Лабораторная работа №5. Реализация групповой политики. Лабораторная работа 5. Лабораторная работа 5. Реализация групповой политики
Скачать 1.42 Mb.
|
Лабораторная работа №5. Реализация групповой политикиЦель работы: получить навыки реализации групповой политики в Active Directory Постановка задачиВ данной работе выполнить следующие задачи: - создать объект групповой политики, который реализует параметр обязательной политики безопасности домена с областью действия для всех пользователей и компьютеров в домене; проверить результат применения параметра групповой политики, а также получить навыки в обновлении политики вручную с помощью инструмента Gpupdate.exe; просмотреть результат применения GPO и сам объект GPO; провести анализ административного шаблона; создать центральное хранилище административных шаблонов, для централизации управления шаблонами. Порядок выполнения работыВойдите на виртуальную машину как администратор. В группе «Администрирование» откройте консоль «Управление групповой политикой». Разверните лес и ваш домен и откройте контейнер «Объекты груп повой политики». В дереве консоли щелкните правой кнопкой мыши контейнер «Объекты групповой политики» и выполните команду «Создать» (рисунок 1). Рисунок 1 – Окно выбора имени нового объекта групповой политики В поле «Имя» введите имя «Стандарты + ваша компания». Щелкните «ОК». Щелкните правой кнопкой мыши объект «Стандарты + ваша компания» и выполните команду «Изменить». Откроется «Редактор управления групповыми политиками» (Group Policy Management Editor) . В консоли щелкните правой кнопкой мыши корневой узел «Стандарты + ваша компания» и выполните команду «Свойства». Перейдите на вкладку «Комментарий» и введите комментарий «Стандарты корпоративных политик Вашей компании. Параметры влияют на всех пользователей и компьютеры в домене. Ответственное лицо за объект GPO: ваше имя». Щелкните ОК (рисунок 2). Рисунок 2 – Добавления комментария в объект групповой политики В этом сценарии корпоративная политика безопасности вашей компании указывает, что компьютеры нельзя оставлять без присмотра и входить на них после 10 мин. простоя. Для того чтобы выполнить это требование, конфигурируется время ожидания экранной заставки и параметры политики пароля защиты экранной заставки. Для локализации этих параметров политики применяются новые поисковые возможности Windows Server 2012. Разверните узел «Конфигурация пользователя\Политики\Административные шаблоны». Просмотрите параметры в этом узле. Прочитайте описание интересующих вас параметров политики. Не вносите изменения в конфигурацию (рисунок 3). Рисунок 3 – Просмотр политик В узле «Конфигурация пользователя» щелкните правой кнопкой мыши узел «Административные шаблоны» и выполните команду «Параметры фильтра». Установите флажок «Включить фильтры, по ключевым словам,». В текстовом поле «Фильтры по словам» введите слова «экранная заставка». В раскрывающемся списке возле текстового поля выберите опцию «Точное» (рисунок 4). Щелкните ОК. Рисунок 9.4 – Настройка параметров фильтра Параметры политики административных шаблонов будут отфильтрованы для отображения параметров со словами экранная заставка. Просмотрите найденные политики экранной заставки. В узле «Панель управления\Персонализация» щелкните параметр политики «Таймаут экранной заставки». В левой части панели сведений консоли отобразится описание параметра. Дважды щелкните параметр политики «Таймаут экранной заставки». Перейдите на вкладку «Параметр» и выберите опцию «Включен» в поле «Секунды» введите значение 600 (рисунок 5). Рисунок 5 – Настройка параметра «Таймаут экранной заставки» На вкладке «Комментарий» введите «Корпоративная политика безопасности реализована с помощью этой политики в комбинации с парольной защитой экранной заставки». Щелкните ОК. Дважды щелкните параметр политики «Использовать парольную защиту для экранных заставок». Выберите опцию «Включить». На вкладке «Комментарий» введите «Корпоративная политика безопасности реализована с помощью этой политики в комбинации с политикой таймаута экранной заставки» (рисунок 6). Щелкните ОК. Рисунок 6 – Настройка параметра «Защита заставки с помощью пароля» Закройте редактор GPME. Изменения, внесенные в GPME, сохраняются в реальном времени. Такая команда, как «Сохранить», отсутствует. В консоли «Управление групповой политикой» щелкните правой кнопкой мыши на иконке вашего домена