Подобно картофелю фри, который обычно берут с чизбургером, объекты групповой политики (Group Policy Objects — GPO) — это отличный “гарнир” к справочнику Active Directory (AD) компании Microsoft. В свою очередь, продукты третьих фирм для управления групповой политикой можно сравнить с кетчупом — замечательная приправа и для того и для другого, не правда ли?
Управление групповой политикой в организациях, работающих со справочником AD компании Microsoft, на первый взгляд вещь совершенно несложная. Оно позволяет администраторам контролировать с центральной консоли изменения и разнообразные установки для всех пользователей и компьютеров в пространстве AD. Но некоторые ИТ-профессионалы избегают применять средства групповой политики. Хотя функциональность Group Policy являлась неизменной составной частью ОС Windows, начиная с версии Windows 2000, она до сих пор имеет недостатки, способные серьезно испортить жизнь системному администратору. Например, в крупных доменах, управляемых несколькими администраторами, последним приходится соблюдать особую осторожность, ведь средства групповой политики AD весьма мощные и в режиме реального времени меняют установки, влияющие на каждый компьютер и на каждого пользователя в домене в режиме реального времени, но при этом здесь совершенно отсутствуют настоящие средства контроля изменений и версий. Наша задача — найти решение этой проблемы.
У нас есть для вас хорошая новость: Microsoft публикует API-интерфейсы, связанные с групповой политикой, и уже имеется ряд приложений третьих фирм, помогающих восполнить пробелы в исходной утилите. Мы решили выяснить, способны ли эти приложения устранить некоторые из имеющихся недостатков. В первую очередь к ним относятся отсутствие в групповой политике AD возможности определить, кто, когда и какие установки менял, что просто необходимо, если “суп в одном котле варят” несколько “поваров”-администраторов. Проблема усугубляется тем, что объекты GPO, содержащие индивидуальные параметры, которые устанавливаются для пользователя или компьютера, хранятся на уровне домена в AD и могут быть модифицированы только внутри четко отлаженной среды справочника. В противном случае — и мы не раз наблюдали эту картину — уже через пару минут простейшие изменения, внесенные незадачливым администратором на уровне домена, в результате шквала возмущенных звонков пользователей тут же приводят к параличу службы технической поддержки.
Опытные ИТ-сотрудники справляются с этой проблемой за счет разбиения своих GPO-объектов на более мелкие, чтобы каждый из них определял как можно меньшее число правил групповой политики. Это позволяет быстро отменить изменения, вызвавшие массовые отказы, не затронув другие, работающие GPO. Но результатом таких ухищрений становится появление десятков, если не сотен, GPO в домене AD. Дело в том, что, чем больше GPO-объектов применяется в AD, тем медленнее идет процедура регистрации пользователя в сети.
У групповой политики в AD имеются и другие недостатки: она охватывает только членов доменов Windows XP/2000/2003 — значит, возможность использовать GPO-объекты в средах Mac OS, Unix, Linux и вне доменов (для тех, кто в них не зарегистрирован) просто отсутствует. И хотя стандартными средствами групповой политики можно определять развертывание ПО, они по своим возможностям и удобству не идут ни в какое сравнение с пакетами управления для настольных систем, такими, как ПО компаний Altiris или LANDesk — в частности, с точки зрения возможностей той же инсталляции ПО.
И наконец, система обеспечения групповой политики Microsoft изначально имеет ограниченный набор средств. Так, даже выполнение такой простой задачи, как развертывание ярлыков на рабочем столе, требует написания сценария. И хотя само развертывание выполняется довольно просто, сценарии создавать сложно и трудно их отлаживать. Единственный способ проверить, что сценарий работает правильно, — это испытать его самому, поскольку сценарии не заносят информацию о внесенных изменениях в отчеты Resultant Set of Policy.
Постановка задачи
Приступая к нашему исследованию, мы хотели найти продукты, которые устраняли бы все эти недостатки, но выяснилось, что ни один из пакетов полностью с этой задачей не справляется. Поэтому мы сузили диапазон критериев сравнения до двух самых важных областей: управление групповой политикой и расширение функциональности настроек групповой политики.
