от run-time(9-10-2007)

рейтинг (25)   [ добре ]  [ зле ]

Printer Friendly Вариант за отпечатване



SAMBA като първичен домейн контролер - инсталация, настройка, управление - ЧАСТ 2

"С любезното съдействие на Говедо"


Групови Политики ( Group Policy )

1. Въведение


Груповите политики за сигурност ( Group Policy ) предлагат голям брой конфигуриращи настройки, които могат да се прилагат централизирано върху обекти в домейна в това число работни станции и потребителски акаунти. Те се използват за управление на работните среди на потребителите в даден сайт, домейн или на потребители, групирани в определен организационен модул. Управлението на работните среди на потребителите, включва разработване и ограничения на потребителскaта работна площ (Desktop), налагане на ограничения върху използваният приложен софтуер, налагане на криптирано предаване на данни по мрежа, ограничения на използваните мрежови протоколи и ограничаване на интернет достъпа.

2. Инсталация


Първото нещо което е необходимо да направим е да се сдобием със следните 3 – неща:

Policy Editor ( poleidt.exe )
common.adm ( c:\winnt\inf\ )
winnt.adm ( c:\winnt\inf\ )
Или да си ги свалим от този линк

3. Настройка


В основни линии редакторът за системна политика ( poleidt.exe ) се използва за създаването на единичен файл съдържащ всичките политики за вашата мрежа. Този файл се сваля от клиентските компютри всеки път когато потребителя се логне в сървъра. В тази секция ще покажем как правилно да създадете файла с политиките и ще обясним какво трябва да се избягва при имплементирането на Системните политики.



Когато за първи път стартирате редакторът за системни политики той ще изглежда приблизително като на снимката по-горе. Ако при стартирането получите грешка, най-вероятно SPE не може да намери шаблонните файлове по подразбиране common.adm и winnt.adm. Тези шаблонни файлове са прости текстови файлове които съдържат настройки на регистъра позволяващи ви да контролирате различни аспекти на компютрите или потребителите. Може да добавите колкото желаете шаблонни файлове при нужда, отивайки на Options -> Templates (виж картинката по-долу).



Веднъж сдобили се с всички необходими шаблони, можете да започнете да създавате собствени политики. По подразбиране SPE ще има Компютърен обект по подразбиране (Default Computer object) и Потребителски обект по подразбиране (Default User object). За тях ще стане дума по-късно, като за начало нека нека настроим политиките за да му хванем цаката. Започваме с отварянето на Default Computer object, Би трябвало да изглежда като на картинката по-долу (въпреки че показва персонализирана политика).



Малките книги които виждате на екрана са там за категоризиране на всичките политики в отделни секции. Когато кликне м на плюса до книгите се отваря подкатегория показвайки политиките (или още подкатегории). Истинските политики са показани с малки сиви чекбоксове. Те имат три различни състояния, сиви, отметнати и празни.

* Сивото означава че дадената политика ще бъде пренебрегната. Например ако на компютъра не е разрешена регистровата настройка политиката няма да е активна и обратно.
* Отметнатият статус означава че политиката ще е ще е активна за компютъра.
* Празният статус означава че регистрова та настройка ще бъде изчистена (ако въобще е била отметната).

Съществуването на три състояния на политиките може да изглежда странно, но веднъж създадете ли различни групи ще разберете защо е необходимо. Бърз пример за използване на празно състояние е да разрешите политиката "Disable registry editing tools" на Default User Container, но след изчистете тази политика за Domain Administrators container, така позволявате на всеки в групата на Домейн администраторите да има достъп до редактори на регистъра, докато в същото време другите потребители които не са Домейн админстратори няма да могат да стартират редактор на регистри.
[edit]
Добавяне на компютри, Групи и Потребители

Когато за пръв път създавате файл с политика имате възможност да настроите Компютър по подразбиране ("Default Computer") и Потребител по подразбиране ("Default User") контейнерите. Всяка политика която имплементирате в тези контейнери ще се наложи автоматично върху всеки компютър и потребител в мрежата ви. За по-фин контрол над мрежовите ви ресурси можете да добавяте допълнителни контейнери към файла с политиките, като например специфични контейнери, групи или потребители.



На база на моя опит мога да кажа, че рядко ще ви се налага да добавяте компютри или потребители към файла с политиките, тъй като обикновено е по-добре да се налагат политики чрез групи. Илюстрацията показва пример на една от мрежите които съм имплементирал за учебно заведение. както можете да видите избрал съм да създам различни групи чрез които да контролирам мрежовото население. Както изглежда този метод е доста ефективен, Не само е по-лесен за поддръжка и добавяне на нови потребители, но и намалява размера на файла с политиките. Поддържайки малък файл с политики е донякъде високоприоритетно, тъй като този файл ще се сваля от клиента всеки път когато потребителя се свърже с компютъра. Когато добавяте отделни компютри и потребители към файлът с политиките, той ще порасне значително и като резултат всеки потребител ще сваля политики които дори не използва.

Когато имплементирате шаблон за базова групова политика е най-добре да добавяте групи които имат поне общ знаменател, така че потребителя да е член на само една група в файла с политики. Понякога това е по-лесно да се каже отколкото да се направи, но с правилна подготовка и проучване може да се осъществи. Въпреки това ако наследите мрежа която не е оптимално настроена има инструмент в редактора на системни политики наречен Group Priority, който ще ви помогне да запазите разсъдъка си.



В такива случаи обикновенно се получава така че политика е приложена за една група и не е изчистена (изключена) за друга група. Например нека кажем, че имаме 2 групи. Едната е "Учители" а другата "Ученици". По някаква причина споделянето е разрешено само за групата "Ученици". Незапознат администратор добавя групата "Учители" към групата "Ученици", ако файловете с политиките не са настроени коректно, всеки от групата "Учители " ще може да унаследи политиките на групата "Ученици".

За да се преборим с проблема да имаме грешни политики приложени към потребителите ви е е важно да "изчистим" нежеланите политики в Потребителската група по подразбиране. Ако например не искате групата "Ученици" да може да мапват мрежови диск , но е разрешено на групата "Учители", то се убедете, че имплементирате политиката в контейнера "Студенти" и изчистите политиката в контейнера "Учители". Нещо повече, трябва да не забравите да зададете по-висок приоритет на група "Учители" спрямо група "Ученици", в противен случай всичко направено до момента ще бъде без значение тъй като групата "Ученици" ще може да получи по-висок приоритет от групата "Учители".

Сега остана да запазим файла, като избере от File "Save As.." и го кръстим "NTConfig.POL".Копирате го в "netlogon" папката на линукс машината.За да влязат правата в сила е необходимо да излезете и пак да влезете с потребителското си име или да рестартирате Windows машината.


Към част 1



<< ZFS Root за FreeBSD | SAMBA PDC - инсталация, настройка, управление Част 1 >>