced може виявитися вдалим.
Ще одна неординарна рішення - нові переваги групової політики Group Policy Preferences. За допомогою переваг групової політики можна задати налаштування GPO, а потім відповідно до методу, відомим як «вказівка на рівні елемента», використовувати різні деталізовані фільтри для застосування налаштувань до певних комп'ютерів. Зокрема, можна застосувати фільтр діапазону IP-адрес, показаний на екрані.
Виконуючи фільтрацію за діапазоном адрес, призначених VPN-клієнтам, в перевагах групової політики можна застосувати політики реєстру, які скасовують налаштування, зазначені в політиці адміністративних шаблонів. Оскільки розширення реєстру переваг групової політики запускається після розширення адміністративних шаблонів, даний підхід скасовує політику адміністративних шаблонів, коли комп'ютер або користувач підключений до підмережі VPN. На жаль, політику адміністративних шаблонів потрібно застосувати, коли користувач повернеться в мережу компанії, а цього не станеться, якщо не запускати політику адміністративних шаблонів примусово в кожному циклі поновлення групової політики.
Висновок: хоча єдиного рішення для управління безпекою мобільних користувачів не існує, є кілька творчих способів полегшити роботу таких користувачів, які не отсоединяя їх комп'ютери з домену AD.
Життя з груповою політикою
Групова політика - потужний інструмент управління конфігурацією настільного комп'ютера, корисний, проте не у всіх випадках. Іноді працювати з ним важко, як показано в наведених вище прикладах. Завдяки такому нововведенню, як переваги групової політики, адміністраторам надаються більш широкі можливості. Наступного разу при виникненні проблем з груповою політикою згадайте про те, що творчий підхід до застосування сценаріїв і переваг групової політики допоможе обійти проблеми і використовувати переваги цієї потужної технології, щоб встановити повний контроль над настільними комп'ютерами і серверами Windows.
Даррен Мар-Еліа ( [email protected] ) - редактор Windows IT Pro, технічний директор і засновник компанії SDM Software
Що ж сталося і як подолати несподівану перешкоду?Чи існують інші виходи з ситуації, крім покупки продукту розгортання програмного забезпечення або відмови від розгортання Office 2007?
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.