записки ремесленника АЛЕКСАНДР ПРИХОДЬКО Спецвыпуск: Хакер, номер #066, стр. 066-100-2 Еще один совет — стараться не делать ничего глобального на Default Domain Policy, иначе при неправильной настройке политики поимеешь работоспособный домен, в который не сможет попасть даже админ, то есть ты. Достаточно запретить всем локальный вход на контроллер домена — и ты попал. Впрочем, это уже тонкости. «Продолжаем разговор», как говаривала первая система охлаждения — Карлсон. Подключаем наш сетевой диск на все компьютеры домена. Открываем Group Policy Management> Computer Configuration> Windows Setting> Scripts (Startup/Shutdown). Далее двойной щелчок мышью на startup’е, открывается окно Startup Properties. Параллельно открываешь папку Scripts на диске С:, выделяешь свой файл «Обмен.bat», далее магический пасс <Ctrl>+<C> (для тех, кто не понял: это было копирование). Переходишь в окно Startup Properties, нажимаешь кнопку Show Files и попадаешь вглубь папки групповой политики. Здесь нажимаешь <Ctrl>+<V>, то есть вставляешь скопированный ранее файл. Нажимаешь кнопку Add в окне Startup Properties — перед тобой открывается окно Add a Script> Browse. Открылась папка, там уже лежит скрипт. Выбирай его. Далее необходимо обновить политику безопасности. Сделаем это командой: «Gpupdate /force». Теперь посмотрим, как наша политика отработала на машине какого-нибудь пользователя, например Балаганова. Уже хорошо! Теперь учимся смотреть, что именно накрутилось на компьютер пользователя (на случай проблем с применением политики): на компьютере, политику для которого ты читаешь, необходимо выполнить команду «gpresult». Вот, к примеру, компьютер Балаганова. Кнопка «Пуск»> «Выполнить»> «cmd», набираем «gpresult». В длинном открывшемся списке будет два типа информации: «Конфигурация компьютера» и «Конфигурация пользователя». Пока и там и там применена только Default Domain Policy. Теперь займемся политиками наших, ранее созданных OU. Балаганов входит в группу «Бухгалтерия». Возьмем пользователя Балаганов и перетащим его в OU «Бухгалтеры» (процесс переноса пользователя в OU выполняется в Active Directory Users and Computers). Создадим скрипты для наших рабочих групп. Диск С:, каталог Scripts, правый мышиный щелчок на файле «Обмен.bat»> Copy, на пустом месте каталога Scripts правой кнопкой мыши> Paste. Получили файл с именем «Copy of Обмен.bat». Переименовываем его в файл «Бухгалтерия.bat». Открываем Far’ом и заменяем слово «обмен» словом «бухгалтерия». Сохраняем. Кстати, еще меняем букву диска, например вместо О: — Н:. Несколько дисков под одной буквой не подключатся. Теперь необходимо создать политику для подключения диска для группы «Бухгалтерия». Открываем нашу консоль, правой кнопкой на Group Policy Object> New. И пишем: «Бухгалтерия». |