Для системного администратора

Введение

Для начала, если вы не погружались в основы применения привилегий групповой политики, пришло время сделать это! Эта новая и бесплатная технология, предоставляемая компанией Microsoft, является мощным решением, дающим администраторам практически полный контроль над серверами и рабочими станциями. Когда вы завершите прочтение этой статьи, вы сможете вывести свою конфигурацию на новый уровень, и этим новым уровнем является нацеливание на уровень элементов (Item-Level Targeting). Благодаря нацеливанию на уровень элементов у вас есть более 25 различных способов и опций по контролю над приложениями привилегий групповой политики. Если этого не достаточно, нацеливание на уровень элементов является динамическим, и определяет не/соответствие текущей конфигурации компьютера нормам нацеливания на уровень элементов, и в случае несоответствия параметр политики не будет использоваться!

Где найти функцию нацеливания на уровень элементов?

Нацеливание на уровень элементов доступно только для привилегий групповой политики. Это далеко от идеала, но с учетом наличия более 3000 параметров привилегий групповой политики, это не слишком ограничивающий фактор. Поскольку нацеливание на уровень элементов является функцией привилегий групповой политики, вы найдете его в параметрах привилегий групповой политики в редакторе Group Policy Management Editor. Все параметры привилегий групповой политики содержат нацеливание на уровень элементов, поэтому, когда вы найдете этот элемент для одного параметра привилегий групповой политики, вы сможете найти их все.

Чтобы получить нацеливание на уровень элементов, сначала откройте консоль управления групповой политикой (Group Policy Management Console) на компьютере Windows Server 2008 или Windows Vista SP1. Затем создайте и измените GPO. Вы увидите системный узел высшего уровня, который состоит из конфигурации компьютеров и пользователей (Computer Configuration and User Configuration). В каждом из этих узлов вы увидите политики и привилегии. Узел привилегий содержит все параметры привилегий групповой политики, которые можно настроить. Далее разверните Привилегии (Preferences)\Параметры Windows (Windows Settings) узел во вкладке Конфигурация пользователя (User Configuration). Здесь вы увидите подробный список категорий подробностей. Я покажу вам нацеливание на уровень элементов в закладке Быстрых клавиш (Shortcuts), поэтому нажмите на закладке Shortcuts и выберите New\Shortcut.

В результате должна открыться страница свойств (Shortcut Property). Вам нужно будет заполнить информацию на этой закладке, чтобы перейти к нацеливанию на уровень элементов, поэтому заполните страницу свойств, как показано на рисунке 1.

Рисунок 1: Ярлыки привилегий групповой политики позволяет вам создавать ярлыки для пользователей и компьютеров

После заполнения первой закладки можно выбрать закладку Общие (Common). В закладке Common вы увидите опцию, в которой можно отметить нацеливание на уровень элементов. Если вы отметите эту опцию, а затем нажмете кнопку Нацеливание (Targeting), откроется редактор Targeting Editor (рисунок 2).

Рисунок 2: Каждая привилегия групповой политики может включать нацеливание на уровень элементов

Для чего нужно нацеливание на уровень элементов?

Действительная сила нацеливания на уровень элементов скрыта в специальных возможных целях. Я всегда спрашиваю своих учащихся и посетителей: “Как ВЫ собираетесь контролировать рабочие станции и серверы “. Нацеливание на уровень элементов может очень эффективно управлять контролем рабочих станций. Так что же может сделать нацеливание на уровень элементов, когда речь заходит о контролировании серверов и рабочих станций, учитывая привилегии групповой политики, которые их настраивают?

Рассмотрим эти сценарии:

• Принтеры настраиваются для пользователей ноутбуков на основе офисов филиалов (диапазон IP адресов или AD сайт), с которых они загружаются. Когда ноутбук покидает пределы офиса филиала, принтеры удаляются и создаются новые в новом месте расположения, в котором они загружаются.
• Сопоставление приводов динамически настраивается на основе текущего состояния машины. Это может быть приложение (устанавливаемое EXE приложение), настраиваемое значение системного реестра (может даже устанавливаемое обновление) или определенный пользователь получает принадлежность к определенной группе (Джо из отдела кадров входит в систему, и ему нужно сопоставить привод H: с данными Benefits на сервере Server4).
• Потребление энергии будет задаваться в соответствии с использованием. Можно применить параметры, чтобы компьютер никогда не входил в энергосберегающий режим в рабочее время, но входил в этот режим сразу после окончания рабочих часов. В этом случае компьютер будет настроен на экономию $50 с одного ПК в год.
• Теперь можно отмечать ноутбуки, как ноутбуки, а стационарные компьютеры, как стационарные компьютеры, используя переменные. Затем вы можете использовать эти переменные для настройки прочих параметров безопасности, конфигурации и системы.

Все эти настройки осуществляются путем определения опции нацеливания, которые доступны в редакторе Targeting Editor, как показано на рисунке 3.

Рисунок 3: Редактор Targeting Editor позволяет вам выбирать одну или более 25 целей для управления применением/неприменением параметров привилегий групповой политики

Как часто обновляется нацеливание на уровень элементов?

Как мы все знаем, обновление групповой политики в фоновом режиме происходит каждые 90 минут, плюс – минус 30 минут. Итак, по сути, групповая политика постоянно эволюционирует, так как каждые полтора часа применяются новые параметры. В случае, если с нормальными параметрами групповой политики не будет появляться никаких новых параметров, политика не будет применяться.

Нацеливание на уровень элементов действует не так! Вместо этого, при каждом фоновом обновлении нацеливание на уровень элементов производит оценку состояния компьютера на предмет необходимости применения или удаления определенных параметров, которые связаны с нацеливанием на уровень элементов. Это обеспечивает очень динамичную и хорошо контролируемую среду.

Примечание: чтобы удалить параметры привилегий групповой политики, когда целевой компьютер не отвечает целевым критериям, вам нужно отметить опцию “Удалить этот элемент, если он больше не используется (Remove this item when it is no longer applied)” в закладке Общие параметров привилегий групповой политики. Если эта опция не отмечена, то параметр групповой политики будет продолжать действовать на компьютере так же, как и старые параметры “tattooing settings”.

Заключение

Нацеливание на уровень элементов является бесплатным, доступным, зарекомендовавшим себя и готовым к использованию уже сегодня в вашей среде. Я знаю, что это может звучать банально, но это действительно так. Привилегии групповой политики и нацеливание на уровень элементов существуют уже давно, а теперь, когда вы можете получить их бесплатно (они поддерживаются на машинах Windows XP SP2 и Windows Server 2003 SP1), вы можете в полной мере воспользоваться контролем, который предоставляет вам нацеливание на уровень элементов. Помните, что для каждого параметра привилегий групповой политики имеется нацеливание на уровень элементов. Это означает, что вы можете контролировать каждый параметр групповой политики четкой целевой системой, которая может применять или удалять параметр каждые девяносто минут. Опции и сценарии просто поражают, и я уверен, что вы сможете подобрать для себя определенные сценарии, которые будут отвечать вашим требованиям.

Автор: Дерек Мелбер (Derek Melber)