В качестве потенциальных участников нашего тестирования мы рассматривали пакеты компаний Centrify, Configuresoft, DesktopStandard, FullArmor, NetIQ, Quest Software, ScriptLogic, Special Operations Software и Symantec BindView. Но, проанализировав ситуацию, три фирмы мы исключили из списка еще до рассылки приглашений: пакет Specops Deploy 3.1 компании Special Operations Software лишь улучшает компонент развертывания ПО средствами групповой политики AD, продукт DirectControl 2.0 компании Centrify интегрирует с AD платформы Unix, Linux, Mac OS и Java, тогда как пакет PolicyPortal 1.0 компании FullArmor позволяет расширить функции групповой политики на не охваченные справочником AD машины Windows. Все это продукты нужные, но для данного обзора они не подходят.
Приглашения мы разослали оставшимся поставщикам. Компании DesktopStandard, NetIQ и Quest условия тестирования приняли безоговорочно. Фирма BindView отказалась от участия в нем, сославшись на свое недавнее поглощение компанией Symantec. Компания ScriptLogic отклонила приглашение, поскольку ожидала выхода новой версии своего продукта, а Configuresoft прислала отказ, не потрудившись даже сообщить причину.
Для исследования продуктов мы создали небольшой домен Windows 2003, соответствующий сценарию тестирования групповой политики на вымышленном кондитерском предприятии, названном в честь автора статьи Fudge Co., и инсталлировали каждый продукт в свою собственную, но идентичную другим продуктам среду. При оценке каждого продукта мы исходили из его набора средств управления групповой политикой, функциональных расширений, простоты использования и управляемости, детализации настройки средств безопасности и контроля доступа, полноты отчетов, средств мониторинга и, разумеется, цены. Мы просили поставщиков сообщить нам стоимость решения для организации, в которой работает 1000 сотрудников — пользователей ПК и установлено 1000 компьютеров в едином домене AD.
Все поставщики, принявшие наше приглашение, предоставили отдельные продукты для контроля изменений и управления групповой политикой и средства расширения ее настроек, так что в каждом случае тестировалось по два продукта. Таким образом, теоретически вы можете приобрести решение одного поставщика для управления групповой политикой, а другого — для расширения функциональности. Но мы такой вариант не рекомендуем, поскольку столкнулись с трудностями, пытаясь заставить расширения от одного поставщика работать с управляющим приложением другого.
Беремся за дело
Протестированные нами приложения управления групповой политикой: GPOVault Enterprise компании DesktopStandard, Group Policy Administrator компании NetIQ и Group Policy Manager компании Quest Software — имеют ряд общих свойств. Все они спроектированы так, что множество клиентов могут устанавливать соединения с серверными компонентами продукта, а в качестве клиентских компонентов выступают интегрируемые модули, или оснастка (snap-in), для Microsoft Management Console (MMC). В каждом продукте используется репозиторий для хранения GPO-объектов в автономном режиме, т. е. вне работающей среды AD. Но место хранения у разных продуктов варьируется. Самым гибким в этом отношении был продукт Quest, позволивший нам на выбор разместить репозиторий на SQL Server, MSDE, AD, ADAM (Active Directory Application Mode) или в указанном месте файловой системы (в нотации UNC). репозиторий пакета Group Policy Administrator компании NetIQ может храниться только на сервере SQL Server или MSDE, а репозиторий GPOVault — инсталлироваться лишь по UNC-указателю или в локальной файловой системе.
Мы могли редактировать, защищать и в некоторых случаях организовывать GPO-объекты независимо от “живой” среды AD и без тестового домена. Каждый продукт обеспечивал исполнение принципов контроля изменений и управления в репозитории для полного управления всем жизненным циклом GPO. репозиторий позволяет хранить несколько версий GPO, причем мы могли просматривать различия между версиями GPO, хранящимися в репозитории и реально запущенными. Это удобно, когда нужно выяснить, кто, что и когда менял. У каждого протестированного нами продукта такая возможность имеется, но лучшим в этом плане оказался пакет фирмы Quest — с ним мы могли не только сравнивать версии, но также сортировать и фильтровать их по предыстории изменений GPO.
