Книга посвящена работе с групповыми политиками в ОС Windows 2000. Детально рассматривается управление Windows 2000 с использованием групповых политик, оптимизация топологии Active Directory и разработка структуры рабочих групп, применение локальных стратегий и стратегий на уровне сайта и домена. Приводятся быстрые решения типичных проблем, возникающих при администрировании, способы обойти западни и `баги` при работе с групповыми политиками. Книга снабжена обширным справочником по групповым политикам.
Об авторе Благодарности Глава 1 Управление Windows 2000 с использованием Group Policy Group Policy и системные политики Windows NT Центральное администрирование и закрытие системы Пакет Zero Administration Kit и сценарии групповых политик Начало работы с Group Policy Конфигурационные шаблоны безопасности Применение шаблона безопасности Другие конфигурационные шаблоны безопасности Дополнительные пользовательские шаблоны безопасности Описание Group Policy Административные шаблоны Структура и синтаксис файлов административных шаблонов Записи реестра, связанные со политиками Шаблоны системных политик Локальные политики безопасности Выборочное применение объектов Group Policy Хранение, репликация и обработка объектов Group Policy Файл GptTempl.inf Файлы Registry.pol Клиентские расширения для обработки GPO Инструменты Group Policy пакета Resource Kit Глава 2 Оптимизация топологии Active Directory для Group Policy Настройка Group Policy при замене операционной системы Планирование перевода клиентов и изменения конфигурации Выбор политики замены операционной системы сервера Модернизация сервера Windows NT Реструктуризация или консолидация домена Проблемы реструктуризации домена Применение групповых или системных политик к клиентам Windows 2000 Задание внутренней структуры домена Пример однодоменной топологии Делегирование управления структурными единицами Задание атрибута Managed By и поиск OU по значению атрибутов Перемещение объекта в структурную единицу с помощью команды Move Фильтрация объектов для их перемещения с помощью запросов LDAP Фильтрация объектов для перемещения по признаку членства в рабочей группе Многодоменная топология Добавление нового дочернего домена Подготовка домена к перемещению Добавление OU к дочернему домену Копирование первого набора групп Перемещение групп и их пользователей в указанные OU Перемещение учетных записей компьютеров Глава 3 Разработка структуры рабочих групп для Group Policy Защита сетей Windows 2000 Принципы защиты Известные принципы защиты Названия принципов защиты Имена пользователей Списки контроля доступа Рабочие группы Сравнение рабочих групп Windows NT и 2000 Группы по умолчанию и членство в них Администраторы домена Компьютеры домена Контроллеры домена Пользователи домена Администраторы предприятия Разработчики групповых политик Структурные администраторы Модернизированные группы Windows NT Предустановленные, импортированные и делегированные разрешения объектов Передаваемые и расширенные групповые разрешения Интегрирование рабочих групп по правам доступа Применение компьютерных и пользовательских политик по OU Циклическое применение политик Тест фильтрации Group Policy OU и рабочие группы для компьютерных экаунтов Работа предустановленной политики контроллера домена Add Workstations to Domain User Rights Тестирование GPO на рабочих станциях Фильтрация и установление связей GPO Фильтры GPO, основанные на требованиях приложений Добавление GPO установки приложений и определение фильтров Применение фильтров к новым GPO Проверка фильтров после их подключения Ассоциация политик с другими OU Использование пакета Office 2000 Resource Kit Глава 4 Поддержка IntelliMirror Управление Change and Configuration с помощью Group Policy Управление пользовательскими данными Управление пользовательскими установками Установка и обслуживание программного обеспечения Удаленная установка Ассоциация политик с опциями IntelliMirror Политики управления пользовательскими данными Политики управления пользовательскими настройками Политики установки программного обеспечения Политики службы удаленной установки Разработка инфраструктуры сервера для поддержки опций IntelliMirror Модернизация на месте Последовательная модернизация с реструктуризацией домена Настройка Group Policy для переадресации папок и доступа к файлам в автономном режиме Переадресация My Documents на общую серверную область Переадресация папки My Documents на