Работа с групповыми политиками домена
Включение аудита на контроллерах домена
При создании контроллера домена в контейнере Domain Controllers для него по умолчанию формируется GPO, определяющий локальные политики всех контроллеров домена. Для того чтобы настроить аудит на всех контроллерах домена, можно просто отредактировать этот GPO.
Для изменения политики аудита контроллеров домена:
- Запустите оснастку Политика безопасности контроллера домена (Domain Controller Security Policy) – команда Пуск › Администрирование › Политика безопасности контроллера домена (Start › Administrative Tools › Domain Controller Security Policy). Можно также открыть GPO для контроллеров домена, подключив к нему изолированную оснастку Групповая политика.
- Раскройте узел Локальные политики. Вы увидите три подраздела, относящиеся к трем настройкам локальной политики.
- Выберите раздел Политика аудита (Audit Policy). В правом подокне появятся политики аудита
- Выберите двойным щелчком политику Аудит доступа к службе каталогов (Audit Directory Service Access).
- Для активизации аудита установите флажок Определить следующие параметры политики (Define these policy settings). Аудит неудачных попыток получения доступа к каталогу активизируется установкой флажка отказ (Failure) в группе Вести аудит следующих попыток доступа (Audit these attempts). Для активизации аудита удачных попыток получения доступа к каталогу установите флажок успех (Success).
- Нажмите кнопку ОК. Все сделанные вами изменения появятся в правом подокне.
- Закройте окно оснастки. Новая политика вступит в силу.
Настройка привилегий пользователей и групп при работе в домене с Active Directory
С помощью GPO можно определить набор привилегий, имеющихся у всех пользователей домена или подразделения. Для настройки привилегий группы пользователей или индивидуального пользователя при работе с ресурсами компьютера:
- Создайте GPO, хранящий необходимые значения параметров групповой политики. Процедура создания объекта описана выше.
- Загрузите его в оснастку Групповая политика.
- В окне оснастки Групповая политика откройте узел Конфигурация компьютера › Конфигурация Windows › Локальные политики › Назначение прав пользователя (User Rights Assignments).
- В правом подокне окна оснастки Групповая политика дважды щелкните, например, на строке Обход перекрестной проверки (Bypass traverse checking). В открывшемся окне установите флажок Определить следующие параметры политики и нажмите кнопку Добавить. В открывшемся окне Добавление пользователя или группы введите имя настраиваемой группы или нажмите кнопку Обзор и выберите нужные группы или пользователей.
- После выбора групп нажмите кнопку ОК. Все изменения будут записаны в GPO.
- С помощью описанной выше процедуры установите ассоциацию между созданным GPO и контейнером Active Directory, в котором будут осуществляться только что настроенные привилегии.
Рис. 27.6. Окно диалога Параметр локальной политики безопасности (Local Security Policy Setting)