Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

314
-
Aсtive Directory Users and Computers
. Эта утилита используется для управления объектами в домене. С ее помощью осуществляется добавление, перенос, удаление и изменение атрибутов таких объектов AD, как пользователи, группы, компьютеры и общие папки.
-
ADSIEdit.
Эта оснастка позволяет выполнять LDAP-операции по отношению к любым разделам каталога (домен, конфигурация или схема).
ADSIEdit осуществляет доступ к AD через ADSI и позволяет добавлять, удалять и перемещать объекты внутри AD. Также с ее помощью можно просматривать, изменять и удалять атрибуты.
21.1.4 Управление пользователями и группами Aсtive Directory
Необходимо обеспечить правильность настроек безопасности для всех учетных записей. Это можно сделать двумя способами: посредством политики учетной записи через групповую политику в домене с рассматриваемой учетной записью или посредством отдельных ограничений в свойствах пользовательской учетной записи для конкретного объекта
User
(Пользователь)
. Политики учетных записей применяются через оснастку
Local
Security Policy (Локальная политика безопасности
) или через механизм Group
Policy (Групповые политики)
в домене, в котором находится учетная запись.
Свойства учетной записи пользователя устанавливаются для пользователей в индивидуальном порядке. Так как эти параметры специфичны для каждого пользователя, у них нет ничего общего с групповой политикой или локальными параметрами безопасности; они являются атрибутами объекта
User
. С помощью оснастки
Aсtive Directory Users and Computers (Пользователи и компьютеры Aсtive Directory)
можно осуществлять администрирование пользователей домена, а посредством оснастки
Local Users and Groups
(Локальные пользователи и группы)
- администрирование локальных пользователей.
Рис. 21.1 - Утилита
Aсtive Directory Users and Computers (Пользователи и компьютеры Aсtive Directory)
При создании учетных записей пользователей основной используемой утилитой администрирования является оснастка
Aсtive Directory Users and
Computers (Пользователи и компьютеры Aсtive Directory)
, предназначенная для

315 администрирования учетных записей в рамках домена Aсtive Directory.
Оснастка
Aсtive Directory Users and Computers (Пользователи и компьютеры
Aсtive Directory)
(см. рис. 21.1) используется для управления пользователями, группами и другими элементами, такими как организационные единицы для доменов в лесу. По умолчанию оснастка запускается из меню
Start/Programs/Administrative
Tools
(Пуск/Программы/Администрирование)
на каждом контроллере домена. Эту оснастку также можно добавить в любую консоль MMC.
21.2 Групповая политика и безопасность
Групповые политики (Group Policies - GP) - представляют собой
основной метод обеспечения централизованного управления конфигурацией
безопасности в Windows 2000 и Windows 2003. Они могут применяться на уровне сайта, домена и OU, а также могут применяться к пользователям и компьютерам (Users and Computers)
в Aсtive Directory.
GP используются для выполнения следующих действий:
- Блокировка рабочих столов пользователей.
- Применение параметров безопасности.
- Ограничение доступа к приложениям.
- Установка разрешения реестра и файловой системы.
- Настройка конфигурации беспроводной сети.
Рекомендуется использовать утилиту
Group Policies вместо
Local System
Policies
, если это возможно.
21.2.1 Параметры конфигурации групповых политик
По умолчанию GP применяются в зависимости от расположения настраиваемого объекта. Пользовательские GP зависят от того, в каком сайте, домене и организационной единице находится объект «пользователь». То же самое относится и к компьютеру. GP применяются к компьютерам в зависимости от расположения объекта «компьютер» (сайт, домен и организационная единица, в которой находится компьютер). Это означает, что если GP применяется к объекту
User (Пользователь)
, то используется конфигурация пользователя, а конфигурация компьютера групповой политики игнорируется. И наоборот, если GP применяется к объекту
Computer
(Компьютер)
, используется конфигурация компьютера, а конфигурация пользователя игнорируется.
Утилита
Group Policies
разделена на две области:
-
User (Пользователь),
-
Computer (Компьютер)
.

316
Область настройки пользователя
User Configuration
содержит такие
элементы, как параметры рабочего стола, параметры безопасности и
сценарии входа и выхода их системы. Эти элементы определены под деревом
User Configuration и применяются при входе в систему или обновлении групповой политики.
Область настройки компьютера
Computer Configuration
используется
для настройки работающей системной среды (а не пользовательской
оболочки), включая параметры служб, параметры безопасности и сценарии
загрузки/отключения. Эти элементы определены в дереве
Computer
Configuration и применяются при загрузке и обновлении
Group Policy
Соответственно областям групповая политика имеет два основных дерева данных конфигурации:
-
Computer Configuration (Конфигурация компьютера),
-
Users Configuration (Конфигурация пользователей)
Эти области отображаются в виде двух раздельных секций в окне
Group
Policy Object Editor (Редактор объекта групповой политики)
(см. рис. 21.2).
Рис. 21.2 - Редактор объекта групповой политики
Конфигурация компьютера содержит следующие настройки.
-
Aсcount Policies: Password Policy (Политики учетных записей: политика паролей).
Позволяет настраивать историю, требования к возрасту, длине и сложности паролей.
-
Aсcount Policies: Aсcount Lockout Policy (Политики учетных записей: политика блокировки учетных записей).
Позволяет настраивать число попыток, длительность и сброс.
-
Local Policies: Audit Policies (Локальные политики: политики аудита).
Позволяет включать аудит в системах.

317
-
Local Policies: User Rights Assignment (Локальные политики: присвоение прав пользователей).
Позволяет присваивать пользовательские права пользователям и группам.
-
Local Policies: Security Options (Локальные политики: параметры безопасности).
Позволяет настраивать политики, связанные с безопасностью, включая подписи SMB, ограничения безопасности каналов, автоматический выход, уровень аутентификации LAN
Manager, текстовое сообщение входа и примечание, а также множество других элементов (40 по умолчанию).
-
Event Log: Settings for Event Logs (Журнал событий: параметры журналов событий).
Позволяет настраивать объем журнала, ограничения доступа, параметры сохранения, а также необходимость отключения системы по заполнении журналов.
-
Restricted Groups: Members of Restricted Group (Ограниченные группы: члены ограниченной группы).
Предписывает членство в группе. Если пользователь или группа входят в список членов ограниченной группы, но не находятся в группе, происходит добавление в группу этого пользователя или группы. Если пользователь или группа является членом группы, но отсутствует в списке членов ограниченной группы, то этот пользователь или группа удаляется.
-
Restricted Groups: Restricted Group Is Member Of (Ограниченные группы: ограниченная группа входит в…).
Если ограниченная группа не входит в группу, которой она должна принадлежать, она добавляется в нее.
В отличие от предписания членства в группе, описанного выше, если ограниченная группа принадлежит группе, которая здесь отсутствует, то эта ограниченная группа не удаляется.
-
IP Security Policies (Политики безопасности IP).
Позволяет настраивать списки и действия фильтров, правила политик, методы защиты и аутентификации, типы соединений и ключевые параметры и методы обмена.
Конфигурация пользователя содержит следующие настройки.
-
Windows Settings: Internet Explorer Maintenance: Security (Настройки
Windows: обслуживание Internet Explorer: безопасность).
Позволяет настраивать особые зоны безопасности, оценку содержимого и параметры аутентификации.
-
Windows Settings: Scripts (Настройки Windows: сценарии).
Позволяет указывать сценарии входа и выхода из системы.
-
Administrative Templates: Windows Components: Windows Explorer
(Шаблоны администрирования: компоненты Windows:
Проводник
Windows).
Позволяет настраивать пользовательские параметры для
Проводника Windows. Среди этих параметров следует отметить:
- удаление меню
File (Файл)
,
- опций
Map Network Drive (Подключить сетевой диск)
,

318
-
Disconnect Network Drive (Отключить сетевой диск)
,
- скрытие вкладки
Hardware (Оборудование)
,
- запрос аутентификационных данных для сетевых инсталляций,
- и другое.
-
Administrative Templates: Windows Components: Windows Installer
(Шаблоны администрирования: компоненты Windows: программа установки Windows Installer).
Позволяет запретить пользователям производить установку со съемных носителей, а также вносить другие изменения в конфигурацию.
-
Administrative
Templates:
Start
Menu and
Taskbar
(Шаблоны администрирования: меню Пуск и панель задач).
Позволяет удалять папки пользователя из меню
Start (Пуск)
, отключать и удалять ссылки на Windows Update, отключать опцию
Log Off (Выход из системы)
в меню
Start (Пуск)
, отключать и удалять команду
Shut Down
(Завершение работы)
, удалять отдельные меню и др.
-
Administrative
Templates:
Desktop
(Шаблоны администрирования:
Рабочий стол)
. Используется для скрытия всех значков Рабочего стола, запрета на изменение пользователями пути к папке
My
Documents (Мои документы)
, необходимости сохранения параметров при выходе и др. Также позволяет настраивать элементы, связанные с Aсtive Desktop, и взаимодействие пользователей с Aсtive Directory.
-
System: Group Policy (Система: групповая политика).
Позволяет настраивать пользовательские параметры, такие как интервал обновления пользователей, выбор контроллера домена, автоматическое обновление файлов ADM и др.
Выше приведены наиболее важные компоненты оснастки
Group Policies с указанием того, каким образом они связаны с безопасностью. Это лишь очень общее описание рассматриваемой области, а не полноценный обзор.
Обязательно ознакомьтесь с более детальной информацией по данной теме перед тем, как вплотную заняться работой с оснасткой
Group Policies
21.2.2 Групповые политики по умолчанию
Имеются две групповые политики, установленные по умолчанию,
создаваемые при создании домена:
1.
Default Domain Policy (Политика домена по умолчанию)
применяется к
контейнеру домена. Она может быть применена ко всем
компьютерам в домене по умолчанию)
2.
Default Domain Controller Policy (Политика контроллера домена по умолчанию)
применяется к «специальному» контейнеру контроллера
домена в домене и, кроме того, применима только к контроллерам
домена).

319
21.2.3 Дополнения групповой политики в Windows 2003
В Windows 2003 в групповую политику добавлены два отдельных элемента, связанных с безопасностью систем в AD. Этими элементами являются:
-
Software Restriction Policies (Политики ограничения программного обеспечения)
-
Wireless Network (IEEE 802.11) Policies (Политики беспроводных сетей
[IEEE 802.11])
Функции оснастки
Group Policy такие же, как у оснастки
Local Security
Policy (Локальная политика безопасности)
, однако эту оснастку можно применить к домену или OU. Параметры, связанные с безопасностью, настраиваемые с помощью данной групповой политики, включают в себя следующие настройки:
- Тип беспроводной сети, к которой могут осуществлять доступ клиенты:
Ad Hoc (Точка доступа)
,
Infrastructure (Инфраструктура)
или
Аny (Любая)
- Возможность запрета на использование беспроводными клиентами
Windows локальных параметров Windows для настройки их параметров беспроводных сетевых соединений.
- Возможность разрешить пользователям подключаться только к предпочитаемым сетям.
- Возможность требовать аутентификацию 802.1X при каждом подключении к беспроводным сетям 802.11 (см. рис. 21.3).
Рис. 21.3 - Свойства IEEE 802.1x
- Указание типа
EAP: Smart Card or other certificate (Смарт-карта или другой сертификат)
или
Protected EAP (PEAP) (Защищенный EAP)

320
- Выбор метода аутентификации для использования в
PEAP: Secured password (EAP-MSCHAP v2) (Защищенный пароль EAP-MSCHAP v2)
или
Smart Card or other certificate (Смарт-карта или другой сертификат)
21.2.4 Особенности применения настроек и политик безопасности
Ниже приведены шаги, автоматически выполняемые системой при оценке/применении Group Policy.
При загрузке системы:
1. Область
Computer Configuration (Конфигурация компьютера)
оснастки
Local Security Policy (Локальная политика безопасности)
2. Область
Computer Configuration (Конфигурация компьютера)
оснастки
Group Policies (Групповые политики)
, связанной с сайтом (в порядке предпочтения - от наименее до наиболее предпочтительного).
3. Область
Computer Configuration (Конфигурация компьютера)
оснастки
Group Policies (Групповые политики)
, связанной с доменом.
4. Область
Computer Configuration (Конфигурация компьютера)
оснастки
Group Policies (Групповые политики)
, связанной с OU, в порядке предпочтения - от самой внешней организационной единицы до самой внутренней, и внутри OU - с самого низкого уровня до самого высокого.
При входе пользователя:
1. Области
User Configuration (Конфигурация пользователя)
оснастки
Local Security Policy (Локальная политика безопасности)
2. Области
User Configuration (Конфигурация пользователя)
оснастки
Site
Group Policies (Групповые политики сайта)
в порядке предпочтения.
3. Области
User Configuration (Конфигурация пользователя)
оснастки
Domain Group Policies (Групповые политики домена)
в порядке предпочтения.
4. Области
User Configuration (Конфигурация пользователя)
оснастки
OU
Group Policies (Групповые политики организационного подразделения)
в порядке предпочтения.
21.2.4.1 Замыкание на себя
По умолчанию GP применяются в зависимости от расположения настраиваемого объекта. Чтобы обойти эту возможность для пользователей, компания Microsoft реализовала замыкание на себя (loopback)
. Эта возможность используется для конфигурации пользователя групповых политик, а также конфигурации компьютера, в зависимости от расположения объекта «компьютер» (не пользователь) при входе пользователя в систему.
Таким образом, каждый пользователь, осуществляющий вход в систему компьютера, получает конфигурацию пользователя (User Configuration)
из

321 групповых политик этого компьютера. При включении опции можно также указать функцию
Merge (Слияние)
(объединение конфигурации из всех групповых политик) или
Replace
(Замещение)
(только применение конфигураций пользователей в зависимости от расположения объекта
«компьютер»).