- •Оглавление
- •Введение
- •1 Особенности групповых политик
- •1.1 Оснастка Групповая политика (Group Policy)
- •1.2 Административные шаблоны (Administrative Templates)
- •1.3 Установка программ (Software Installation)
- •1.7 Объекты gpo и Active Directory и порядок применения групповых политик
- •1.8 Локальные gpo
- •2 Параметры безопасности gpo
- •2.1 Расширение Параметры безопасности
- •2.2 Блокирование локальных учетных записей
- •2.3 Настройка безопасности для раздела реестра
- •2.4 Настройка безопасности для всего диска с
- •3 Групповые политики домена
- •1.1 Работа с групповыми политиками домена
- •1.2 Настройка политики паролей для локальных учетных записей
- •1.3 Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию
- •1.4 Использование групп безопасности
- •Заключение
- •Список использованных источников
2.4 Настройка безопасности для всего диска с
С помощью политик безопасности можно устанавливать различные права доступа к устройству для разных пользователей (например, полный контроль для администраторов и права на чтение и создание подкаталогов, а также полный контроль над создаваемыми файлами для пользователей)!
Такая настройка невозможна для обычных компьютеров.
Чтобы выполнить настройку безопасности устройства на контроллере домена в оснастке Групповая политика открываем узел Конфигурация компьютера|Конфигурация Windows|Параметры безопасности, выбираем папку Файловая система.
По правой кнопкой мыши и выбираем в меню команду Добавить файл (Add File). Запустится браузер файловой системы.
В окне диалога Добавление файла или папки (Add file or folder) выбираем диск С: По умолчанию группа Все (Everyone) имеет полный доступ к диску. В открывшемся окне диалога Безопасность базы данных (Database Security for) с помощью кнопки Удалить можно очистить список пользователей. Нажав кнопку Добавить, можно выбрать пользователей и группы, а затем определить соответствующие разрешения для диска С:. Чтобы настроить особые права доступа, можно использовать кнопку Дополнительно (Advanced).
После установки необходимых разрешений в открывающемся затем окне Параметр шаблона политики безопасности (Template Security Policy Setting) необходимо выбрать тип действия безопасности (распространить, заменить и игнорировать разрешения).
Здесь можно нажать кнопку Изменить безопасность (Edit Security) и вернуться к редактированию разрешений.
Каждый домен по умолчанию обладает ассоциированной с ним групповой политикой.
Объект групповой политики (Group Policy Object, GPO) автоматически создается при создании домена. Впоследствии этот объект можно отредактировать. Используя групповые политики, можно одновременно управлять поведением всех компьютеров в домене, а также контролировать делегирование прав администрирования.
При формировании сети предприятия очень важно правильно организовать групповые политики, что позволит минимизировать избыточность параметров и оптимизировать управление сетью. К сожалению, эти цели в определенном смысле противоречат друг другу.
GPO должны с максимальной точностью описывать каждую из политик, действующих на конкретные домены и подразделения (организационные единицы, OU), что приводит к увеличению числа GPO. Для улучшения управления сетью следует, наоборот, создавать небольшое число GPO. Поэтому в каждом конкретном случае нужно правильно сбалансировать количество объектов политик безопасности.
Для правильного планирования структуры групповых политик сети следует:
- Разделить политики на логические группы.
Например, политики учетных записей могут быть объединены в одну группу.
- Для каждой логической" группы создать один или несколько объектов GPO, имеющих различные настройки групповых политик.
- Распределить объекты-компьютеры по иерархическим древовидным структурам, состоящим из подразделений.
В качестве критерия при таком распределении следует выбрать функцию, которую выполняет данный компьютер
В основном, каждое подразделение должно иметь определенную групповую политику, действующую на все находящиеся в ней компьютеры. Зачастую это сделать непросто, поскольку подразделения могут отражать географическое расположение организации, а также иерархию управления сетью. В случаях, когда групповые политики должны распространяться на подмножество компьютеров организации, можно сделать следующее:
- Создать в различных подразделениях организации внутренние подразделения, переместить туда нужные объекты-компьютеры и назначить внутренним подразделениям собственные групповые политики.
- Если же вы не хотите создавать внутренние подразделения, можно использовать схему фильтрации GPO, основанную на разрешениях доступа. С ее помощью вы сможете задать соответствие компьютеров и действующих на них GPO
Итак, сейчас мы с вами рассмотрели примеры настройки разных расширений групповой политики. Следующий шаг - познакомится более подробно с практическим примером работы групповой политики домена.