Прошло около года со времени публикации моей последней статьи о некоторых типичных недостатках групповой политики, с которыми мне приходилось сталкиваться. С тех пор некоторые свойства групповой политики изменилось, но многое осталось прежним. Компания Microsoft выпустила новый компонент Group Policy Preferences, благодаря которому значительно расширились возможности групповой политики Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP. Однако администраторы по-прежнему недовольны сложностью групповой политики, хотя хорошо отзываются о возможностях. Рассмотрим некоторые изъяны групповой политики и пути их устранения.
Развертывание Office 2007
Выпуская Office 2007, компания Microsoft, очевидно, проигнорировала интересы тысяч ИТ-администраторов, использующих компонент Group Policy Software Installation (GPSI) для развертывания Office на настольных компьютерах. В лучшем случае возможности групповой политики для развертывания Office 2007 значительно скромнее, чем для Microsoft Office 2003. В худшем случае GPSI для развертывания Office 2007 совершенно бесполезен. Что же произошло и как преодолеть неожиданное препятствие?
Microsoft полностью изменила модель установки Office 2007. Компания по-прежнему предоставляет необходимый для установки Office файл Windows Installer (.msi), но отказалась от поддержки важнейших файлов преобразований. В прежних версиях Office администраторы использовали файлы преобразований в процессе GPSI-установки для настройки способа развертывания экземпляров Office. С помощью файла преобразований можно ввести лицензионные коды, выбрать устанавливаемые приложения и даже настроить параметры приложений комплекса Office.
Однако Office 2007 не поддерживает преобразований. Администраторы могут применять MSP-файлы Windows Installer для настройки устанавливаемых экземпляров Office, но GPSI не может использовать MSP-файлы. Поэтому Microsoft предоставляет файл config.xml, который можно использовать вместе с GPSI для настройки Office. Config.xml подробно описан в статье Microsoft «Use Group Policy Software Installation to deploy the 2007 Office system» по адресу technet.microsoft.com/en-us/library/cc179214.aspx. Но с помощью config.xml можно лишь указать, какие приложения Office следует установить через GPSI. Для любых других настроек необходимо подготовить MSP-файлы с использованием административного инструментария Office. И конечно, нельзя использовать MSP-файлы внутри GPSI. Существуют ли иные выходы из ситуации, кроме покупки продукта развертывания программного обеспечения или отказа от развертывания Office 2007?
Альтернативный вариант — использовать сценарий регистрации групповых политик для развертывания специального сценария, в котором применяется как программа установки Office, так и MSP-файлы. Подробное описание этого подхода приведено в статье Microsoft «Use Group Policy to assign computer startup scripts for 2007 Office deployment» по адресу technet.microsoft.com/en-us/ library/cc179134.aspx. Недостаток сценария регистрации заключается в невозможности, в отличие от GPSI, управлять жизненным циклом приложений, в том числе исправлять, обновлять и удалять приложения с помощью групповой политики. Но подход на основе сценария регистрации, по крайней мере, позволяет развернуть Office 2007 с использованием групповой политики без дорогостоящего решения по развертыванию программного обеспечения.
Групповая политика в сетях VPN
Поступает много вопросов от администраторов, пытающихся применить групповую политику к мобильным пользователям. Часто им требуется ослабить настройки групповой политики, установленные в корпоративной среде, для сотрудников, работающих вне офиса. К сожалению, групповая политика не очень удобна для мобильных пользователей.
В первую очередь нужно отметить, что обработка групповой политики выполняется только в том случае, если компьютер установил связь с контроллером (DC) в домене, к которому он принадлежит. Поэтому если мобильный пользователь работает дома со служебным ноутбуком, не подключенным с сети компании через VPN, групповая политика не обрабатывается. Применяются параметры, полученные ноутбуком во время последнего сеанса связи с сетью компании. Например, если пользователь работал с proxy-сервером в сети компании, то он будет работать с ним же и вне сети.
Когда пользователь подключается к сети компании через VPN, компьютер обрабатывает групповую политику как обычно, хотя и через более медленный канал связи. Помните, что фоновая обработка производится каждые 90 минут, с учетом случайного смещения продолжительностью 30 минут, на рабочих станциях и автономных серверах, которые являются членами домена. На компьютерах с Vista есть функция Network Location Awareness Refresh. Если автономный компьютер Vista неудачно пытается обновить групповую политику, она обновляется почти немедленно после того, как DC вновь станет доступным.
