Працюючи з груповими політиками, слід враховувати, що:
- об'єкти GPO застосовуються щодо контейнерів, а не замикаючих об'єктів;
- один контейнер може бути пов'язаний з декількома об'єктами GPO;
- об'єкти GPO, пов'язані з одним і тим же контейнером, застосовуються щодо цього контейнера в тому порядку, в якому вони були призначені;
- об'єкт GPO включає в себе дві складові: параметри, що відносяться до комп'ютера, і параметри, що відносяться до користувача;
- обробку будь-якої з цих складових можна відключити;
- спадкування об'єктів GPO можна блокувати;
- спадкування об'єктів GPO можна форсувати;
- застосування об'єктів GPO можна фільтрувати за допомогою списків ACL. (ACL - список контролю доступу, який визначає, хто або що може отримувати доступ до конкретного об'єкта, і які саме операції дозволено або заборонено цьому суб'єкту проводити над об'єктом.)
Розмежування прав користувачів в ОС Windows
o Призначення їм прав на використання можливостей системи в цілому, безпосередньо пов'язаних з безпекою (оснащення Локальна політика безпеки, secpol.msc).
Обмеження прав на рівні окремого користувача
o заборона використання коштів редагування реєстру;
o заборона використання Панелі управління або її окремих функцій;
o видалення команд «Виконати» і «Пошук» з меню Пуск;
o заборона на виконання програм в сеансі командного рядка;
o заборона блокування комп'ютера і завершення роботи з операційною системою (в тому числі її перезавантаження);
o можливість запуску тільки дозволених додатків з окремого списку;
o заборона на відображення структури локальної мережі;
o приховування дисків в папці «Мій комп'ютер» і у вікні Провідника;
o видалення меню «Файл» з Провідника і ін.
Редагування значення параметра безпеки
Обмеження прав на рівні комп'ютера
o установка додаткових програм або документів, які Windows буде автоматично запускати або відкривати при вході користувача в систему;
o завдання обов'язкового застосування дискових квот і заборона користувачам змінювати цей параметр;
o можливість Windows отримувати доступ до Інтернету для виконання завдань, що вимагають звернення до ресурсів Інтернету та ін.
Інформація про обмеження прав
Для локальних облікових записів - в локальних профілях користувачів (розділах реєстру HKEY_CURRENT_USER \ Software \ Policies (HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies) і HKEY_LOCAL_MACHINE \ Software \ Policies (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies)) . Тому обов'язковим є заборона на використання засобів редагування реєстру і оснащення для редагування об'єктів групової політики непривілейованими користувачами.
Для глобальних облікових записів - в переміщуваних профілях користувачів в Active Directory. У цьому випадку після входу користувача КС в домен з будь-якого комп'ютера інформація про встановлені для нього обмеження з переміщуваного профілю на сервері буде замість відповідні розділи реєстру на використаної для входу в систему робочої станції.
Призначаються права користувачам і групам
o Архівування та відновлення файлів і папок.
o Зміна системного часу.
o Доступ до комп'ютера з мережі.
o Оволодіння файлами або іншими об'єктами.
o Управління аудитом і журналом безпеки.
o Налагодження програм і ін.
Вікно оснащення «Локальна політика безпеки»
Редагування значення параметра безпеки
Призначення прав користувачам і групам
Ці права є права суб'єктів на виконання дій, що відносяться до системи в цілому, а не до окремих її об'єктів. Кожному праву відповідає унікальний локальний ідентифікатор LUID (locally unique identifier), який визначається символічною константою (наприклад, SE_SYSTEMTIME_NAME). Для відображення користувачеві змісту конкретного права з ним також зв'язується текстовий рядок (наприклад, «Зміна системного часу» або «Change the system time»). Внутрішнє представлення інформації про право залежить від конкретної реалізації і не документовано.
Інформація про призначені правах користувачам і групам
Інформація про права, призначених користувачам і групам, міститься в їх облікових записах в файлі SAM.
Загальний недолік механізму розмежування прав користувачів
Відсутність можливості розмежування доступу користувачів до ресурсів комп'ютерної системи (окремих файлів, папок, розділів реєстру, пристроїв), тобто визначення правил на застосування суб'єктами різних видів доступу (читання, запис, виконання, друк і т.д.) до об'єктів.