Занятие 25. Групповые политики

↑

▷ Содержание

⇐ ПредыдущаяСтр 8 из 9Следующая ⇒

▷ Похожие статьи

План занятия:

• Понятие групповых политик
• Виды групповых политик
• Понятие групповых политик

Понятие групповых политик

Групповая политика — это инфраструктура, позволяющая реализовывать определенные конфигурации для пользователей и компьютеров. Параметры групповой политики содержатся в объектах групповой политики (GPO), которые связаны со следующими контейнерами службы каталогов Active Directory: сайты, домены и организационные единицы. Затем настройки GPO оцениваются затрагиваемыми целевыми объектами, используя иерархическую сущность Active Directory. Следовательно, групповая политика — это одна из основных причин развертывания Active Directory, поскольку она позволяет управлять пользователями и объектами-компьютерами.

Администраторы создают групповые политики либо для запрещения пользователям выполнять определенные операции, либо для автоматического назначения определенных функциональных возможностей.

Например, можно задать групповую политику для вывода всем пытающимся войти в систему пользователям предупреждения о юридических последствиях или для ограничения их доступа к окну командной строки. Групповые политики можно применять к сайтам, доменам и организационным единицам AD DS, но их можно ориентировать и на конкретные группы. Это увеличивает возможности проектировщика домена в плане применении групповых политик.

Виды групповых политик

Групповые политики разделяются на 2 основные категории:

• Локальные групповые политики
• Глобальные групповые политики

Локальные групповые политики, предназначены для распределения, прав в пределах локальной сети. Являются одним из основным способов управления в системе Windows Server. Для вызова, необходимо перейти в Server Manager, и в меню Tools и перейти во вкладку Local Security Policy. После открытия, утилита предоставит возможности конфигурировать возможности и права для каждой группы пользователей локальной сети. Все эти действия осуществляются во вкладке Security Settings.

Глобальные групповые политики, по своей структуре и логике работы не отличаются от локальных, но их главным отличием является, область их действия. Они предназначены для администрирования в пределах глобальной сети домена, или доменов. Вызываются из меню Tools и там необходимо перейти во вкладку Group Policy Manager.

Упражнение

1) Для создания групповой политики, необходимо перейти в Group Policy Manager.

2) Перейти в необходимую организационную единицу или ресурс

3) Нажав правой кнопкой мыши по ней выбрать Create GPO in this domain

4) После создания, необходимо правой кнопкой нажать на созданную политику и выбрать Edit.

5) После чего откроется Group Policy Management Editor, который позволяет конфигурировать групповые политики.

6) Для перехода к конфигурированию, необходимо перейти в Computer Configuration

7) После чего перейти в Policies и выбрать Windows Settings

8) После чего перейти в Security Settingsи выбрать Local Policies

9) Тут находится 3 популярных и чаще всего используемых раздела администрирования.

10) Наибольший список находится в User Rights Assigment.

Пример наиболее популярных прав:

Занятие 26. Политика учетных записей

План занятия:

• Политика учетных записей

Политика учетных записей

Все политики безопасности являются политиками безопасности для компьютера. Политики учетных записей определяются на компьютерах и определяют взаимодействие учетных записей с компьютером и доменом. Существуют три политики учетных записей:

• Политика паролей
• Политика блокировки учетных записей
• Политика Kerberos

Для учетных записей домена политика учетных записей должна быть определена в объекте групповой политики (GPO) домена по умолчанию или в новом объекте GPO, связанном с корнем домена и имеющем приоритет над объектом GPO по умолчанию. Последний применяется контроллерами домена, составляющими домен. Если с уровнем домена связано более одного объекта групповой политики, содержащего настройки политики учетных записей, то политика учетных записей домена состоит из объединения настроек политики всех объектов GPO, связанных с доменом.

Контроллер домена всегда получает параметры политики учетных записей из объекта групповой политики, связанного с доменом, который по умолчанию является GPO домена по умолчанию. Так происходит и в том случае, если к подразделению, содержащему данный контроллер домена, применяется другая политика учетных записей. Присоединенные к домену рабочие станции и серверы (такие как рядовые компьютеры) получают для локальных учетных записей ту же политику учетных записей. Однако политики локальных учетных записей рядовых компьютеров могут отличаться от политики учетных записей домена, если они принадлежат подразделению, в котором определена своя политика учетных записей.

Упражнение

1) Перейти в Tools и выбрать Group Policy Manager

2) Перейти в созданную групповую политику и открыть ее для редактирования

3) Перейти в Computer Configuration

4) Выбрать Policies

5) Перейти в Windows Settings

6) Выбрать Security Settings и перейти в Account Policy

7) После перехода доступно все три политики учетных записей

В качестве примера рассматриваются политики пароля учетных записей:

Занятие 27. Аудит

План занятия:

• Введение в аудит
• Глобальные политики аудита

Введение в аудит

В Windows Server 2012 система аудита была существенно переработана, увеличено на 53 количество параметров. Стали отслеживаться все попытки создания, изменения, перемещения и восстановление объектов. В журнал записывается предыдущее и текущее значения измененного атрибута и учетная запись пользователя выполнившего операцию. Правда если при создании объектов для атрибутов использовались параметры по умолчанию, их значения в журнал не заносятся. Аудит внедряется при помощи: глобальной политики аудита (Global Audit Policy, GAP), списка управления доступом (SACL, System access control list) и схемы. Управлять аудитом стало возможным на уровне категорий. Например, политики аудита Active Directory разделены на 4 категории в каждой из которых настраиваются специфические параметры:

• Directory Service Access — доступ к службе каталогов;
• Directory Service Changes — изменения службы каталогов;
• Directory Service Replication — репликация службы каталогов;
• Detailed Directory Service Replication — подробная репликация службы каталогов.

Для просмотра записей в журнале безопасности предложена консоль Просмотр событий (Event Viewer) в Windows Server 2012 умеющая фильтровать события по дате при помощи настраиваемого представления: по уровню (критическое, предупреждение, ошибка и т.д.), источнику, коду, пользователю или компьютеру и ключевым словам.

Упражнение

1. Перейти в меню Tools
2. Открыть программу Event Viewer
3. Просмотреть встроенные журналы и события
4. Очистить журналы
5. Глобальные политики аудита

Для задания глобальных политик аудита, необходимо перейти в Group Policy Manager, Computer Configuration, перейти в Windows Settings, затем Security Settings, оттуда перейти в Local Policy и там Audit Policy. Пример стандартных политик аудита:

Упражнение

1. Установить политики Account Logon Events и System Events
2. Перезайти под любым другим пользователем в системе
3. Проверить журнал Security
4. Перезайти под администратором и проверить журнал

Познавательные статьи:



Техника прыжка в длину с разбега

Тактические действия в защите

История Олимпийских игр

История развития права интеллектуальной собственности