Все продукты имеют встроенные AD-интегрированные средства безопасности, позволившие нам так конфигурировать GPO в репозитории, чтобы только определенные пользователи, группы или ролевые объекты могли менять, создавать или публиковать их. Когда пришло время разворачивать репозиторий в AD, это для нас выполнил Windows-сервис. Таким образом, пользователю, имеющему полномочия публиковать GPO-объекты из репозитория, не потребуются особые полномочия для работы с AD.
К нашему разочарованию, ни один из протестированных продуктов не предоставил нам возможности осуществлять поиск в пространстве объектов GPO по отдельным параметрам групповой политики, тогда как типичным раздражителем при работе со средствами управления групповой политики является необходимость выяснить, какие из 1600 с лишком параметров сконфигурированы в заданном GPO. В крупных организациях, у которых во множестве доменов может быть несколько десятков GPO, эта задача сродни поиску иголки в стоге сена. Но ни в одном продукте не было предложено ничего более лучшего, чем уже включенное в консоль GPMC (Group Policy Management Console) средство компании Microsoft, позволяющее искать GPO по названию, полномочиям или способу компоновки GPO. В продукте Quest есть удобная утилита поиска по отдельным параметрам групповой политики, но ею можно пользоваться только при создании шаблонов.
По поводу каждого из этих продуктов мы задавались одним вопросом: что случится с GPO в репозитории, когда AD-администратор вдруг возьмет и изменит уже запущенный в работу GPO. Все протестированные пакеты позволяют сравнивать на предмет отличий работающий GPO и его последнюю версию в репозитории, но только GPOVault автоматически записывает в репозиторий изменения настроек в работающем объекте GPO. Но и этот продукт здесь останавливается, не делая шаг дальше и не предлагая возможности согласования двух версий для обеспечения их совместимости, в результате при повторном развертывании GPO из репозитория его работающая версия оказывается потерянной. Итак, как только вы инсталлируете продукт управления групповой политикой от третьей фирмы, приходит конец эпохе прямого редактирования GPO-объектов.
Что касается расширений функциональности клиентской стороны управления групповой политикой, то все продукты: PolicyMaker Standard вместе с Application Security Bundle компании Desktop
Standard, Group Policy Extensions фирмы Quest и IntelliPolicy компании NetIQ — позволили нам использовать средства групповой политики для развертывания сетевых дисков и принтеров, файлов, папок, ярлыков, менять параметры управления энергопотреблением, установки реестра и принадлежность к локальным группам. Предложения компаний DesktopStandard и NetIQ включали в себя функции для повышения и ограничения привилегий пользователей на работу с приложениями. Настройки для офисного пакета Microsoft позволяют развернуть продукты DesktopStandard и Quest. И все пакеты предоставляют средства для установки фильтра на область действия для расширений GPO, что является полезным, когда данные установки нужно применить, например, только для конкретной версии ОС.
Руководствуясь соображениями, что хотя эти утилиты и облегчают жизнь сотрудникам ИТ-отделов, но на прибыли почти не влияют, а значит, должны быть недорогими, мы присвоили категории “цена” значимость, равную 20%. Кроме того, манера Microsoft включать в новые версии своих ОС разработки третьих фирм делает приобретение таких продуктов несколько рискованным.
Что выбрать?
Любой из этих продуктов сделает групповую политику более эффективной, и все они получили от нас достаточно высокие оценки. Продукт компании Quest был лучшим среди приложений управления групповой политикой, зато расширения функциональности средств групповой политики компании DesktopStandard были на голову выше расширений всех конкурентов.
Так почему бы не рекомендовать приобретение пакета управления групповой политикой от компании Quest и расширений от фирмы DesktopStandard? Потому, что эти продукты друг с другом “не дружат”, и главным образом из-за того, что приложение
Quest не распознает функциональных расширений DesktopStandard. Выглядит это так: расширения обеспечивают дополнительные установки для групповой политики AD, чтобы администраторам не приходилось писать сценарии выполнения таких задач, как развертывание ярлыков, введение буквенных обозначений дисков и конфигурирование параметров управления энергопотреблением, тогда как приложения управления политикой облегчают вам жизнь за счет средств контроля изменений в ней и удобства самого управления. Но, поскольку друг с другом они не работают, вам придется разрабатывать политики и управлять ими прямо в работающем справочнике AD и вы не сможете воспользоваться преимуществами средств контроля изменений в репозитории.