несколько серверов Тестирование переадресации папок Переадресация папок Application Data, Desktop и Start Menu Защита переадресованных папок Применение политик для кэшированных файлов Отключение кэширования файлов Избранное применение переадресации и политик Offline Files Отключение или изменение режима работы Folder Redirection Политики устранения неполадок на рабочих станциях Конфигурирование роуминга пользовательских профилей Установка политик роуминга профилей Удаление профилей на серверах Глава 5 Локальные компьютерные политики Использование консоли Local Security Settings Работа с консолью Computer Management Добавление локальных групповых политик к новой консоли управления компьютером Тестирование работы удаленной консоли Использование удаленной консоли для тестирования применения Group Policy Применение конфигурационных шаблонов безопасности к локальным политикам Добавление конфигурационных шаблонов безопасности к консоли Создание настроенных конфигурационных шаблонов безопасности Добавление нового пустого шаблона Копирование существующего шаблона Модификация настроек пользовательских шаблонов Restricted Groups System Services Реестр Файловая система Использование окна Security Configuration and Analysis Запуск Security Configuration and Analysis и создание базы данных Проведение первичного анализа Анализ модифицированного пользовательского шаблона Глава 6 Применение политик на уровне сайта и домена Применение групповых политик на уровне сайта Сопоставление имен сайтов и IP-адресов Установка сайтовых политик для серверов Конфигурирование сайтовых политик установки программного обеспечения Переадресация папок на серверы сайта Установка политик Offline Files Задание домашних директорий и роуминга профилей Изменение интервала межсайтовой репликации Перемещение компьютеров и их пользователей между сайтами Настройка политики безопасности домена Сохранение первоначального объекта Default Domain Policy Проблемы, связанные с конфигурационными шаблонами Устранение ошибок, вызванных применением Securews. inf Результат применения Securedc. ini Диагностика других ошибок UserEnv и предупреждений SceCli Установка паролей программным методом для добавленных пользовательских зкаунтов Задание пользовательских прав на рабочих станциях Глава 7 Настройка политик на уровне структурной единицы Безопасность контроллеров домена Работа IIS 5.0 на контроллерах домена Ограничение прав пользователей Внесение изменений в политики распределения пользовательских прав структурных единиц DC Настройка локальных опций безопасности для контроллеров домена Ограничение членского состава групп Builtin Создание административной консоли для операторов учетных записей Создание необходимых файлов для операторов учетных записей Тестирование консоли и настройка опций безопасности Специальные файлы для группы Account Operators Формирование структурных единиц и создание GPO для серверов... 253 Копирование локальных политик DC в GPO серверов Шаблоны безопасности IIS 5.0 для вэб-серверов Конфигурирование Internet Explorer на клиентах Настройка Remote Access Policy Разрешение удаленного доступа всем пользователям Управление удаленным доступом через значения атрибутов Редактирование профиля телефонного соединения Настройка политики отключения удаленного доступа Передача управления OU Group Policy Глава 8 Настройка системных политик операционных систем предыдущих версий Как избежать конфликта клиентов Конфигурирование системных политик Windows NT Старшинство системных политик Системные и групповые политики на клиентах Windows 2000 Системные политики и модернизированные PDC Windows NT Редактор системных политик Просмотр настроек локальной политики Просмотр настроек удаленного компьютера Последовательность применения политик Компьютерные политики Windows NT Network System Windows NT Network Windows NT Printers Windows NT Remote Access Windows NT Shell Windows NT System Windows NT User Profiles Пользовательские политики Windows NT Control Panel Desktop Shell System Windows NT Shell Windows NT System Windows NT User Profiles Настройка системных политик Windows 9x Системные компьютерные политики Windows 98: Windows 98 Network Access Control Logon Password Proxy Server Клиенты Windows для сетей Microsoft Общие файлы и принтеры для сетей Microsoft Dial-Up Networking Update Компьютерные системные политики Windows 98: Windows 98 System User Profiles Network Paths Programs to Run Install Device