К. Закер - Компьютерные сети. Модернизация и поиск неисправностей (953092), страница 211
Текст из файла (страница 211)
Однако тип файлов системной политики, создаваемых ЯРЕ, зависит ат тай операционной системы, в которой раба шет программа. Можно создавать файлы политики %(айтау 95/98, запуская ЯРЕ на машине с операционной системой %шйаиз 95 или 98, но не получится сформировать файл системной политики %Ъп)аж 95/98 на машине с %пк1очь ХТ/2000 и наоборот. Версии ЯРЕ, поставляемые с %(псаггз 95/98, не инсталлируются па умолчанию, поэтому их требуется устанааливагь вручную (а не просто копировать) с С1Э-КОМ. С их помощью можно создавать талька файлы системной политики %1паотгз 95/98. Создание файлов политики Процесс создания нового файла политики сводится к запуску БРЕ и выбора в, меню Ие (Файл) команды Хая Ройсу (Создать). По умолчанию„программа создает объекты ЭеГап)г цзег и Вейн)г Сошр~ег.
Открыв обьект, можно увидеть правила цалитики, которые могут быть для него сконфигурированы. Правила политики, которые создаются в рамках абьектав па умолчанию, отражаются на всех рабочих станциях, подвпачающихал к сети. Также имеется возможность формирования дополнительных объектов пользователей и объектов групп, соотнасяшихся, соответственна, с ХегВ1ОЯ-именами компыатерав и именами учетных записей групп в домене %(пйез ИТ или 2000 Правила политики для компьютеров модифицируют установки реестра в ключе нквт ьосль илснтнв, в та время как правила для пользователей и групп вносят изменения в ключ реестра иккт сиввхнт сзхв.
Когда создается новый объект пользователя, компьютера или группы, ЯРЕ копирует в нега содержимое соответствующего объекта по умолчанию и создает новую пиктограмму, как показано нл рис. 27.б. С этими инструментами можно реализовать различные варианты политики лля разных типов пользователей сети.
После сакрвнення. файла политики пад соатветствукяцим именем размещение его в сети обычно свалится к копированию в ресурс совместного использования Хейойоп на контроллерах дамена, который по умолчанию ня- ходится в киилоге фЛппг~бузтепт32~йер(ЧараФйепрь системнопз диска. Рабочие станции,всегда автоматически проверяют лот ресурс на предмет наличия файла политики во время подключения к сети, н если такой файл там присугстзуег, затружазот и обрабатывают его Файлы системной политики всегда обрабатываются уже после загрузки профилей пппъзевагелей, поэтому установки реестра в файле системной политики имеют преимущество перед устанхеквм» улья реестра нз профиля пользователя.
рис. иг.п главнее сева утвлвты вгмею Россу сеасг Приоритеты политики Задам создания такой стратегии системной политики, котарш предоставляет доситачный койтроль нал рабочими станциями сети, и которую одновременно доситачно просто поддерживать, полнпаттао зависит ат администратора сети. Как и в случае большинства административных задач, удобнее реахизовъпють системную политику по отношению к группам пользователей, нежели создавать индивидуальные ввриаптй политики лля каждого пользовзтел» Формируя файл групповой политики в ЗРР, существует вазможность задания приоритета для каждой труппы (выбрав в меню Орйевз (Параметры) команду Отпер Ргйкйу (Присритет группыЦ, контралирукяцего порядок, в котором варианты политики будут применлтъстя к системе.
Котла рабочая станция обрабатывает файл системной 'паяпткки, и пользователь является членам более чем одной группы, система применяет групповые политики в'нарядив их приоритетож от самого'низкого до самого высокого. Таким образам,"'пп»»тики с высоким приоритетом могут изменить установки политик с белее низким уровнем приоритета. Когда в редакторе. системной' политики создается объект индквггдуалънаго кампыатера, ен:принимает более высокий уровень' приоритета. чем соатветстнующий объект по умолчанию (Вейн(т Сопфьавф.
Когда пользователь проходит репхстрацию на рабочей станции, прмютавлеиной объектам для компьютера, система обрабатывает политики для индивидуального компыатера и игнорирует политики обьекта Пейват Олпрппк. Аналапптным образом, если пользователь предсивлен индивидуальным объектом,:система за1ружает кидиВкдуааБньи политики дзя данного пальзоватющ и'игнорирует все политики для групп, к которым этот пользователь црннйдлвкит, как и политики для пользователя по умолчанию (Оегйн(г Узег).
Политики для пользователей и групп имеют также преимущество над политиками для компьютеров в тех ~~учаях, когдй затрагиваются н~~~~~~ко ~~~ч~й реестра, чье существование возможно как в нкгт ъссы, нлснгнк, тйк и 'в нккт сснялнт иэвп Если установка присугствует в обоих ключах, преимущество нахолится на стороне значения, расположенного в ключе реестра, нкхт С~лжвнт оэкй. Системные пслнтнкн применяются ко асам пользователям, вкпннмя н тех, кто обладает административным доступом.