Наши рекомендации: если вам нужен только контроль изменений, то подойдет продукт Quest. Если вам нужны расширения, то выбирайте Desktop-
Standard, при необходимости же иметь и то и другое берите полный комплект от DesktopStandard, если, конечно, вам это по карману. К сожалению, ни один поставщик не поддерживает расширения своих конкурентов. Это и понятно, хотя мы такого положения дел не одобряем.
Group Policy Manager 2.5, Group Policy Extensions 2.0.1 компании Quest Software
Приложение Group Policy Manager компании Quest имело самый богатый набор средств управления групповой политикой среди всех протестированных нами. Даже конфигурирование сервера наделено массой опций, позволяющих хранить систему контроля версий в AD, ADAM, SQL Server/MSDE или на общем сетевом ресурсе. Причем в любой момент вы можете передумать, изменив место хранения прямо в приложении.
Продукт Group Policy Manager имел также наиболее детализированные модели визирования изменений (workflow), уведомлений и безопасности по сравнению с другими продуктами. В результате мы могли настраивать систему контроля версий GPO так, как считали нужным. Но, разумеется, высокая детализация часто усложняет конфигурирование. Задание полного набора установок модели безопасности и уведомлений иногда отнимает довольно много времени (в зависимости от числа настраиваемых параметров).
Мы могли организовать GPO-объекты в репозитории, на котором базируется функциональность контроля версий, в логические контейнеры и подконтейнеры. Если для контейнера задать параметры безопасности и уведомления, то все GPO в нем унаследуют эти установки. Установки уведомлений на основе ролевой модели отличаются высшей степенью детализации, и мы задавали уведомления для любого этапа визирования изменений. Когда мы тестировали этот аспект использования продукта, то обнаружили, что каждое изменение в репозитории требует утверждения ответственного лица в заданной ролевой модели, даже если его вносит администратор репозитория.
Два других протестированных продукта требовали разрешающей санкции только в момент регистрации в системе или при развертывании групповой политики в производственной среде. Негативный аспект использования всех этих продуктов состоит в том, что у каждого из них имеется своя собственная, жестко прописанная модель визирования изменений, не допускающая настройки. Мы могли менять уведомления и роли, но не корректировать название каждого действия и не определять, какие действия требуют визирования.
Как и все прочие приложения, Group Policy Manager поставляется со встроенными ролями системы безопасности для обычных видов деятельности, как-то: редактирования, визирования и компоновки GPO, но что отличает именно этот продукт, так это предоставляемая возможность создавать свои собственные роли безопасности. Так, мы определили специальную роль, названную нами creator-approver (“тот кто разрабатывает и одобряет”), и присвоили ее группе AD Security, разрешив тем самым ее членам создавать и утверждать, или визировать, но не редактировать GPO в репозитории.
Эта роль в нашем тестовом домене Fudgeco.com должна была исполнять функции главного арбитра в вопросе формирования самого объекта GPO, имеющего решающий голос при развертывании GPO в AD, но не при принятии решений о том, какие политики должны применяться к каким пользователям. Эта возможность будет полезной для применения в крупных AD-средах, состоящих из одного домена, но имеющих множество администраторов, где формальный процесс утверждения изменений координирует внесение изменений в действующий справочник AD. И хотя мы могли воспроизвести те же самые операции по формированию системы безопасности в других продуктах, только пакет от фирмы Quest позволил нам вводить собственное ролевое имя, что облегчает повторное использование сложной системы настроек и ее понимание без необходимости изучать списки контроля доступа.
