Робота з груповими політиками домену

Нижче наведено ряд прикладів, які демонструють роботу з груповими політиками домену.

Створення об'єкта групової політики. Для створення самостійного, ізольованого GPO:
  1. Запустіть консоль управління Microsoft (MMC).
  2. Виберіть в меню Консоль команду Додати / видалити оснастку, в наступному вікні натисніть кнопку Додати.
  3. У вікні Додати ізольовану оснастку виберіть елемент Групова політика, натисніть кнопку Додати.
  4. У вікні Пошук об'єкта групової політики натисніть кнопку Огляд. Запуститься браузер GPO.
  5. Для створення нового GPO з ім'ям, встановленим за замовчуванням, натисніть кнопку Новий об'єкт групової політики (Create New Group Policy Object) (рис. 27.5).
  6. Перейменуйте новостворений GPO. Дайте йому більш інформативне ім'я.
Примітка: Операційна система не стежить за унікальністю імен об'єктів групових політик безпеки, оскільки кожен GPO володіє внутрішнім глобальним унікальним ідентифікатором (GUID). За унікальність імені відповідає його творець.
  • Щоб закрити вікно браузера GPO, натисніть кнопку ОК. Натисніть кнопку Готово, щоб закрити вікно діалогу Пошук об'єкта групової політики.
  • Натисніть кнопку Закрити, щоб закрити вікно діалогу Додати ізольовану оснастку, потім закрийте вікно діалогу Додати / видалити оснащення.

    • Робота з груповими політиками домену

    Мал. 27.5. Вікно діалогу Пошук об'єкта групової політики (Browse for a Group Policy Object) і кнопка Новий об'єкт групової політики (Create New Group Policy Object)

    Тепер в оснащенні Групова політика завантажений щойно створений GPO. Відредагуйте його відповідно до загальної концепції забезпечення безпеки і асоціюйте його з відповідним доменом або OU.

    Примітка: Можна створювати і редагувати GPO відразу для конкретного контейнера. Це робиться на вкладці Групова політика в вікні властивостей цього контейнера (див. Нижче розділ "Прив'язка GPO до об'єктів Active Directory").

    Завантаження вже створеного GPO. Щоб завантажити GPO:
    1. Запустіть оснащення Групова політика. При запуску оснащення вкажіть завантаження GPO. Для цього натисніть кнопку Огляд. Запуститься браузер GPO.
    2. У вікні діалогу Пошук об'єкта групової політики виберіть потрібний GPO і натисніть кнопку ОК.
    Редагування GPO. Щоб відредагувати GPO:
    1. Завантажте потрібний GPO в оснащення Групова політика.
    2. Після запуску оснащення переміститеся по дереву вузлів і відкрийте редаговані параметри групової політики.
    3. У правом подокне вікна оснащення Групова політика клацніть на редагованому параметрі. У вікні, встановіть потрібне значення.
    Прив'язка GPO до об'єктів Active Directory. Щоб прив'язати створений GPO до сайту, домену або підрозділу (вставити посилання на деякий GPO):
    1. Запустіть оснащення Active Directory-сайти і служби - для роботи з сайтами або Active Directory-користувачі і комп'ютери - для доменів і підрозділів.
    2. Вкажіть той контейнер, для якого встановлюється асоціація з GPO, і натисніть праву кнопку миші. В меню оберіть команду Властивості і в вікні, перейдіть на вкладку Групова політика.
    3. Для того щоб додати новий GPO, натисніть кнопку Додати. Запуститься браузер GPO.
    4. Знайдіть об'єкт групової політики, з яким ви хочете асоціювати обраний контейнер, і виберіть його. Натисніть кнопку ОК. GPO буде додано до списку асоційованих об'єктів. Щоб змінити пріоритет політик (порядку проходження елементів в списку) використовуйте кнопки Вгору (Up) і Вниз (Down).
    Налаштування політики паролів для локальних облікових записів. Для настройки політики паролів в деякому домені або підрозділі:
    1. Створіть GPO, призначений для формування політики паролів, як було описано вище.
    2. Завантажте створений GPO і відкрийте вузол Конфігурація комп'ютера | Конфігурація Windows | Параметри безпеки | Політики облікових записів | Політика паролів.
    3. Встановіть необхідні значення параметрів політики паролів.
    4. Закрийте вікно оснащення Групова політика. Всі зроблені вами зміни будуть записані в GPO.
    5. Виконайте процедуру прив'язки створеного GPO до домену або підрозділу, описану в попередньому розділі.

    Тепер можна перемістити в цей домен або підрозділ все комп'ютери, на які повинна діяти створена вами політика паролів.

    Включення аудиту на контролерах домену. При створенні контроллера домена в контейнері Domain Controllers для нього за умовчанням формується GPO, що визначає локальні політики всіх контролерів домену. Для того щоб налаштувати аудит на всіх контролерах домену, можна просто відредагувати цей GPO.

    Для зміни політики аудиту контролерів домену:
    1. Запустіть оснащення Політика безпеки контролера домену (Domain Controller Security Policy) - команда Пуск | адміністрування | Політика безпеки контролера домену (Start | Administrative Tools | Domain Controller Security Policy). Можна також відкрити GPO для контролерів домену, підключивши до нього ізольовану оснастку Групова політика.
    2. Розкрийте вузол Локальні політики. Ви побачите три підрозділи, що відносяться до трьох налаштувань локальної політики.
    3. Виберіть розділ Політика аудиту (Audit Policy). У правом подокне з'являться політики аудиту
    4. Виберіть подвійним клацанням політику Аудит доступу до служби каталогів (Audit Directory Service Access).
    5. Для активізації аудиту встановіть прапорець Визначити наступні параметри політики (Define these policy settings). Аудит невдалих спроб отримання доступу до каталогу активізується установкою прапорця відмову (Failure) в групі Вести аудит наступних спроб доступу (Audit these attempts). Для активізації аудиту вдалих спроб отримання доступу до каталогу встановіть прапорець успіх (Success).
    6. Натисніть кнопку ОК. Всі зроблені вами зміни з'являться в правому подокне.
    7. Закрийте вікно оснащення. Нова політика набуде чинності.
    Налаштування привілеїв користувачів і груп при роботі в домені з Active Directory. За допомогою GPO можна визначити набір привілеїв, наявних у всіх користувачів домену або підрозділу. Для настройки привілеїв групи користувачів або індивідуального користувача при роботі з ресурсами комп'ютера:
    1. Створіть GPO, який зберігає необхідні значення параметрів групової політики. Процедура створення об'єкта описана вище.
    2. Завантажте його в оснащення Групова політика.
    3. У вікні оснащення Групова політика відкрийте вузол Конфігурація комп'ютера | Конфігурація Windows | Локальні політики | Призначення прав користувача (User Rights Assignments).
    4. У правом подокне вікна оснащення Групова політика двічі клацніть, наприклад, на рядку Обхід перехресної перевірки (Bypass traverse checking). У вікні (рис. 27.6) встановіть прапорець Визначити наступні параметри політики і натисніть кнопку Додати. У вікні Додавання користувача або групу, введіть назву настроюється групи або натисніть кнопку Огляд і виберіть потрібні групи або користувачів.
    5. Після вибору груп натисніть кнопку ОК. Всі зміни будуть записані в GPO.
    6. За допомогою описаної вище процедури встановіть асоціацію між створеним GPO і контейнером Active Directory, в якому будуть здійснюватися тільки що налаштовані привілеї.

    Робота з груповими політиками домену

    Мал. 27.6. Вікно діалогу Параметр політики безпеки (Security Policy Setting), що дозволяє редагувати привілеї користувачів і груп