IВ сетях Windows 200О
-
I
В сетях Windows 200О и
более новых версиях также можно обнаружить и по
литики Windows NT, поскольку клиенты низкого уровня не способны поддерживать объекты GPO. Файлы политик NT (с расширением .pol) кардинально отличаются от объектов GPO и не переносятся при обновлении системы. Однако в объекты GPO можно перенести файлы шаблонов администрирования NT (с расширением . adro).
Объекты LGPO (локальные объекты) хранятся в каталоге %systemrooe%\system32\ GroupPolicy, для их хранения используется три файла: gpt.ini— административные шаблоны (. adm), файлы настройки безопасности (. pol) и сценарии входа в систему и запуска/ остановки системы. Объекты ADGPO хранятся в каталоге %systemroot%\system32\ sysvol\</roMeH>\Policies, указатель на каждый объект этого типа хранится в контейнере System=>Policy. Как вы уже могли догадаться, объект LGPO применяется только к локальному компьютеру. Объекты ADGPO можно применять к узлам, доменам или организационным единицам (organizational unit, OU); к одному узлу, домену или организационной единице можно применять несколько объектов GPO.
Особый интерес для нас представляют параметры объекта GPO, связанные с безопасностью, которые собраны в ветви Computer Configuration\Windows SettingsXSecurity Settings (Конфигурация компьютера/Конфигурация Windows/Параметры безопасности). Здесь собраны те параметры, которые можно изменить через аплет Local Security Settings, о нем мы много говорили на протяжении всей книги (фактически, аплет Local Security Settings является интерфейсом для изменения параметров ветви Computer Configuration\Windows SettingsXSecurity Settings объекта GPO).
Как было сказано, ветвь Security Settings (Параметры безопасности) определяет политики учетных записей, политики аудита, настройки журнала событий, открытые ключи и политики фильтров IPSec. Задача администрирования в большом окружении значительно упрощается, если все эти параметры можно настраивать на уровне узла, домена или организационной единицы. Кроме того, шаблоны безопасности можно импортировать в объекты GPO. Таким образом, групповые политики — это прекрасный способ настройки правил безопасности в крупных доменах Windows-систем.