и выполните команду «Связать существующий объект GPO». Выберите объект групповой политики «Стандарты + ваша компания» и щелкните ОК. На виртуальной машине щелкните правой кнопкой мыши рабочий стол и выполните команду «Персонализация». Щелкните ссылку «Экранная заставка». Вы можете изменить время ожидания экранной заставки и ее отображение, начиная с экрана входа в систему. Закройте диалоговое окно «Параметры экранной заставки». Откройте окно командной строки и введите команду gpupdate.exe /force /boot /logoff. Эти опции команды Gpudate.exe указывают на полное обновление групповой политики. Подождите, пока закончится обновление политик компьютера и пользователя. Вновь откройте диалоговое окно «Параметры экранной заставки». Теперь вы не сможете изменить время ожидания и отображение экранной заставки (рисунок 7). Рисунок 7 – Отсутствие Параметров экранной заставки В контейнере «Объекты групповой политики» консоли «Управление групповой политикой» выберите объект «Стандарты + ваша компания». В секции «Связи» вкладки «Область» показаны связи GPO. Перейдите на вкладку «Параметры», чтобы просмотреть отчет о параметрах в объекте GPO. Если включена конфигурация повышенной безопасности Internet Explorer, подтвердите добавление содержимого веб-узла «about:security_mmc.exe» в зону надежных узлов (Trusted Sites) . Щелкните ссылку «Показать все» в верхней части отчета, чтобы развернуть все секции отчета. Как видите, в отчет добавлены комментарии к параметрам политики (рисунок 8). Рисунок 8 – Окно отчета объекта групповой политики Наведите указатель мыши на имя политики «Таймаут экранной заставки». Как видите, оно представляет собой гиперссылку. Щелкните ее, чтобы просмотреть объяснение данного параметра политики. Перейдите на вкладку «Сведения», где отображаются ваши комментарии к объекту GPO вместе с информацией о номерах версии GPO (рисунок 9). Рисунок 9 – Окно с данными о версии объекта групповой политики Запишите уникальный код, отображаемый на вкладке «Таблица». Откройте папку %SystemRoot%\PolicyDefinitions. Откройте в ней папку ru-RU для русского региона и языка. Дважды щелкните файл ControlPanelDisplay.adml. Щелкните опцию «Выбор программы из списка установленных про грамм», а затем ОК. Откройте файл с помощью программы «Блокнот» и щелкните ОК. В меню «Формат» выберите параметр «Перенос по словам». Выполните поиск текста «ScreenSaverIsSecure». Просмотрите метку параметров и текст объяснения в следующей строке (рисунок 11). Рисунок 11 – Просмотр шаблона групповой политики Закройте файл и перейдите к папке PolicyDefinitions. Дважды щелкните файл ControlPanelDisplay.admx. Щелкните опцию «Выбор программы из списка установленных программ» и ОК. Откройте файл с помощью программы «Блокнот» и щелкните ОК. Найдите в файле приведенный ниже текст: dlsplayName="$(string. ScreenSaverIsSecure)" explainText="$(string.ScreenSaverIsSecu re_Help)" key="Software\Policies\Microsoft\Windows\Control Panel\Desktop" ' valueName="ScreenSaverIsSecure"> ref="Display" /> 1 Идентифицируйте следующие элементы в шаблоне (рисунок 12): имя параметра политики, которое отображается в редакторе GPME; текст объяснения параметра политики; ключ реестра и значение, измененное параметром политики; данные, помещаемые в реестр в случае включения политики; данные, помещаемые в реестр в случае отключения политики. Рисунок 12 – Просмотр шаблона групповой политики В консоли «Управление групповой политикой» щелкните правой кнопкой мыши объект групповой политики «Стандарты + ваша компания» и выполните команду «Изменить». Разверните узел «Конфигурация пользователя\Политики\Административные шаблоны». Отметьте: в имени узла указано, что Определения политик (ADMX-файлы) получены с локального компьютера. Закройте «Редактор GPME» (рисунок 13). Рисунок 13 – Окно редактора групповой политики Откройте папку \\Ваша домен\SYSVOL\ Ваша домен \Policies. Создайте папку с именем PolicyDefinitions. Скопируйте в созданную папку содержимое папки %SystemRoot%\ PolicyDefinitions. В консоли «Управление групповой политикой» щелкните правой кнопкой мыши объект «Стандарты + ваша компания» и выполните команду «Изменить». Разверните узел «Конфигурация пользователя\Политики\Административные шаблоны» . Отметьте: в имени узла указано, что Определения политик (ADMX- файлы) получены с центрального хранилища (рисунок14). Рисунок 14 – Окно редактора групповой политики |