Необходимо учитывать, что, за исключением случаев, когда VPN-соединение предоставляется внешним устройством, а не рабочей станцией, удаленный компьютер не сможет обработать политики определенных видов. Например, политики для отдельных компьютеров, выполняемые только при запуске компьютера, такие как развертывание программ или сценарии регистрации, не работают, если VPN-соединение с DC недоступно в процессе загрузки операционной системы компьютера. Кроме того, политики пользователей, требующие процедуры регистрации (например, развертывание специальных программ или сценарии регистрации) не работают, если только пользователь не регистрируется в Windows с использованием параметра Logon using dial-up connection на экране регистрации.
Наконец, предположим, что нужно провести удаленного пользователя по процессу отмены некоторых параметров корпоративной политики. Логично предположить, что пользователь, изменив локальный объект групповой политики (GPO), может временно отменить установленные ранее параметры домена. Но это не так. Если у присоединенного к домену компьютера нет связи с DC, Windows игнорирует любые изменения в настройках пользователя, сделанные в локальном объекте GPO, так как обработка политики не выполняется, когда компьютер функционирует в автономном режиме.
Обойти это досадное препятствие весьма трудно, но можно проявить творческий подход. Можно задействовать объекты GPO, связанные с сайтами, применив альтернативные настройки к компьютеру или пользователю, подключающемуся к DC из IP-подсети, выделенной для VPN-клиентов. Проблема в том, что связанные с сайтами объекты GPO находятся в иерархии обработки ниже, чем более широко применяемые пользователями объекты GPO, связанные с доменом и организационной единицей. Даже если действуют связанные с сайтами объекты GPO, смягчающие блокировки, они будут отменены другими объектами GPO.
Проблему можно обойти, установив ссылку на связанном с сайтом объекте GPO в значение Enforced. Благодаря флагу Enforced параметры связанного с сайтом объекта GPO имеют приоритет, даже если нижестоящие объекты GPO конфликтуют с ним. Недостаток использования Enforced заключается в трудности управления связанными с сайтом объектами GPO, так как сайты могут охватывать несколько доменов. Если управление связанными с сайтом объектами GPO не вызывает трудностей, то метод с флагом Enforced может оказаться удачным.
Еще одно неординарное решение — новые предпочтения групповой политики Group Policy Preferences. С помощью предпочтений групповой политики можно задать настройки GPO, а затем в соответствии с методом, известным как «указание на уровне элемента», использовать различные детализированные фильтры для применения настроек к определенным компьютерам. В частности, можно применить фильтр диапазона IP-адресов, показанный на экране.
Выполняя фильтрацию по диапазону адресов, назначенных VPN-клиентам, в предпочтениях групповой политики можно применить политики реестра, которые отменяют настройки, указанные в политике административных шаблонов. Поскольку расширение реестра предпочтений групповой политики запускается после расширения административных шаблонов, данный подход отменяет политику административных шаблонов, когда компьютер или пользователь подключен к подсети VPN. К сожалению, политику административных шаблонов нужно применить, когда пользователь вернется в сеть компании, а этого не случится, если не запускать политику административных шаблонов принудительно в каждом цикле обновления групповой политики.
Вывод: хотя единого решения для управления безопасностью мобильных пользователей не существует, есть несколько творческих способов облегчить работу таких пользователей, не отсоединяя их компьютеры из домена AD.
Жизнь с групповой политикой
Групповая политика — мощный инструмент управления конфигурацией настольного компьютера, полезный, однако не во всех случаях. Иногда работать с ним трудно, как показано в приведенных выше примерах. Благодаря такому новшеству, как предпочтения групповой политики, администраторам предоставляются более широкие возможности. В следующий раз при возникновении проблем с групповой политикой вспомните о том, что творческий подход к применению сценариев и предпочтений групповой политики поможет обойти проблемы и использовать преимущества этой мощной технологии, чтобы установить полный контроль над настольными компьютерами и серверами Windows.
Даррен Мар-Элиа (dmarelia@windowsitpro.com) — редактор Windows IT Pro, технический директор и учредитель компании SDM Software