Если планируется наловить жесткие ограничения на рабочие станция, следует обязательна убад1пься, что в виде нсключення создан объект'пользователя нпн группы, который бы обеспечивал необходимый дссгуп администраторам. Опрвдвлении значений правил политики После загрузки шаблона политики в ЯРЕ и создания нового файла системной политики можно начинать создание новых объектов и конфигурирование их правил политики. Объект каждого компьютера, псиьзователя или группы в файле политики содержит иерархию категорий, Еодерх(йшую различные варианты правил политики.
Каждое правило появляется в виде отдельного пункта, который может принимать одно из трех следувлпих значений, имеющих отношение к реализации данной политики, О Кван ей (Разрешена). Применяет правило политики к системному реестру с использованием указанного значения. ('.) Ю)зайед (Ззлрззвпю). Не применяет правило политики к' реестру и уда- ляет его из реестра, если оно там уже присугствует. П Цввейвек) (Не определено). Ипюрируст правило политики, не изменяя реестр„независимо От того, присутствует тйм данная пОлитика или нет, Кроме этого пункта, правило политики макет иметь еще целый ряд других упрйаляюпшх элеменгов, йссопнировйнных с ним, которые показываются в области иегбийк (параметры) в нижней части диалогового окна, если правило разрешено Эти управзяющие элементы могут принимать.несколъко форм, включая дОпОлнительные пункты, пОля для вводй данных.:и перекшвчвгсли.
Способ изменения реестра этими элементами управления зависит от требований отдельных установок и структуры шаблона политики. Некоторые правила политики просто создают элемент реестра с определенным именем, в то время кйк другие могут назначать коНКРетной Установке двоичное, буквенно-цифровое нлн шестнадцатеричное значение. Ограничение деатепыизсти рабочей станции с помоною систамной полипаки Одна из основных функций системной политики заключается в том,' чтобы запретить доступ пользователей к определенным элементам опершаюнной системы. Для этого существует несколько причйн, Например: П не допусюпь запуск пользователями неавторизованного пропяпряного обеспечения; П не допускать изменения пользователями элементов оформления; П изолировать пользователей от возможностей, котОрыми они не смогут безопасно воспользоваться.
Осуществив указные мероприятия, можно пометать тему, чтобы пользователи тротман хивсу времени на непредукгявн~аб деятельность,' часто приводящую к нарушениям функционирования рабочвх стщщий вследствие бездумных экспериментов, лля устранения послелетвий которых часто требуется мощная техническая поддержки.
Следующие разделы описывают, ках именно можно применять определенные правила:=системной политики лля управления конфигурацией рабочей станции. Ограничение принижений Одной из пивных причин нестабильности рабочих станций %гпбозга является установка несовместимых приложений; Большинство пакетЬв программного обеспечения лля %шбоъз включают модули динамически подюпочаемых би6лиотек (Вы„йуцапйс !ыс изгагу)„юзторые устанавливаются в системные каталоги тгщбсж.
Очень часто такие модули заменяют ужа существующие, являясь их более новыми версиями,:разработанными ющ поддержки определенного приложения. Проблема.дзапиио типа программного обеспечения злклвзчаегся в том, что устияовка нового приложения с заменой определенной 1ИЛ библиотеки на более новую версию„вполне может наруцпггь функционирование уже существуюшего" прнлсакеннл в' системе Один из способов„который позволяет избежать'псисбгнгх сложностей, возникающих из-М данного типа конфликта версий, закшочается в подборе группы приложений, удовлетворяющей нужды пользователей, и последующего тщательного тестирования всех приложений этой группы едковремен- НО. Как тОлькО станет яснО, что приложения совместимы„их слелует установить на рабочие станции и запретить пользователям добавление другого программного.:обеспечения, которое сможет привнеиги; несовместимые элементы Ограничение программного обеспечения рабояжг станций также не позволит пользователям устанавливать такие непроауктивные гприложения, как игры, отнимающие огромное количество времени, дискового пространства и лаже приаускной способности сети.
Существует несколько технических приемов, которые:можно--нсппхъзоиггь для предотвращения >становки пользователями неавторизованного програм- Глава 27. Фдми арсванае сетей И'ах~ойе много обеспечения на свои рабочие станции. Олин из ннх представляет собой метод грубой силы н заключается в том, чтобы запретить пальзсаателям доступ к носителю, с которого они могли бы установить вредоносную программу. Приобретая компыатеры без приводов СН-КОМ, можно отсечь первичный источник неавторизованного программного обеспечения.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
