Administarcja dla leniuchów

Marzenie każdego administratora to sieć, której zarządzanie jest całkowicie zautomatyzowane. Brak konieczności mozolnego klikania tych samych opcji na wielu komputerach zmniejsza ryzyko pomyłki, a dodatkowo oszczędza mnóstwo czasu. Windows Server 2003 ma wbudowane mechanizmy, które pozwalają w dużym stopniu zoptymalizować wykonywanie nudnych zadań.

Marzenie każdego administratora to sieć, której zarządzanie jest całkowicie zautomatyzowane. Brak konieczności mozolnego klikania tych samych opcji na wielu komputerach zmniejsza ryzyko pomyłki, a dodatkowo oszczędza mnóstwo czasu. Windows Server 2003 ma wbudowane mechanizmy, które pozwalają w dużym stopniu zoptymalizować wykonywanie nudnych zadań.

Kiedy firma rozwija się dynamicznie, sieć komputerowa rozrasta się razem z nią. Zwiększenie liczby użytkowników i komputerów nie wprawia w dobry nastrój administratora sieci. Rachunek jest prosty - im więcej kont i stacji, tym więcej obowiązków. Trzydziestoma stacjami można zarządzać bez problemów, ale jeśli komputerów jest sto pięćdziesiąt, kłopoty narastają. Nadmiar obowiązków wiąże się z ryzykiem popełniania błędów. Niewłaściwe przypisanie uprawnień dostępu lub zezwolenie na posługiwanie się pustymi hasłami może negatywnie wpłynąć na zabezpieczenia sieci. W Windows Server 2003 zarządzanie domeną jest wspomagane przez zasady grupy. Ich zastosowanie w znaczny sposób ułatwia administrację serwerami, komputerami klientów i grupami użytkowników. Poprawna konfiguracja zasad grupy nie jest trudna, a daje znaczne korzyści.

Funkcja zasad grupy

Dodawanie edytora obiektów zasad do konsoli MMC.

Dodawanie edytora obiektów zasad do konsoli MMC.

Zarządzanie sieciami komputerowymi nie ogranicza się do poprawnego skonfigurowania Windows Server 2003. Wydajne i bezawaryjne działanie głównego komputera firmy jest bardzo ważne, ale większość codziennych zadań administratora wiąże się z konfiguracją oraz obsługą klientów sieci. Główną funkcją zasad grupy jest scentralizowanie, ujednolicenie i usprawnienie zarządzania siecią.

Zasady grupy to zespół parametrów konfiguracyjnych sformułowanych przez klienta, a następnie automatycznie przenoszonych do systemów operacyjnych klientów domeny pracującej pod kontrolą serwera z Windows Server 2003. Usługa Active Directory pozwala na wykorzystanie zasad grupy do zarządzania komputerami i użytkownikami sieci. Parametry konfiguracyjne mogą być przenoszone zarówno na wszystkie konta użytkowników i komputerów, jak i na te, które zostaną jednoznacznie określone. Głównym zadaniem zasad grup jest ujednolicenie i zabezpieczenie środowiska pracy użytkowników. Dodatkowo pozwalają instalować oprogramowanie w sieci oraz wypływać na to, do jakich komponentów systemu Windows będą mieli dostęp klienci domeny.

Obiekty zasad grupy

Narzędzie do administrowania szablonami zabezpieczeń.

Narzędzie do administrowania szablonami zabezpieczeń.

Windows Server 2003 świadczy usługi klientom sieci. Za przechowywanie informacji o zasobach odpowiada usługa Active Directory. Po jej zainstalowaniu administrator zakłada konta użytkowników oraz komputerów, korzystając z odpowiednich narzędzi. Po zalogowaniu pracownicy identyfikują się, podając podczas uwierzytelnienia nazwę konta. Ponieważ konta komputerów również mają nazwy, łatwo ustalić, przy jakiej stacji pracuje klient sieci. Prosta identyfikacja użytkownika i komputera daje wiele korzyści związanych z zarządzaniem zasobami. Funkcjonowanie zasad grupy opiera się właśnie na obiektach przechowywanych przez Active Directory. Zestaw zasad to zbiór parametrów przekazywanych kontom użytkowników i komputerów. Pojedynczy zestaw nazywamy obiektem zasad grupy.

Parametry przenoszone na konta komputerów zawierają ustawienia środowiska systemu niezwiązane z profilem użytkownika. Ustawienia nadane komputerowi są uwzględniane niezależnie od tego, czy ktokolwiek zalogował się do stacji. Za przykład może służyć automatyczne włączenie przydziałów dysków w komputerach lokalnych lub wyłączenie usług związanych z aktualizacją oprogramowania.

Ustawienia użytkowników, takie jak konfiguracja oprogramowania, zabezpieczeń, składników systemu Windows, są odmienne dla każdego z kont. Stosujemy je do określania cech przenoszonych na środowisko pracy klientów sieci. Przykładem parametru związanego z użytkownikiem jest ukrycie ikony Ekran w Panelu sterowania. Zalogowanie się klienta do innego komputera niczego nie zmieni. W dalszym ciągu konfiguracja ekranu będzie niedostępna. Jeśli użytkownik zakończy pracę, zamiast niego zaloguje się inny pracownik, dostęp do konfiguracji ekranu będzie zależał od ustawień zasad nowego klienta. Parametry ekranu mogą być np. na powrót włączone.

Rodzaje ustawień przenoszonych przez zasady

Narzędzie do analizy i konfiguracji zabezpieczeń.

Narzędzie do analizy i konfiguracji zabezpieczeń.

