XP z zasadami

Każdy wie, jak ważną rolę w zabezpieczeniach komputera odgrywają hasła. Wiadomo również, że - zgodnie ze starym przysłowiem - sprawdzać to znaczy wiedzieć. Administratorzy Windows XP Professional mogą tak skonfigurować system, żeby wymuszał hasła o wysokim poziomie bezpieczeństwa oraz kontrolował dostęp do plików, drukarek czy komputera. Czynności te są możliwe dzięki usłudze Zasady grupy i stanowią jedynie mały fragment jej przebogatych możliwości.

Każdy wie, jak ważną rolę w zabezpieczeniach komputera odgrywają hasła. Wiadomo również, że - zgodnie ze starym przysłowiem - sprawdzać to znaczy wiedzieć. Administratorzy Windows XP Professional mogą tak skonfigurować system, żeby wymuszał hasła o wysokim poziomie bezpieczeństwa oraz kontrolował dostęp do plików, drukarek czy komputera. Czynności te są możliwe dzięki usłudze Zasady grupy i stanowią jedynie mały fragment jej przebogatych możliwości.

Zabezpieczanie systemu pracującego pod kontrolą Windows XP nie opiera się wyłącznie na przypisaniu skomplikowanego hasła do konta Administratora albo uruchomieniu wbudowanej zapory połączenia internetowego. W zasięgu ręki znajduje się silne narzędzie do kompleksowego konfigurowania ustawień oraz zabezpieczeń systemu. Uruchamiając przystawkę Zasady grupy, przekonujemy się, ile parametrów można ustawić, by zwiększyć funkcjonalność systemu. Z pozoru skomplikowana struktura usługi, po bliższym poznaniu okazuje się całkiem znośna w obsłudze i zarządzaniu.

Na czym polegają Zasady grupy?

Ustawienia użytkownika i komputera według zasad lokalnych.

Ustawienia użytkownika i komputera według zasad lokalnych.

Ujmując najprościej, Zasady grupy to zespół ustawień konfigurujących system operacyjny. Ustawienia te dotyczą bardzo szerokiego spektrum parametrów i obejmują między innymi takie elementy, jak ustawienia aplikacji Windows XP, ustawienia zabezpieczeń, ustawienia Pulpitu, ustawienia środowiska systemu i wiele innych.

Po zainstalowaniu Windows XP otrzymujemy produkt gotowy do pracy. Instalator przenosi na system operacyjny ustawienia związane z obiektami w menu Start, parametrami logowania, czy chociażby ustawieniami Eksploratora Windows. Jeśli nie odpowiada nam domyślna konfiguracja, możemy zmodyfikować ustawienia wielu obiektów wchodząc w ich właściwości. Dotyczy to na przykład paska zadań oraz menu Start. Jednak opcje dostępne we właściwościach tych elementów, to jedynie część parametrów, jakie możemy narzucić systemowi. Inne, bardziej zawansowane, są wprowadzane właśnie przez Zasady grupy.

Główna funkcja Zasad grup to ujednolicenie i zabezpieczenie środowiska pracy użytkowników. Dodatkowo dzięki nim można dystrybuować oprogramowanie w sieci oraz wypływać na to, do jakich komponentów Windows użytkownicy będą mieli dostęp. W zależności od miejsca pracy Windows zadania założeń grup mogą się nieco różnić oraz mieć inny rozmiar.

Najlepiej ich wykorzystanie sprawdza się w sieciach pracujących pod kontrolą Windows 2000 Server z zaimplementowaną usługą Active Directory. W takich środowiskach administrator definiuje dla wszystkich stacji jedną zasadę (grupę parametrów), która podczas startu zostanie automatycznie zastosowana do każdego komputera. Podobnie dzieje się z założeniami środowiska pracy użytkowników - jeśli to konieczne, można centralnie wyłączyć np. dostęp do konfiguracji ekranu.

