Bezpieczeństwo – polityka w Windows NT
Opracował: Zbigniew Suski 1
Polityka systemowa w WINDOWS NT
Główne zagadnienia wykładu
Polityka systemowa odnosi się do sterowania roboczym środowiskiem i działaniami użytkowników. Narzuca również
konfigurację systemu dla wszystkich komputerów w domenie. Jest to po prostu zbiór reguł określający co użytkownicy mogą
robić. Przykładowo może on określać:
_ Restrykcje w zakresie użycia poszczególnych opcji Panelu sterującego.
_ Customizacj_ części desktopu.
_ Konfigurację ustawień sieciowych.
_ Kontrolowanie logowania i dostępu w sieci.
Politykę systemową można określić dla całej domeny, pojedynczego użytkownika, grupy użytkowników, komputera lub
komputerów. Plik polityki systemowej (system policy file) jest zestawem ustawień rejestrów, nadpisujących obszary rejestrów
aktualnego użytkownika i lokalnego komputera. Uaktywnienie polityki polega na utworzeniu pliku NTConfig.pol w katalogu
\winnt\System32\Repl\Import\Scripts głównego kontrolera domeny (PDC). Katalog ten jest zwykle dzielony (udostępniany)
jako \\PDC_servername\Netlogon$.
Do definiowania polityki służy Edytor Polityki Systemowej (System Policy Editor) znajdujący się w grupie narzędzi
administracyjnych (Administrative Tools).
Inicjowanie polityki systemowej
W momencie logowania się użytkownika na dowolnym kontrolerze domeny, system operacyjny ładuje do rejestrów
profil tego użytkownika. Następnie następuje sprawdzenie czy w dzielonym katalogu sieciowym Netlogon istnieje plik
Ntconfig.pol. Jeżeli plik ten definiuje politykę systemową dla użytkownika, to zawarte w nim ustawienia są włączane do
rejestrów użytkownika.
Edytor polityki systemowej umożliwia zmianę ustawień rejestrów komputera lokalnego na dwa sposoby:
_ Polityka dla użytkowników modyfikuje poddrzewo HKEY_CURRENT_USER rejestrów. Określa zawartość profilu
użytkownika.
_ Polityka dla komputera modyfikuje poddrzewo HKEY_LOCAL_MACHINE.
Jeżeli pomiędzy domenami określona została relacja zaufania, to polityka jest pobierana z domeny zawierającej konto
użytkownika.
Edytor polityki systemowej wyświetla dwie ikony. Jedna (Local User) reprezentuje rejestry użytkownika domyślnego (Default
User) a druga (Local Computer) reprezentuje rejestry lokalnego komputera. Można poprzez menu Edit utworzyć dodatkowe
ikony reprezentujące porcję rejestrów dla wybranego użytkownika, grupy lub komputera.
Wzory polityki systemowej
Do definiowania polityki systemowej w konfiguracjach mieszanych zawierających Windows NT i Windows 95 można
wykorzystać pliki wzorów. Są one instalowane w katalogu \winnt\inf:
Common.adm - określa wspólne ustawienia dla Windows NT i Windows 95.
Winnt.adm - określa ustawienia specyficzne dla Windows NT.
Windows.adm - określa ustawienia specyficzne dla Windows 95.
Wzory można tworzyć i edytować dowolnym edytorem tekstowym. Mogą one być ładowane przez edytor polityki poprzez
wykorzystanie polecenia Policy Template w menu Options.
Składnia języka opisu wzorów jest opisana w Windows NT Resource Kit.
Pliki polityki systemowej utworzone dla Windows NT nie mogą być wykorzystywane w Windows 95 i vice versa. Dla Windows
95 polityka systemowa jest przechowywana w pliku Config.pol w katalogu dzielonym Netlogon$ na PDC.