Ustawienia użytkownika oraz komputera dotyczą zabezpieczeń, systemu operacyjnego, oprogramowania oraz środowiska pracy. Mimo podobieństw zakresu zazębiają się sporadycznie, a w dodatku parametry kont klientów i stacji są wysyłane do systemu oddzielnie. Najpierw wprowadzane są ustawienia komputera, a dopiero po zalogowaniu się klienta do domeny stosowane są zasady użytkowników.

Konfiguracja oprogramowania dotyczy dystrybucji aplikacji i uaktualnień w domenie Windows Server 2003. Przypisanie programów do obiektu komputer sprawia, że oprogramowanie jest dostępne dla wszystkich klientów sieci pracujących przy danej stacji. Jeśli zwiążemy aplikację z obiektem użytkownik, wówczas oprogramowanie będzie "podążało" za pracownikiem do każdej stacji, do której się zaloguje. Dzięki temu zmiana miejsca pracy nie spowoduje utraty dostępu do programów. W zależności od ustawień, aplikacje mogą być instalowane automatycznie lub na żądanie klienta.

W sekcji konfiguracji Windows znajdują się parametry środowiska pracy użytkownika: zabezpieczeń, indywidualnych skryptów logowania i wylogowania obiektu użytkownik oraz skryptów startu i zamykania systemu dla komputera. Dla kont klientów dodatkowo przewidziano możliwość zmiany położenia m.in. folderów Moje dokumenty lub Pulpit, ustawień parametrów Internet Explorera oraz usług instalacji zdalnej.

Zasady zabezpieczeń są zawarte w grupie konfiguracji Windows. Obejmują konfigurację haseł, praw, uprawnień do zasobów, parametrów infrastruktury kluczy publicznych (PKI), protokołu Kerberos i zabezpieczeń przez IPSec. Zastosowanie zasad zabezpieczeń do wszystkich stacji lub użytkowników w domenie pozwala na wprowadzenie spójnych i jednolitych ustawień w całej sieci.

Do konfiguracji środowiska pracy służą foldery szablonów administracyjnych. Zawierają dużą grupę parametrów wpływających na wygląd i ustawienia pulpitu, składników systemu Windows, udostępnień, Panelu sterowania itp. Zmiana poszczególnych parametrów pozwala na skonfigurowanie standardowego i bezpiecznego systemu operacyjnego dla całej domeny lub wybranych oddziałów firmy.

Narzędzia do administrowania zasadami grupy

Uruchomienie edytora obiektów zasad.

Uruchomienie edytora obiektów zasad.

Administrator Windows Server 2003 otrzymuje kilka wygodnych konsoli do zarządzania ustawieniami zasad grupy oraz narzędzia do monitorowania i konfiguracji parametrów z poziomu wiersza poleceń. Z witryny Microsoftu można pobrać dodatkowe, zaawansowane narzędzia i przystawki.

Podstawowymi narzędziami graficznymi są moduły MMC. Zarządzanie zasadami grupy można podzielić na dwie oddzielne czynności. Pierwsza to tworzenie i konfigurowanie obiektów zasad. Korzystając z Edytora obiektów zasad grupy, konfigurujemy poszczególne konta komputerów i użytkowników. Druga czynność to zarządzanie utworzonymi obiektami zasad: wiązanie obiektów zasad z obiektami w Active Directory, określanie właściwości powiązań oraz monitorowanie wynikowych rezultatów powiązań. Obiekty zasad łączy się z obiektami usługi Active Directory po to, żeby zawarte w zasadach ustawienia były przenoszone na konta zgromadzone w domenie, lokalizacji lub jednostce organizacyjnej. Do wiązania ustawień służą moduły Użytkownicy i komputery usług Active Directory oraz Lokacje i usługi Active Directory.

Windows Server 2003 pozwala na oddzielne zarządzanie systemowymi parametrami konfiguracji zabezpieczeń. Są one przenoszone za pomocą modułów wchodzących w skład Narzędzi administracyjnych - Zasad zabezpieczeń domeny lub Zasad zabezpieczeń kontrolerów domeny. Dla administratorów dużych sieci znacznym usprawnieniem i ułatwieniem konfiguracji bezpieczeństwa będzie wykorzystanie szablonów zabezpieczeń. Do nanoszenia ustawień służą moduły Szablony zabezpieczeń oraz Konfiguracja i analiza zabezpieczeń. Nie zapomniano również o module pozwalającym na analizę parametrów wprowadzanych przez zasady grupy. Aby wyświetlić zasady stosowane do komputerów i użytkowników, należy się posłużyć modułem Wynikowy zestaw zasad. Chcąc otworzyć trzy ostatnio wymienione moduły, należy wczytać pustą konsolę MMC i dodać wskazany element z listy modułów autonomicznych.

Biorąc pod uwagę liczbę narzędzi do zarządzania zasadami grupy, ich konfiguracja oraz monitorowanie wydają się skomplikowane. Istotnie, przy wielu obiektach zasad oraz domenach o złożonej strukturze, nadzorowanie i bezproblemowe wdrażanie usług zasad grupy nie jest proste. W celu ułatwienia Microsoft przygotował specjalną konsolę do kompleksowego zarządzania zasadami. Group Policy Management Console gromadzi w jednym miejscu większość funkcji konfiguracyjnych oraz oferuje dodatkowe opcje, m.in. tworzenia zapasowych kopii zasad. Moduł (na razie jest tylko w wersji angielskiej) należy pobrać z witryny http://www.microsoft.com/downloads . Ponieważ konfiguracja zasad przy użyciu konsoli Group Policy Management jest znacznie wygodniejsza, opis zarządzania zasadami grupy będzie dotyczył tego narzędzia.


Zobacz również