Вне зависимости от даты выхода, Windows Vista принесет множество новых возможностей и новые способы гибких настроек Политики Групповой Безопасности. О некоторых уже известно, другие же пока не раскрывались, но ясно, что все они весьма значительно изменят условия работы продукции сторонних разработчиков по сравнению с предыдущим опытом.
Windows Vista станет первой ОС, в которую будет включена новейшая консоль GPMC (Group Policy Management Console). В отличие от предыдущих версий инструментов Управления Политикой Групповой Безопасности, новая консоль объединяет все Объекты Групповой Политики (GPO) в единый интерфейс и позволяет администраторам с легкостью устанавливать соединения с доменами, сайтами или организационными единицами в активной директории (Active Directory - продукт компании Microsoft, предназначенный для обеспечения управления, защиты, доступа и разработки компонентов сети).
GPMC показывает все политики, которые активны для данной активной директории, отображает наличие проблем и список администраторов, имеющих доступ к объектам и подключениям. Так же GPMC обеспечивает наличие моделирующих инструментов, с помощью которых выводятся данные о получающемся в результате наборе политик, применимых к активной директории с учетом всех ее объектов. Несомненно, это упрощает работу администраторов по поиску и устранению проблем.
Не смотря на то, что консоль GPMC была уже ранее доступна в качестве бесплатного дополнения для установки на машины под управлением Windows XP или Windows Server 2003, тогда администраторам приходилось скачивать и устанавливать ее отдельно. В Windows Vista эти инструменты будут основными средствами управления доменных объектов групповой политики, которые существенно улучшат работу ОС.
Если консоль Управления Политикой Групповой Безопасности (GPMC) представляет собой улучшенную организацию инструментов Объектов Групповой Политики (GPO), то, собственно, сам настройщик Групповой Политики остался практически прежним по своей структуре, но не по содержанию.
У настройщика Групповой Политики остался знакомый интерфейс MMC (Microsoft Management Console), который почти не изменялся со времен выхода Windows 2000, но количество различных параметров значительно увеличилось. Например, в начальной версии Windows 2000 было около 650 настроек Групповой Политики, а в Windows XP SP2 уже около 1500 настроек, в Windows Vista их будет почти 3000.
В ОС Windows Vista появилось множество областей, с которыми администраторы смогут работать посредством настроек Групповой Политики. Среди них: возможность задать условия использования съемного накопителя, управление настройками Windows Firewall и безопасностью IP кодирования, установки принтера, управление параметрами энергопитания и управление учетными записями.
Новые возможности настроек не только улучшают общую детальность управления системой, которую получает администратор, но так же существенно увеличивают возможности администратора по управлению конфигурацией системы в рамках домена. С появлением большого числа настроек, станет гораздо сложнее найти оптимальный вариант. К сожалению, пока Windows Vista не поддерживает поиск настроек по их названию или описанию, но официальные представители компании Microsoft обещали, что эта возможность появится в скором будущем. Возможно, в Windows Vista SP1 эта функция уже будет поддерживаться.
Те возможности, которые доступны сейчас, реализованы на хорошем уровне, но все же Microsoft есть над чем работать в области улучшения Групповых Политик.
Необходимость наличия пакетов Windows Installer, то есть объектов, содержащих информацию о комплекте программного обеспечения, предназначенного для инсталляции, ограничивают количество ПО, которое может быть установлено без изменения; нельзя создать группы меньшие по численности чем организационная единица (OU), поэтому нет смысла пытаться это делать; и основное неудобство состоит в условиях установки ПО.
К сожалению, ни одна из этих проблем не будет решена в Windows Vista, так как компания Microsoft, похоже, намеревается распространять решение вышеупомянутых проблем только через Сервер Управления Системами SMS (Systems Management Server).
Windows Vista предлагает возможность удобного обновления состояния работающих политик. В текущих версиях ОС Windows, состояние Групповых Политик обновляется только при начале/завершении работы ПК или входе/выходе из системы или по прошествии какого-либо времени. Новая служба Network Awareness позволяет обновлять настройки Групповых Политик в независимости от того активно ли подключение сети или нет.
