- •Оглавление
- •Введение
- •1 Особенности групповых политик
- •1.1 Оснастка Групповая политика (Group Policy)
- •1.2 Административные шаблоны (Administrative Templates)
- •1.3 Установка программ (Software Installation)
- •1.7 Объекты gpo и Active Directory и порядок применения групповых политик
- •1.8 Локальные gpo
- •2 Параметры безопасности gpo
- •2.1 Расширение Параметры безопасности
- •2.2 Блокирование локальных учетных записей
- •2.3 Настройка безопасности для раздела реестра
- •2.4 Настройка безопасности для всего диска с
- •3 Групповые политики домена
- •1.1 Работа с групповыми политиками домена
- •1.2 Настройка политики паролей для локальных учетных записей
- •1.3 Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию
- •1.4 Использование групп безопасности
- •Заключение
- •Список использованных источников
3 Групповые политики домена
1.1 Работа с групповыми политиками домена
Первый шаг – создание объекта групповой политики. Мы с вами рассматривали, как создавать изолированный GPO. После его создания, можно заняться редактированием в соответствии с общей концепцией обеспечения безопасности и ассоциацией его с соответствующим доменом или OU.
Можно создавать и редактировать GPO сразу для конкретного контейнера. Это делается на вкладке Групповая политика в окне свойств этого контейнера, как мы также рассматривали выше.
Чтобы отредактировать GPO, его нужно загрузить в оснастку Групповая политика. К примеру, мы создали GPO под именем MYCOMPANY.
После запуска оснастки можно перемещаясь по дереву узлов, открывать редактируемые параметры групповой политики и в правом подокне окна оснастки Групповая политика, выбирая редактируемый параметр, устанавливать нужное значение.
Чтобы затем привязать созданный GPO к сайту, домену или подразделению (создать ссылку на некоторый GPO) необходимо запустите оснастку Active Directory сайты и службы для работы с сайтами или Active Directory пользователи и компьютеры для доменов и подразделений. Указать тот контейнер, для которого устанавливается ассоциация с GPO, и "зайти" в его Свойства. В открывшемся окне перейти на вкладку Групповая политика и чтобы добавить новый GPO, нажать кнопку Добавить.
Запустится браузер GPO. Здесь можно найти объект групповой политики, с которым вы хотите ассоциировать выбранный контейнер, и выбрать его.
В итоге GPO будет добавлен к списку ассоциированных объектов. Для изменения приоритета политик (порядка следования элементов в списке) можно использовать кнопки Вверх (Up) и Вниз (Down).
1.2 Настройка политики паролей для локальных учетных записей
Для настройки политики паролей в некотором домене или подразделении создадим GPO, предназначенный для формирования политики паролей, как было описано выше. Затем загрузим созданный GPO и откроем узел Конфигурация компьютера|Конфигурация Windows|Параметры безопасности|Политики учетных записей|Политика паролей.
Здесь следует установить необходимые значения параметров политики паролей.
Теперь закроем окно оснастки Групповая политика. Все сделанные вами изменения будут записаны в GPO. Выполним процедуру привязки созданного GPO к домену или подразделению, описанную в предыдущем разделе.
После этих действий можно перемещать в этот домен или подразделение все компьютеры, на которые должна действовать созданная вами политика паролей.
Настройка привилегий пользователей и групп при работе в домене с Active Directory.
С помощью GPO можно определить набор привилегий, имеющихся у всех пользователей домена или подразделения.
Для настройки привилегий группы пользователей или индивидуального пользователя при работе с ресурсами компьютера необходимо создать GPO, хранящий необходимые значения параметров групповой политики, как мы описывали выше. Загрузить его в оснастку Групповая политика.
Открыть узел Конфигурация компьютера|Конфигурация Windows|Политики безопасности|Локальные политики|Назначение прав пользователя (User Rights Assignments).
В правом подокне окна оснастки Групповая политика дважды щелкнуть на политике, которую следует редактировать, например, на строке Обход перекрестной проверки (Bypass traverse checking).
В открывшемся окне следует установить флажок Определить следующие параметры политики и добавить нужные пользователи или группы.
Все изменения будут записаны в GPO. Затем установить ассоциацию между созданным GPO и контейнером Active Directory, в котором будут осуществляться только что настроенные привилегии [2].