Вы здесь

23. Работа с групповыми политиками домена

 

Работа с групповыми политиками домена

Ниже приведен ряд примеров, демонстрирующих работу с групповыми политиками домена.

Создание объекта групповой политики. Для создания самостоятельного, изолированного GPO:

1. Запустите консоль управления Microsoft (MMC).
2. Выберите в меню Консоль команду Добавить/удалить оснастку, в следующем окне нажмите кнопку Добавить.
3. В окне Добавить изолированную оснастку выберите элемент Групповая политика, затем нажмите кнопку Добавить.
4. В окне Поиск объекта групповой политики нажмите кнопку Обзор. Запустится браузер GPO.
5. Для создания нового GPO с именем, установленным по умолчанию, нажмите кнопку Новый объект групповой политики (Create New Group Policy Object) (рис. 27.5).
6. Переименуйте вновь созданный GPO. Дайте ему более информативное имя.

Примечание

Операционная система не следит за уникальностью имен объектов групповых политик безопасности, поскольку каждый GPO обладает внутренним глобальным уникальным идентификатором (GUID). За уникальность имени отвечает его создатель.

7. Чтобы закрыть окно браузера GPO, нажмите кнопку ОК. Нажмите кнопку Готово, чтобы закрыть окно диалога Поиск объекта групповой политики.
8. Нажмите кнопку Закрыть, чтобы закрыть окно диалога Добавить изолированную оснастку, затем закройте окно диалога Добавить/удалить оснастку.
9.



Рис. 27.5. Окно диалога Поиск объекта групповой политики (Browse for a Group Policy Object) и кнопка Новый объект групповой политики (Create New Group Policy Object)


Теперь в оснастке Групповая политика загружен только что созданный GPO. Отредактируйте его в соответствии с общей концепцией обеспечения безопасности и ассоциируйте его с соответствующим доменом или OU.

Примечание

Можно создавать и редактировать GPO сразу для конкретного контейнера. Это делается на вкладке Групповая политика в окне свойств этого контейнера (см. ниже раздел "Привязка GPO к объектам Active Directory" ).

Загрузка уже созданного GPO. Чтобы загрузить GPO:

1. Запустите оснастку Групповая политика. При запуске оснастки укажите загружаемый GPO. Для этого нажмите кнопку Обзор. Запустится браузер GPO.
2. В открывшемся окне диалога Поиск объекта групповой политики выберите нужный GPO и нажмите кнопку ОК.

Редактирование GPO. Чтобы отредактировать GPO:

1. Загрузите нужный GPO в оснастку Групповая политика.
2. После запуска оснастки переместитесь по дереву узлов и откройте редактируемые параметры групповой политики.
3. В правом подокне окна оснастки Групповая политика щелкните на редактируемом параметре. В открывшемся окне установите нужное значение.

Привязка GPO к объектам Active Directory. Чтобы привязать созданный GPO к сайту, домену или подразделению (создать ссылку на некоторый GPO):

1. Запустите оснастку Active Directory—сайты и службы — для работы с сайтами или Active Directory—пользователи и компьютеры — для доменов и подразделений.
2. Укажите тот контейнер, для которого устанавливается ассоциация с GPO, и нажмите правую кнопку мыши. В появившемся меню выберите команду Свойства и в открывшемся окне перейдите на вкладку Групповая политика.
3. Для того чтобы добавить новый GPO, нажмите кнопку Добавить. Запустится браузер GPO.
4. Найдите объект групповой политики, с которым вы хотите ассоциировать выбранный контейнер, и выберите его. Нажмите кнопку ОК. GPO будет добавлен к списку ассоциированных объектов. Для изменения приоритета политик (порядка следования элементов в списке) используйте кнопки Вверх (Up) и Вниз (Down).

Настройка политики паролей для локальных учетных записей. Для настройки политики паролей в некотором домене или подразделении:

1. Создайте GPO, предназначенный для формирования политики паролей, как было описано выше.
2. Загрузите созданный GPO и откройте узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики учетных записей | Политика паролей.
3. Установите необходимые значения параметров политики паролей.
4. Закройте окно оснастки Групповая политика. Все сделанные вами изменения будут записаны в GPO.
5. Выполните процедуру привязки созданного GPO к домену или подразделению, описанную в предыдущем разделе.

Теперь можно переместить в этот домен или подразделение все компьютеры, на которые должна действовать созданная вами политика паролей.

Включение аудита на контроллерах домена. При создании контроллера домена в контейнере Domain Controllers для него по умолчанию формируется GPO, определяющий локальные политики всех контроллеров домена. Для того чтобы настроить аудит на всех контроллерах домена, можно просто отредактировать этот GPO.

Для изменения политики аудита контроллеров домена:

1. Запустите оснастку Политика безопасности контроллера домена (Domain Controller Security Policy) — команда Пуск | Администрирование | Политика безопасности контроллера домена (Start | Administrative Tools | Domain Controller Security Policy). Можно также открыть GPO для контроллеров домена, подключив к нему изолированную оснастку Групповая политика.
2. Раскройте узел Локальные политики. Вы увидите три подраздела, относящиеся к трем настройкам локальной политики.
3. Выберите раздел Политика аудита (Audit Policy). В правом подокне появятся политики аудита
4. Выберите двойным щелчком политику Аудит доступа к службе каталогов (Audit Directory Service Access).
5. Для активизации аудита установите флажок Определить следующие параметры политики (Define these policy settings). Аудит неудачных попыток получения доступа к каталогу активизируется установкой флажка отказ (Failure) в группе Вести аудит следующих попыток доступа (Audit these attempts). Для активизации аудита удачных попыток получения доступа к каталогу установите флажок успех (Success).
6. Нажмите кнопку ОК. Все сделанные вами изменения появятся в правом подокне.
7. Закройте окно оснастки. Новая политика вступит в силу.

Настройка привилегий пользователей и групп при работе в домене с Active Directory. С помощью GPO можно определить набор привилегий, имеющихся у всех пользователей домена или подразделения. Для настройки привилегий группы пользователей или индивидуального пользователя при работе с ресурсами компьютера:

1. Создайте GPO, хранящий необходимые значения параметров групповой политики. Процедура создания объекта описана выше.
2. Загрузите его в оснастку Групповая политика.
3. В окне оснастки Групповая политика откройте узел Конфигурация компьютера | Конфигурация Windows | Локальные политики | Назначение прав пользователя (User Rights Assignments).
4. В правом подокне окна оснастки Групповая политика дважды щелкните, например, на строке Обход перекрестной проверки (Bypass traverse checking). В открывшемся окне (рис. 27.6) установите флажок Определить следующие параметры политики и нажмите кнопку Добавить. В открывшемся окне Добавление пользователя или группы введите имя настраиваемой группы или нажмите кнопку Обзор и выберите нужные группы или пользователей.
5. После выбора групп нажмите кнопку ОК. Все изменения будут записаны в GPO.
6. С помощью описанной выше процедуры установите ассоциацию между созданным GPO и контейнером Active Directory, в котором будут осуществляться только что настроенные привилегии.



Рис. 27.6. Окно диалога Параметр политики безопасности (Security Policy Setting), позволяющее редактировать привилегии пользователей и групп

 


Top.Mail.Ru