W sieciach bezdomenowych, opartych na grupach roboczych, wdrożenie zasad grup jest nieco utrudnione, ale w pełni możliwe. Kłopot polega na tym, że w sieciach peer-to-peer nie ma wyspecjalizowanego serwera, który by nadzorował dystrybucję ustawień. Rozwiązaniem tego problemu jest zastosowanie pewnej cechy zasad grup, czyli możliwości zapisu zmienianych parametrów w szablonie. Wystarczy wówczas przygotować jeden plik konfiguracyjny, a następnie przyłożyć go do wszystkich komputerów małej sieci.

Duża część ustawień odnosi się do lokalnego środowiska systemu operacyjnego, dlatego znajomość konfiguracji zasad sprawdza się doskonale podczas pracy na indywidualnych stacjach roboczych. Tu zadanie założeń grup koncentruje się głównie na określaniu zabezpieczeń systemu. Tym niemniej można je również zastosować do określania parametrów pracy na tych stacjach, które są wykorzystywane przez wielu użytkowników.

Rodzaje zasad

Dodawanie przystawki Zasady grupy przez konsolę MMC.

Dodawanie przystawki Zasady grupy przez konsolę MMC.

Ustawienia przypisywane przez zasady mogą być określane na różnych poziomach. Jeśli system pracuje w domenie Windows 2000, zasady grupy są utrzymywane przez usługi katalogowe (Active Directory). Podczas startu Windows XP pobiera je z serwera i wplata w rejestr. Active Directory gromadzą informacje o zasobach sieci, np. komputerach oraz użytkownikach. Ponieważ struktura usługi jest wielopoziomowa, zasady mogą być stosowane do kilku typów obiektów: domen, lokacji i jednostek organizacyjnych. Na przykład przypisanie zasad do domeny powoduje, że są one przenoszone na wszystkie komputery i użytkowników do niej należących.

Koncentrujemy się na zabezpieczeniach Windows XP, który niekoniecznie musi pracować w domenie Windows 2000 lub 2003, ale warto zaznaczyć, że są jeszcze założenia lokalne, przechowywane na każdym komputerze, na którym zostały zdefiniowane. Swoim zasięgiem obejmują wyłącznie parametry własnej stacji i zalogowanego użytkownika. Jeśli komputer jest podłączony do domeny, wówczas ewentualne ustawienia sieciowe biorą górę i nadpisują ustawienia lokalne. Windows XP przechowuje zasady grupy w rejestrze. Część parametrów zapisana jest w katalogu katalog_systemowy\system32\GroupPolicy. Pobierane stamtąd dane są wtłaczane w rejestr podczas startu komputera lub logowania użytkownika.

Zasady grupy obejmują użytkowników oraz komputery. Każdemu z nich przypisane są niezależne ustawienia, które odnoszą się do poszczególnych elementów systemu. Na przykład dla komputera są to parametry monitorowania, a dla użytkownika ustawienia pulpitu. Podział ten wynika ze sposobu utrzymywania informacji o konfiguracji Windows. Rejestr systemu składa się z kilku oddzielnych części, tzw. gałęzi. Ich lokalizacja obejmuje dwa miejsca: katalog_systemowy\system32\config, oraz lokalny katalog profilu każdego z użytkowników. W profilach zawarte są informacje o indywidualnych preferencjach osób korzystających z Windows, takich jak parametry ekranu, myszy itp. Dlatego też, co innego przechowywane jest w obiekcie Użytkownik zasad grupy, a co innego w obiekcie Komputer. Ustawienia nadane komputerowi są stosowane zawsze, niezależnie od tego, który użytkownik w danej chwili pracuje na stacji. Parametry użytkownika mogą być odmienne dla każdej z osób.

Zanim przejdziemy do przypisywania ustawień konfiguracji zasad komputerowi lub użytkownikowi, należy powiedzieć, kiedy są implementowane. Najpierw - podczas startu Windows XP, zanim pojawi się okno logowania - wprowadzane są ustawienia maszyny. Po uwierzytelnieniu implementowane są zasady konfigurujące środowisko użytkownika.


Zobacz również