Drivers Windows Update Пользовательские системные политики Windows 98: Windows 98 Network Пользовательские системные политики Windows 98: Windows 98 System Shell Restrictions Control Panel Desktop Display Restrictions Применение системных политик в тестовых и рабочих доменах Конфигурирование Internet Explorer 5+ Глава 9 Внедрение групповых политик в рабочих доменах Перемещение GPO из тестовых доменов в рабочие с помощью FAZAM 2000 Создание резервных копий GPO домена Копирование резервных GPO в рабочий домен Установление связей и фильтрация GPO с помощью FAZAM 2000 Administrator Другие опции FAZAM 2000 Сохранение и просмотр документации GPO Копирование, импортирование и слияние политик Передача прав администрирования Group Policy Устранение проблем при работе с Group Policy Распространенные ошибки Использование инструментов Group Policy пакета Resource Kit Использование программы Telnet для запуска Gpresult.exe на рабочих станциях Проверка локальных политик защиты Проверка ретроспективных установок Group Policy на клиентах Подключение расширенной опции журнала событий UserEnv Просмотр расширенного журнала Userenv.Log на рабочих станциях Создание расширенного журнала Event Viewer событий UserEnv Инструменты FAZAM 2000 для анализа и диагностики Анализ результирующего набора эффективных пользовательских и компьютерных политик Запуск утилиты Diagnostics на рабочих станциях Разрешение проблем, вызванных изменениями в конфигурации системы Многосетевые DC Проблемы DNS клиентов Приложение А Справочное пособие по Group Policy Политики безопасности домена и контроллеров домена Политики Computer Configuration Software Settings (Настройки программного обеспечения) Windows Settings (Настройки Windows) Scripts (Startup/Shutdown) Security Settings (Настройки безопасности) Account Policies (Политики учетных записей) Local Policies (Локальные политики) Event Log (Журнал событий) Restricted Groups (Ограничения по группам) System Services (Системные службы) Registry (Реестр) File System (Файловая система) Public Key Policies (Политики открытого ключа) IP Security Properties on Active Directory (Свойства IP в Active Directory) Административные шаблоны Windows Components (Компоненты Windows) NetMeeting Internet Explorer Task Scheduler (Планировщик) Windows Installer (Установщик Windows) System Logon Disk Quotas (Дисковые квоты) DNS Client Group Policy Windows File Protection Network Offline Files Network & Dial-Up Connections Printers Политики User Configuration Software Settings Windows Settings Internet Explorer Maintenance Browser User Interface Connection URL Security Programs Advanced Scripts (Logon and Logoff) Security Settings Remote Installation Services Folder Redirection Administrative Templates (Административные шаблоны) Windows Components NetMeeting Internet Explorer Administrator Approved Controls Windows Explorer Microsoft Management Console Task Scheduler Windows Installer Start Menu & Task Bar Desktop Active Desktop Active Directory Control Panel Add/Remove Programs Display Printers Regional Options Network Offline Files Network and Dial-up Connections System Logon/Logoff Group Policy Приложение В Использование приложения GroupPol для создания объектов Active Directory Роль приложения GroupPol Работа GroupPol под Windows 2000 Установка GroupPol на сервере или рабочей станции Первый запуск GroupPol Добавление пользовательских и компьютерных экаунтов для студентов и сотрудников Работа GroupPol под Windows NT 4.0 Установка GroupPol на компьютере Windows NT Первый запуск GroupPol под Windows NT Добавление пользовательских и компьютерных экаунтов Windows NT Тестирование компьютерных и пользовательских экаунтов Удаление GroupPol с вашего компьютера Приложение С Копирование доменов Windows NT посредством Active Directory Migration Tool (ADMT) Реструктуризация доменов и перевод пользователей MoveTree, NetDom и внутренняя миграция ClonePrincipal и внешняя миграция Реструктуризация и миграция с помощью ADMT Требования ADMT Тестовые сценарии реструктуризации домена под ADMT Конфигурирование доменов и установка ADMT Использование Мастеров ADMT Создание структурных единиц для групп и пользовательских зкаунтов Запуск Мастера отчетов Тестовая миграция пользователей и групп Копирование вторичных групп Копирование основных групп и их пользователей Обновление отчета Использование Мастера отмены Миграция компьютерных экаунтов Реструктуризация доменов Windows 2000