Использование групповых политик безопасности
.pdf
Использование групповых политик безопасности. Добрынин А.С.
Предварительная подготовка
1)Установите контроллер домена на реальную машину или виртуальную машину.
2)Подключите виртуальную машину к контроллеру домена (необязательно).
С увеличением парка компьютеров на предприятии все более остро встаёт вопрос о стоимости его управления и содержания. Ручная настройка компьютеров отнимает немало времени у персонала и заставляет, с увеличением количества компьютеров, увеличивать штат обслуживающего их персонала. К тому же при большом количестве машин следить за соблюдением принятых на предприятии стандартов настройки становится всё труднее. Групповые политики (Group Policy) являются комплексным инструментом централизованного управления компьютерами с ОС Windows 2000 и выше в домене Active Directory. Все настройки, которые вы создаете в рамках групповых политик, будут храниться в объектах групповой политики (Group Policy Object, GPO). Объекты групповых политик бывают двух типов: локальный объект групповой политики и объекты групповых политик Active Directory. Локальный объект групповой политики есть на компьютерах под управлением Windows 2000 и выше. Он может быть только один, и это единственный GPO, который может быть на компьютере, не входящем в домен. Объект групповой политики — это общее название набора файлов, директорий и записей в базе Active Directory (если это не локальный объект), которые хранят ваши настройки и определяют, какие ещё параметры вы можете изменить с помощью групповых политик. Создавая политику, вы фактически создаёте и изменяете объект групповой политики. Локальный объект групповой политики хранится в %SystemRoot%\System32\GroupPolicy. GPO Active Directory хранятся на контроллере домена и могут быть связаны с сайтом, доменом или OU (Organizational Unit, подразделение или организационная единица).
Привязка объекта групповой политики применяется через оснастку Active Directory Sites And Services (Сайты и службы), см. рисунки ниже.
Рисунок 1. Оснастка Active Directory Sites And Services.
Рисунок 2. Открытие объекта групповой политики.
Рисунок 3. Добавление нового объекта групповой политики.
Также объекты групповой политики могут быть связаны с доменом, см. рисунки 4,5.
Рисунок 4. Окно свойств домена.
Рисунок 5. Окно групповой политики домена
Также объекты групповой политики (ОГП) можно привязать к организационным подразделениям на требуемую иерархию уровней вложенности.
Рисунок 6. Наследование политики.
Итак, откроем редактор групповой политики домена Active Directory.
Рисунок 7. Редактор параметров групповой политики.
По умолчанию, политика безопасности на уровне домена сконфигурирована таким образом, что запрещается использовать простые пароли, подключаться доменным пользователям локально в систему и т.д. Для более комфортной работы сконфигурируем контроллер домена в “упрощенной” форме
1) Упростим требования к паролям.
Рисунок 8. Упрощение требований к паролям
Задание.
Настройте политики безопасности на ур. домена:
А) Длина пароля 0 символов.
Б) Пароль отвечает требованиям сложности – выключен.
Г) Переименование учетной записи администратора и гостя.
Создайте орг. подразделение test1 c пользователем u1.
А) Запретите пользователям test1 доступ к панели управления.
Б) Запретите пользователям test1 доступ к меню выполнить.
Создайте орг. подразделение test2 c пользователем u2.
А) Запретите пользователям test2 доступ к диспетчеру задач.
Использование сценариев входа
С использованием групповых политик можно автоматизировать решение различных административных задач с использованием сценариев входа. Сценарии могут выполнять команды операционной системы, задавать переменные системной среды и вызывать другие сценарии или исполняемые программы. Для создания сценариев входа в систему можно использовать текстовый редактор. Некоторые задачи, обычно выполняемые сценариями входа в систему, включают. Windows 2003 Server поддерживает две среды исполнения сценариев:
1)Сценарии пакетных файлов (сценарии написанные на языке пакетных файлов с расширением .bat или .cmd)
2)Сценарии, написанные на языках VBScript и JavaScript, используемые сервером сценариев
WSH Windows 2003.
Пакетный файл представляет собой неформатированный текстовый файл, содержащий одну или несколько команд и имеющий расширение имени .bat или .cmd. Когда имя такого файла вводится в командной строке, программа Cmd.exe выполняет по порядку команды, записанные в файле. Создайте на жестком диске вашего компьютера папки share1, share2 и откройте к ним общий доступ.
Рисунок 9. Открытие общего доступа к папкам.
Создайте файл с именем script.txt, введите туда следующий текст. Не забудьте заменить используемый ip – адрес ip – адресом вашего компьютера:
Рисунок 10. Текст сценария.
Переименуйте файл в script.cmd. Откройте объект групповой политики домена, сейчас потребуется добавить сценарий для входа всех пользователей домена.
Откроется окно групповых политик.
Перейдите к редактору групповых политик, на вкладку конфигурация пользователя, сценарии входа – выхода, как показано на скриншоте ниже.
На вкладке вход в систему нажмите кнопку “Показать файлы”, см. рисунок ниже.
Скопируйте файл script.cmd в пустую папку.
Добавьте файл на вкладку сценарии.
Выполните команду:
Перезайдите в систему под пользователем Администратор. Запустятся приложения калькулятор, paint, а также будут подключены указанные сетевые ресурсы.
Возможно, на практике также потребуется создать дополнительные сетевые ресурсы для пользователей различных организационных подразделений, входящих в состав домена. Сейчас мы займемся решением этой задачи. Добавьте папки op1, op2, настройте для них общий сетевой доступ, также создайте организационные подразделенияop1,op2. См. рисунок ниже.