Так же Windows Vista представляет новый формат административных шаблонов, которые содержат установки всех политик.
В предыдущих версиях ОС Windows использовались шаблоны типа ADM, которые были написаны на труднодоступном языке. Эти шаблоны имели довольно большие объемы, а их количество было ограничено.
Новые шаблоны ADMX написаны на языке XML. Размер этих шаблонов гораздо меньше, чем у предшественников формата ADM, а их количество больше. Каждый шаблон ADMX состоит из двух частей: один компонент, не относящийся к языку, содержащий информацию о настройках и один компонент формата ADML, ориентированный на конкретный язык. Разделение информации о настройках и языке решает проблему, которая возникала при использовании описательной информации в шаблонах ADM и вызывала необходимость перекодировки на другой язык.
Новый формат позволяет избежать проблемы переполнения системного раздела жесткого диска (SYSVOL). При использовании шаблонов ADM, каждый объект Групповой Политики в домене содержит собственную копию каждого шаблона, что составляет около 4Mб для каждого объекта.
Для домена с несколькими тысячами работающих политик, это может привести к излишней трате пространства жесткого диска и ресурсов сети. В связи с тем, что информация об объектах политики хранится в системном разделе жесткого диска, и которая автоматически копируется в Контролеры Домена сети при помощи службы File Replication Service.
Сетевые клиенты Windows Vista сохраняют собственную копию каждого важного шаблона, а администратор может добавлять и распределять новые или улучшенные шаблоны через центральное хранилище шаблонов, расположенного на системном разделе диска.
Специалистами сайта eWeek Labs были проведены тесты с Windows Vista beta (Build 5308), в рамках домена Windows 2003 ими была создана специальная папка в системном разделе, в которую были перенесены новые шаблоны, позволяющие клиентам Vista автоматически обновлять локальную базу шаблонов.
Пока не существует специального интерфейса для работы с хранящимися шаблонами, но весь процесс не сложен и его выполнение требуется только один раз, так как потом все шаблоны будут автоматически пополняться.
Прежним клиентам Windows, привыкшим к старым способам работы, будет трудно понять новый формат шаблонов ADMX, и, скорей всего, они не смогут воспользоваться всеми возможностями новых настроек. Но с другой стороны, Windows Vista не исключает использование прежнего формата шаблонов ADM и вполне совместима с ними.
Прежний опыт работы администраторов так же мало чем сможет помочь при управлении новыми Групповыми Политиками, связанными с шаблонами ADMX.
Несомненным плюсом является то, что Windows Vista способна поддерживать множество объектов Локальной Политики. Предыдущие версии ОС Windows могли поддерживать лишь одну Локальную политику, таким образом, администраторы подвергались тем же ограничениям, что и остальные пользователи. Администрирование систем, с высоким уровнем безопасности, превращалось в весьма утомительный процесс.
Локальная политика сохранила свою прежнюю основную структуру и содержит сведения об одном пользователе и одной системной политике. Но все же было замечено одно нововведение, связанное с появлением новой папки в директории System32 , в которой хранится дополнительная информация о политике пользователя. Специалистам сайта eWeek Labs удалось применить политики пользователя по отношению к индивидуальным пользователям или сформированным группам, но не по отношению к тем группам, которые были указаны.
Довольно сложно оказалось разобраться в том, как создавать индивидуальные политики, при помощи редактора Групповых Политик (gpedit.msc) пользуясь только средствами основной Локальной Политики. Как выяснилось, создавать индивидуальные политики для конкретных локальных пользователей возможно через новый апплет Parental Controls, который можно вызвать из панели управления.
Чтобы создать отдельные политики для сформированных групп, необходимо начать новую сессию MMC, и добавить редактор Групповой Политики при выборе пользовательского или группового объекта. Это позволит создать новый Объект Групповой Политики (GPO) если он еще не создан.
Такие компании как FullArmor, Desktop Standard и NetIQ предлагают инструменты для расширения возможностей Групповых Политик, что существенно повышает эффективность работы клиентов.