записки ремесленника АЛЕКСАНДР ПРИХОДЬКО Спецвыпуск: Хакер, номер #066, стр. 066-100-1 (SANPRIH@MAIL.RU) НАСТРОЙКА ДОМЕННОЙ ПОЛИТИКИ БЕЗОПАСНОСТИ Можно дать другому разумный совет, но нельзя научить его разумному поведению Франсуа Ларошфуко («Большая книга афоризмов» Константина Душенко) Прошлый выпуск записок закончился на призыве быть снисходительным к пользователю, однако я совсем не призывал потворствовать всем его прихотям. Просто объясняй, как вести себя в цифровом мире правильно, чтобы всем жилось легко и спокойно. Не бойся учить пользователя, часто он творит бардак не со зла, а по незнанию. Будь мудр и справедлив. Самый простой способ избежать неприятностей — в корне пресечь все их возможные причины. Продолжим заниматься причинами Прежде чем выходить на тропу войны с неблагонадежными пользователями, настроим рабочие GPO. Для начала подключим к каждой рабочей группе диск. Разграничение доступа на диск мы делали раньше — теперь автоматизируем процесс. Создаем OU для наших групп: «Начальство», «Бухгалтеры», «Экономика». Имя OU и группы не должны полностью совпадать. Оснастка Active Directory Users and Computers, правая кнопка мыши на имени домена> New> Organizational Unit. Открываем Group Policy Management. Либо через консоль, которую ты, надеюсь, сохранил, либо правой кнопкой мыши на имени домена (оснастка Active Directory Users and Computers), идем в Properties> закладка Group Policy> Open. Теперь приготовим скрипты для автоматического подключения сетевых дисков. Создадим на диске С: папочку и назовем ее «Scripts». Определимся с сетевыми ресурсами. Скорее всего, у тебя есть сетевые ресурсы, нужные абсолютно всем твоим пользователям. Имеет смысл подключить их на уровне домена. Вот, к примеру, обменный диск, в котором каждый может творить что угодно. Назовем диск «О:». Перед началом работы немного отвлекусь и предложу тебе для каждой глобальной задачи создавать отдельный объект групповой политики. Сначала создадим скрипт. Откроем блокнот (он же Notepad, он же любой текстовый редактор) и наберем следующую команду: net use O: \\xak\Обмен. Если ты называешь расшаренные ресурсы русскими символами, убедись, что имя в скрипте читаемое, например, обратившись к Far’у. После создания скрипта Notepad’ом вполне можно получить unicode’овские кракозябры. Правим файл в Far’е. Я привел пример для того, чтобы ты не наступал на грабли. Если назовешь шару неправильно, она, естественно, не будет работать. Сохраняем файл в нашу папочку Scripts и меняем его расширение с *.txt на *.bat. Скрипт готов. Теперь просто нажимаем «Ввод» и смотрим, как отработал наш скрипт. Все нормально, на самом контроллере домена подключился сетевой диск. Теперь подключим скрипт для всех пользователей домена. Маленькое отступление. Когда компьютер, на котором есть сетевые подключения, загружается, он лезет на указанный контроллер домена и считывает две политики. Первая политика накручивается на сам компьютер (Computer Configuration), вторая — на пользователя (User Configuration). Скрипты можно прописывать в обеих политиках. Делаем следующее. Те задачи, которые необходимо накрутить на всех пользователей домена, прописываем в Default Domain Policy. Я, например, вижу немного таких задач: политика паролей, политика неудачных входов, настройка прокси-сервера, подключение общей шары и политика аудита. Я прописываю еще стартовую страницу в Internet Explorer, чтобы неопытный пользователь при запуске IE мог почитать хоть что-то. |