Политика групп
Политика групп
Одним из наиболее мощных новых средств в Win 2000 является политика групп, которая уже несколько раз упоминалась в этой главе. Объекты политики групп могут храниться как в активном каталоге, так и на локальной машине, и определять параметры конфигурации в масштабах домена или одного компьютера соответственно. Политику групп можно применять к узлам, доменам или организационным единицам. Параметры политики наследуются пользователями или компьютерами, входящим в состав этих единиц ("участниками" группы).
Объекты политики групп можно просматривать и редактировать в любом окне управляющей консоли при наличии привилегий администратора. В комплект поставки Win 2000 входят следующие объекты политики групп: Local Computer, Default Domain и Default Domain Controller. При запуске программы gpedit.msc из меню Start вызывается объект политики групп локального компьютера. Объекты политики групп можно также просмотреть во вкладке Group Policy окна свойств каждого объекта активного каталога (домена, организационной единицы или узла). Там отражена конкретная политика, применяемая к выбранному объекту (типы политики перечислены в соответствии с приоритетом), а также указано, где блокируется наследование объектов политики. Здесь же можно редактировать объекты политики групп.
Благодаря возможности редактирования политики можно обеспечить множество безопасных конфигураций для объектов каталога. Значительный интерес представляет подраздел Security Options раздела Computer Configurations-Windows Settings>Security Settings>Local Policies. В нем содержится более 30 различных параметров конфигурации, обеспечивающих безопасность любого компьютерного объекта, к которому применяется данная политика. В число этих опций входят режим ограничения анонимных соединений Additional Restrictions For Anonymous Connections (параметр системного реестра RestrictAnonymous), параметр уровня аутентификации LanManager, и опция переименования учетной записи администратора.
В разделе Security Settings можно также выбрать политику для учетных записей, политику аудита, параметры журнала регистрации событий, открытый ключ и настроить политику IPSec. Благодаря возможности настройки этих политик на уровне узла, домена и организационной единицы задача обеспечения безопасности в больших сетях значительно упрощается. Предлагаемая по умолчанию политика групп на уровне домена показана на Рисунок 6.2.
