Доводилось ли вам когда-либо слышать от начальника такую тираду: «На прошлой неделе из-за прокола с групповыми политиками мы потеряли массу рабочего времени. Мы должны знать, кому мы этим обязаны, когда именно произошел сбой» и т. д.? К счастью для вас, система Windows Server, как и большинство других современных сетевых операционных систем, оснащается замечательными средствами регистрации. Но, к несчастью (опять же для вас), взаимодействие с этими средствами осуществляется с помощью программы Event Log. Дело в том, что эта программа практически не дает возможности отслеживать события, произошедшие не только на прошлой неделе, на даже и сегодня. Если вы знаете об этом не понаслышке, инструментальное средство, подобное продукту Group Policy Change Reporter от компании NetWrix, должно вас заинтересовать.
Group Policy Change Reporter представляет целое семейство полезных инструментов. Компания NetWrix выпускает множество продуктов для решения административных задач и составления отчетов; это такие программы, как Exchange Change Reporter, File Server Change Reporter, Disk Space Monitor и многие другие.
На протяжении последнего года я установил несколько приложений NetWrix, и они произвели на меня весьма благоприятное впечатление. Процесс установки во всех случаях был простым и понятным. Чтобы установить Group Policy Change Reporter, мне пришлось предварительно развернуть среду .NET Framework 2.0 и консоль GPMC (Group Policy Management Console). После выполнения этих действий собственно установка продукта заняла буквально несколько минут. В относительно небольших доменах приложение можно установить непосредственно на контроллере домена; в более крупных доменах, возможно, целесообразно будет воспользоваться выделенным сервером общего назначения (скажем, сервером, на котором хранятся обновления антивирусной программы и службы WSUS — Windows Server Update Services и т. п.).
После завершения установки на странице настройки отображаются параметры — домен, в котором вы планируете выполнять мониторинг, место расположения данных, время хранения журналов регистрации, а также учетная запись, в адрес которой следует направлять отчеты.
Для тестирования программы я создал организационную единицу (OU) с простой структурой и приступил к реализации ряда новых объектов групповой политики (GPO). Первым делом я создал GPO с именем PC-XP-Wait for Network (это важный параметр групповой политики в случаях, когда требуется развертывать программные средства на компьютерах с помощью GPO). Завершив реализацию этой настройки групповой политики, я ликвидировал связь данной групповой политики с организационной единицей, смоделировав тем самым действия младшего администратора, вносящего изменения в настройки сети производственного предприятия.
Чтобы ознакомиться с отчетом, касающимся внесенных мною изменений, я мог бы подождать ежесуточного отчета, который создается в 3 часа ночи. Не желая ждать так долго, я решил запустить отчет вручную с помощью планировщика Scheduled Tasks. Для его активизации в меню Start нужно последовательно выбрать элементы All Programs, Accessories, System Tools, Scheduled Tasks. Затем с помощью консоли NetWrix Enterprise Management Console я запустил специальный отчет. Через несколько секунд отчет, продемонстрированный на экране, открылся в окне браузера Internet Explorer. Как видите, отчет явно показывает, что я изменил настройку Group Policy, а именно значение параметра Link Status поменялось с Enabled на Disabled. Кроме того, здесь видно, что пользователем, внесшим изменение, был Administrator. Это важнейшая проблема отчетности: никогда не позволяйте вашим администраторам регистрироваться под именем Administrator: если они будут так поступать, вы никогда не узнаете, кто именно выполнил ту или иную задачу. Можете настроить систему так, чтобы отчеты поступали к вам каждое утро. Таким образом вы получите превосходную «картинку» того, какие задачи решали ваши администраторы на протяжении последних 24 часов.
Задача настройки структуры отчета Group Policy Change Reporter решается исключительно просто. Если вы хотите, чтобы программа генерировала расширенные отчеты (Advanced Reports), вам потребуется система SQL Server со службами отчетов SQL Server (SSRS). К счастью, на странице настройки вы можете получить подробные инструкции по всем этапам процесса. Можете выбирать из 13 встроенных отчетов, таких, например, как Account Lockout Policy Changes и Security Policy Changes.
Поддержка продуктов NetWrix осуществляется в общедоступном форуме, через мощную базу Support Knowledge Base с возможностями поиска, с помощью системы обработки заявок в подразделение онлайн-поддержки, а также бесплатно по телефону (только в Соединенных Штатах). Если вам требуется помощь в установке масштабной системы, компания NetWrix может предоставить платные услуги с целью облегчения развертывания, настроить систему и организовать подготовку персонала.
Group Policy Change Reporter — компактная программа с великолепными возможностями, которые могут быть расширены с помощью других продуктов семейства (например, Active Directory Change Reporter, Exchange Change Reporter). Продукт продается по умеренной цене и прост в установке. Если вам требуется простое в обращении и безотказное средство для подготовки отчетов, обеспечивающее мониторинг событий, происходящих в сети, обратите внимание на Group Policy Change Reporter.
Эрик Ракс (ebrux@mvps.org) — старший администратор сети Windows в крупной консалтинговой компании
Group Policy Change Reporter
ЗА: исключительно простая настройка для подготовки несложных отчетов; интерфейс, удобный для навигации с помощью оснастки MMC.
ПРОТИВ: аргументов нет.
РЕЙТИНГ: 5 / 5
ЦЕНА: от 2,50 до 4,00 долл. в расчете на подключенного пользователя в зависимости от числа пользователей; возможны скидки.
РЕКОМЕНДАЦИИ: если вам надоело постоянно искать ответ на вопрос, кто изменил параметры групповой политики, и если вам требуется полнофункциональное средство для подготовки отчетов, без колебаний выбирайте Group Policy Change Reporter.
КОНТАКТНАЯ ИНФОРМАЦИЯ: NetWrix, www.netwrix.com