Групповые политики и настройка параметров безопасности
Механизм групповых политик (group policy) является важнейшим средством для настройки параметров безопасности системы, управления пользовательской средой и приложениями. В первую очередь групповые политики целесообразно использовать в доменах Active Directory, где они позволяют централизованно управлять безопасностью и настройками компьютеров - членов домена.
Возможности групповых политик в Windows 7
Усилия разработчиков Windows 7 были направлены на расширение возможностей групповых политик по управлению системными компонентами и приложениями, а также на упрощение использования политик в многоязыковой среде. Некоторые средства групповых политик, реализованные в предыдущих версиях Windows, в Windows 7 были заметно модернизированы.
Области контролируемых параметров
Групповые политики позволяют управлять многими программами и компонентами системы, в их числе следующие традиционные и новые средства:
- антивирусная защита;
Улучшенное управление браузером Internet Explorer
Новая версия браузера Internet Explorer 8.0, включенная в Windows 7, полно стью управляется с помощью групповых политик (в особенности это касается всех новых возможностей браузера).
Файлы административных шаблонов в формате ADMX
В системах Windows более ранних версий, чем Windows Vista, описания регистровых групповых политик хранятся в текстовых файлах административных шаблонов, которые называются ADM-файлами.
Гибкость при работе в разных сетях (NLA)
Механизм Network Location Awareness (NLA) позволяет групповым политикам гибко реагировать на изменение сетевой конфигурации компьютера и доступности ресурсов, что особенно важно для мобильных пользователей.
Служба "Клиент групповой политики"
В системах Windows Vista и Windows 7 механизм групповых политик полностью изолирован от службы Winlogon, что обеспечивает более надежную работу и самой системы, и групповых политик.
Объекты групповой политики (GPO) и средства их редактирования
Для настройки параметров безопасности в Windows 7 используются две традиционных для многих версий Windows оснастки:
- Редактор объектов групповой политики (Group Policy Object Editor);
- Локальная политика безопасности (Local Security Settings).
Хранение локальных GPO-объектов
Для компьютеров — членов рабочих групп и компьютеров, входящих в домен, хранение GPO-объектов реализуется по-разному. Мы рассмотрим только локальные объекты групповой политики (локальные GPO), имеющиеся на каждом компьютере, работающем под управлением Windows 7.
Подкаталоги шаблона групповых политик
Внутри папки шаблона локальных GPO-объектов имеются по умолчанию или могут появляться при конфигурировании GPO-объектов следующие подкаталоги: