записки ремесленника

АЛЕКСАНДР ПРИХОДЬКО

Спецвыпуск: Хакер, номер #065, стр. 065-096-3

Политики действуют по принципу, согласно которому если слабая политика запрещает, а более сильная ничего не говорит по этому поводу, то накладывается запрет. Если слабая разрешает, а1более сильная запрещает — накладывается запрет. Если слабая запрещает, а более сильная разрешает — выдается разрешение. Если политики безопасности применяются неправильно, может случиться и такое, что даже с правами админа ты не попадешь на свой контроллер домена. Будь осторожен как сапер!

Я предлагаю такой вариант назначения политик: политикой домена (D) устанавливаются правила, которые будут распространяться на пользователей и компьютеры домена, причем на все без исключения. Посмотрим, к примеру, на политику паролей. Политику сайта (S) и локальную (L) не трогаем совсем. Политикой OU как раз настраиваем все, что нужно.

С сайта www.microsoft.com рекомендую скачать программу Microsoft Group Policy Management Console (gpmc.msi). Она упрощает работу с политиками, делает ее более наглядной. Чтобы получить доступ к инструменту, предназначенному для работы с политикой, делаем следующее. Вызываем оснастку mmc: Start-> Run — набираем в командной строке mmc. Получаем консоль управления.

Пока она чистая. Добавим необходимые нам инструменты: File-> Add/Remove Snap-in. В открывшемся окошке нажимаем кнопку Add и выбираем Group Policy Management.

Заодно можешь добавить Group Policy Object Editor. Кстати, ты заметил, сколько еще инструментов прячется здесь? Вот оно — поле для творчества!

Теперь можешь сохранить консоль на рабочий стол — пригодится. Открываем консоль, разворачиваем все списки и смотрим, что там есть.

Групповые политики воздействуют на пользователей по вот такому механизму: берешь любого пользователя, Start-> Programs-> Administrative Tools-> Active Directory Users and Computers, перетаскиваешь пользователя мышью в нужный OU. Политика для этого него обновится через некоторое время или при его следующем входе в домен.

Чтобы изменения в политике безопасности начинали применяться мгновенно, существует команда «gpupdate /force». Start-> Run-> cmd — и в командной строке набираешь команду.

Лирическое отступление. Когда пользователь входит в домен, компьютер считывает с контроллера домена политику для компьютера и только затем — для самого пользователя. Следовательно, чем больше OU вложены друг в друга и чем медленнее работает сеть, тем больше время, которое пользователь будет тратить на вход в свою машину. Если ты не пользуешься политикой безопасности для компьютера (Computer Configuration), то лучше отключить ее. То же самое касается пользователя (User Configuration). Если говорить в общем, политика безопасности — довольно объемная и интересная тема, по ней написано много книг. Эта статья слишком маленькая, чтобы я успел рассказать о политике все. Я только указываю направление.