Подразделение отдела
Часто в разных структурных подразделениях предприятия требования к безопасности различаются. Поэтому имеет смысл создать одно или несколько подразделений отделов. Такие подразделения можно использовать для применения параметров безопасности к компьютерам и пользователям в соответствующих отделах с помощью объекта групповой политики
Подразделение пользователей Windows 7
К этому подразделению относятся учетные записи пользователей в среде корпоративного клиента. Параметры, применяемые к этому подразделению, подробно описаны в файле Internet Explorer 8 Security Baseline Settings.xls, прилагаемом к настоящему руководству.
Подразделение компьютеров с Windows 7
Это подразделение содержит по одному дочернему подразделению для каждого типа клиентских компьютеров с установленным обозревателем Internet Explorer 8 for Windows 7 в среде EC. В Руководстве по безопасности Windows 7 проводится четкое различие между настольными и портативными ПК с точки зрения обеспечения их безопасности. Поэтому авторы настоящего руководства создали такие подразделения для компьютеров:
Настольные компьютеры. К этому подразделению относятся настольные компьютеры с постоянным подключением к сети. Параметры, применяемые к этому подразделению, подробно описаны в файле Internet Explorer 8 Security Baseline Settings.xls.
Портативные компьютеры. Это подразделение включает переносные компьютеры мобильных пользователей, которые не всегда подключены к сети. В файле Internet Explorer 8 Security Baseline Settings.xls Excel описаны также параметры, применяемые к этому подразделению.
Схема объектов групповой политики для политик безопасности
Объектом групповой политики (GPO) называется совокупность параметров групповой политики, которые по сути являются файлами, создаваемыми в оснастке «Групповая политика». Эти параметры хранятся на уровне домена и влияют на пользователей и компьютеры в сайтах, домена и подразделениях.
Объекты групповой политики позволяют обеспечить применение конкретных параметров политики, прав пользователей и поведения компьютеров ко всем клиентским компьютерам или пользователям в подразделении Использование групповой политики вместо настройки вручную упрощает управление изменениями (включая обновление) для большого количества компьютеров и пользователей. Настройка вручную не только неэффективна, так как требует посещения каждого клиентского компьютера, но и потенциально бесполезна: если параметры политики в объектах групповой политики домена отличаются от параметров, применяемых локально, параметры политики объекта групповой политики домена переопределяет примененные локально параметры.
Рисунок 1.2. Очередность применения объектов групповой политики
На предыдущем рисунке показана очередность, в которой объекты групповой политики (GPO) применяются к компьютеру, являющемуся членом дочернего подразделения, от наиболее низкого уровня (1) к самому высокому (5). Сначала применяется групповая политика из локальной политики безопасности каждого клиентского компьютера с установленным Internet Explorer 8 для Windows 7. Затем применяются GPO на уровне сайта, а затем на уровне домена.
Если клиентский компьютер с Internet Explorer® 8 для Windows 7 принадлежит подразделению с несколькими уровнями, то объекты групповой политики применяются в порядке от родительского подразделения до дочернего подразделения самого низкого уровня. Последним применяется объект групповой политики из подразделения, содержащего клиентский компьютер. Описанный порядок обработки объектов групповой политики — локальная политика безопасности, сайт, домен, родительское подразделение и дочернее подразделение — очень важен, так как объекты групповой политики, которые применяются позже, переопределяют примененные ранее объекты. GPO пользователей применяются таким же образом.
При разработке групповой политики необходимо учитывать следующее:
Администратор должен задать порядок, в котором несколько объектов групповой политики привязываются к подразделению, иначе групповая политика будет по умолчанию применяться в том порядке, в котором объекты привязывались. Если один и тот же параметр настроен в нескольких политиках, приоритет будет иметь политика, идущая в списке первой.
Для объекта групповой политики можно включить параметр Принудительный. Если выбран этот параметр, другие объекты групповой политики не смогут переопределять параметры, настроенные в этом объекте групповой политики.
Для Active Directory, сайта, домена или подразделения можно установить параметр Блокировать наследование политики. Этот параметр блокирует параметры объектов групповой политики, которые расположены выше в иерархии Active Directory, если для них не задан параметр Принудительный. Другими словами, параметр Принудительный имеет приоритет над параметром Блокировать наследование политики.
Параметры групповой политики применяются к пользователям и компьютерам и зависят от места пользователя или компьютера в Active Directory. В некоторых случаях необходимо применять политику к объектам пользователей на основе расположения объектов компьютеров, а не пользователей. Функция замыкания на себя групповой политики позволяет администраторам применять параметры групповой политики для пользователя в зависимости от того, в систему какого компьютера он вошел. Дополнительную информацию об этом параметре см. в статье «Режим замыкания при обработке групповой политики».
Рекомендуемые объекты групповой политики
Для внедрения описанной выше схемы подразделений требуется как минимум два объекта групповой политики:
политика для подразделения пользователей Windows 7;
политика для подразделения компьютеров с Windows 7.
На рисунке ниже показана предварительная структура, в которой отражены связи между этими объектами групповой политики и схемой подразделений.
Рисунок 1.3. Пример структуры подразделений и связей объектов групповой политики для компьютеров с установленным обозревателем Internet Explorer 8 для Windows 7
К настоящему руководству прилагается следующий упакованный файл с расширением .zip:
Internet Explorer 8 GPOs.zip
В этом архиве находятся сохраненные файлы объектов групповой политики, которые можно загрузить в консоль управления групповой политикой (GPMC), и тем самым быстро создать объекты групповой политики со всеми рекомендуемыми параметрами. Чтобы установить консоль управления групповой политикой, загрузите ее со страницы Средства удаленного администрирования сервера для Windows 7 (на английском языке) в Центре загрузки Microsoft.
Чтобы создать объекты групповой политики, включающие все рекомендуемые параметры, выполните следующие действия:
Находясь в том каталоге Active Directory, в котором собираетесь создавать объект групповой политики, войдите от имени администратора домена на входящий в этот домен компьютер с установленным Internet Explorer 8 для Windows 7.
Распакуйте содержимое файла InternetExplorer8GPOs.zip в папку на своем компьютере.
С помощью консоли GPMC создайте следующие объекты групповой политики:
политика IE8 EC Computer;
политика IE8 EC User.
ИЛИ
политика IE8 SSLF Computer;
политика IE8 SSLF User.
Воспользуйтесь консолью GPMC для импорта настроек из сохраненных файлов объектов группой политики в объекты группой политики, созданные на шаге 2.
Дополнительную информацию о работе с консолью управления групповой политикой см. на странице Архивация, восстановление, копирование и импорт узла Windows Server TechCenter.
|