Функции шаблонов, включенные в Group Policy Manager, оказались наилучшими среди таковых в протестированных нами продуктах. Мы создавали и редактировали шаблон, не создавая предварительно объекта GPO. Причем репозиторий шаблонов и модель безопасности находятся в собственных областях системы контроля версий, что позволяет с легкостью применять к шаблонам отдельные наборы установок безопасности. К любому GPO мы применяли один или несколько шаблонов. Если при этом возникает конфликт установок между GPO и шаблоном, то последний перезаписывает существующие установки GPO. Нам нужен был механизм, позволяющий проанализировать последствия перед выполнением такой перезаписи, и мы нашли отчет, который можно запустить для сравнения установок шаблона с установками GPO. С его помощью администраторы нашего домена Fudgeco повторно применили установки к GPO, чтобы ввести в действие новые установки или аннулировать установки групповой политики, введенные, например, администратором другой организационной единицы (OU — Organizational Unit).
Подход, реализованный в продукте Group Policy Extensions, несколько отличался от подходов, примененных в двух других протестированных продуктах. Вместо того чтобы предложить нам набор установок в редакторе Group Policy Object Editor, расширения от Quest развертываются с помощью шаблонов. Сначала мы должны были установить рабочую станцию-образец и сконфигурировать ее параметры, настройки принтеров и ярлыки, которые хотели бы развернуть. После этого мы воспользовались Template Capture Wizard для сбора (путем захвата с рабочей станции) всех этих установок в шаблон, а затем импортировали его в редактор GPO. Весь этот процесс был вовсе не так плох, как может показаться, а редактор GPO позволил нам возвращаться и включать, исключать или повторно собирать (захватывать) определенные установки. Существенным недостатком пакета является то, что развертывание установок групповой политики для конкретного расширения является предложением из разряда “все или ничего”. Мы не могли просто поменять один параметр — например, запретить совместное использование файлов, не развернув все опции папки Explorer.
GPOVault Enterprise 2.2, PolicyMaker 2.5 — Application Security Bundle компании DesktopStandard
Смыслом существования пакетов управления групповой политикой является восполнение пробелов, оставленных средствами Microsoft, такими, как GPMC-консоль. Но, вместо того чтобы снова изобретать колесо, чем занялись другие поставщики, DesktopStandard предложила подключаемые модули (plug-in) к GPMC-консоли, позволяющие добавить недостающие ей функции. Результат? GPOVault тесно интегрирован с консолью GPMC, и если ваши администраторы хорошо знают это средство, то им непременно понравится GPOVault. Это и правда удачная идея, дающая возможность обойтись без еще одного пользовательского интерфейса, однако в результате продукт может несколько пострадать от ошибок, имеющихся в самой GPMC.
GPOVault имеет структурированную систему визирования изменений с предопределенными уведомлениями для заданных задач, таких, как их создание, развертывание или удаление с уведомлением только лица, наделенного инспектирующей ролью (reviewer role). В результате невозможно получить уведомление, когда пользователь отлаживает GPO. Более того, все уведомления посылаются одной и той же группе пользователей. Система контроля версий имеет некоторый встроенный “интеллект”. Например, если вы создаете GPO как администратор, то нет необходимости в визировании этих изменений. Кроме того, у GPOVault имеется “корзина” (recycling bin), чего нет ни в одном другом продукте. Это обеспечивает дополнительный уровень резервирования данных при операции удаления, что очень полезно, когда на “кухне кашеварят сразу несколько поваров” (читай — администраторов).
Из трех расширений для групповой политики продукт PolicyMaker + Application Security Bundle компании DesktopStandard был, несомненно, самым дорогостоящим, но и самым мощным и насыщенным средствами управления. Это и дало в результате хорошее соотношение цена/качество.
При тестировании мы с радостью обнаружили все те категории расширений установок групповой политики, какие обычно имеются в панели управления Windows, настройки принтеров, папок, энергопотребления, запланированных заданий, Интернета, почтовых профилей и т. д. Они отображались так же, как в соответствующих аплетах панели управления Windows.
Включенный в продукт модуль Application Security позволил нам использовать групповую политику для разрешения определенным приложениям работать с повышенными или сниженными уровнями привилегий. Хотя IntelliPolicy компании NetIQ тоже с этой задачей может справиться, но DesktopStandard позволяет сделать это без использования дополнительной учетной записи или сервиса Windows RunAs; вместо этого жетон безопасности (security token) приложения модифицируется в момент запуска программы. Отметим, что некоторые продукты обеспечения безопасности выявляют и блокируют такого рода деятельность, что представляет собой потенциальную проблему. Но на машинах, которые мы задействовали в тестировании и где работали пакеты McAfee EPO 8.0i и Windows Defender beta, у нас никаких трудностей не возникало.
Group Policy Administrator 4.6, FullArmor IntelliPolicy 1.5.1 компании NetIQ
Из всех протестированных продуктов Group Policy (GP) Administrator поставил нам самые жесткие условия: чтобы на нашем тестовом сервере были инсталлированы по крайней мере IIS 5.0 и Microsoft SQL Server/MSDE. И когда мы устанавливали консоль на нескольких рабочих станциях администраторов, то нам пришлось также инсталлировать и MSDE, хотя у нас было соединение с центральной базой данных. Group Policy Administrator был задуман как полная замена консоли GPMC. Пользовательский интерфейс администратора здесь воссоздает и в некоторых случаях улучшает средства, имеющиеся у исходной утилиты Microsoft. Так, средство GP Explorer служит для администрирования уже запущенных объектов GPO и во многом копирует функции GPMC. А GP Repository является средством контроля версий и управления GPO в автономном режиме.
При сравнении с другими продуктами, которые мы испытывали, Group Policy Administrator обладает некоторыми уникальными качествами, но ему не хватает некоторых ключевых средств. К преимуществам же относится то, что его система уведомления по электронной почте так же хороша, как у решения фирмы Quest: она позволила нам установить уведомления любому пользователю для любого объекта и любой операции, причем всеми уведомлениями мы управляли из одного экрана, что весьма удобно. Продукт компании NetIQ был единственным, позволявшим редактировать GPO репозитория из того же самого окна консоли, не прибегая к редактору объектов групповой политики компании Microsoft, что экономит время и помогает при редактировании поддерживать GPO в контексте с его местом в репозитории.
Средство проверки “исправности” объекта GPO было одним из самых изящных среди протестированных продуктов. Оно позволяет сравнить рабочий GPO в справочнике AD с тем, который хранится в папке Sysvol и, в частности, проверить целостность соответствующих настроек безопасности. Поскольку в репозитории содержатся копии объектов AD, то, если обнаружится какое-то их несоответствие с рабочими GPO, вы всегда сможете повторно развернуть версию из репозитория.
Пакету GP Administrator недостает некоторых ключевых средств, имеющихся у его конкурентов, таких, как возможность сортировать и фильтровать предысторию GPO, создавать шаблоны и добавлять метки к GPO в репозитории. И хотя пользователи репозитория добавляют комментарии, когда вносят изменения в GPO, нам приходилось просматривать эти комментарии по отдельности в предыстории GPO. Более того, предысторию GPO нельзя отсортировать по пользователю или дате, а комментарии нельзя добавлять к GPO, предварительно его не отключив. Самым же большим недостатком продукта является отсутствие шаблонов, так что вы не сможете помочь другим администраторам, упаковав установки групповой политики для межсетевых экранов Windows, развертывания ПО или для службы Windows Server Update Services.
Как и PolicyMaker, продукт IntelliPolicy позволяет конфигурировать свои расширения из редактора объектов групповой политики и включает средства фильтрации. Хотя IntelliPolicy имеет не так много установок политик, как его конкуренты (особенно заметно отсутствие опций конфигурирования меню “Пуск” и папок), но он не уступает продукту компании Quest в способности запускать приложения с повышенными или ограниченными привилегиями.
Расширения клиентской стороны, задействованные в GPO, могут заметно увеличить общее время обработки обновления групповой политики. И это главная причина, почему каждый из протестированных нами продуктов-расширений групповой политики AD содержит некие средства фильтрации. Нам понравилась предоставленная IntelliPolicy возможность сгруппировать расширения по категориям, а затем применить к ним фильтр. Благодаря этому мы с легкостью выполнили тест, при котором распространяли на рабочие станции программу, добавляли ярлык этой программы в меню “Пуск” для всех компьютеров в отделе Project Management Group, а затем с помощью фильтра ограничили область действия политики только рабочими станциями с Windows XP. Такого рода средства помогают сдерживать рост развертываемых GPO, что уменьшает время их обновления..
Автор Майкл Фадж-младший
Вязто с Сети и системы связи