Фильтрация Групп Безопасности
Изменяя принадлежность пользователя или компьютера к той или иной группе безопасности, можно изменять поведение любого Объекта ГП. Для этого используйте вкладку Безопасность в свойствах Объекта ГП для указания Избирательных таблиц управления доступом (DACLs). Избирательные таблицы управления доступом (DACLs) используются для увеличения производительности. Более детально это было рассмотрено в технических документах, упомянутых выше в этом руководстве. Фильтрация групп безопасности позволяет более гибкое создание и развертывание Объектов ГП и содержащихся в них политик. По умолчанию любые Объекты ГП действуют на всех пользователей и компьютеры, находящиеся в связанном сайте, домене или подразделении. Использование Избирательных таблиц управления доступом (DACLs) позволяет включать или исключать членов какой-либо группы безопасности, чтобы изменить действие любого Объекта ГП.
Избирательные таблицы управления доступом (DACLs) можно изменять, используя стандартную вкладку Windows 2000 – Безопасность, которая доступна в Свойствах любого Объекта ГП.
Доступ к свойствам ОГП из свойств Групповой политики домена или подразделения
- В консоле GPWalkthrough дважды щелкните Active Directory – пользователи и компьютеры, затем дважды щелкните домен reskit.com и потом дважды щелкните Accounts, щелкните правой кнопкой мыши на подразделении Headquarters и выберите Свойства.
- В диалоговом окне свойств Headquarters нажмите Групповая политика.
- Щелкните правой кнопкой мыши ОГП HQ Policy в списке Ссылки на объект групповой политики, выберите Свойства из контекстного меню.
- В Свойствах перейдите на вкладку Безопасность. Здесь отображены стандартные настройки свойств Безопасности.
- Вы увидите группы безопасности и пользователей, основанные на базовой инфраструктуре. Для дополнительной информации обратитесь к пошаговому руководству Windows 2000 – Базовая инфраструктура для управления изменениями и конфигурациями. Перед тем как продолжить, убедитесь, что Вы выполнили соответствующие шаги этого документа.
- В свойствах Безопасности нажмите Добавить.
- В диалоговом окне Выбор: пользователи, компьютеры или группы выберите из списка группу Management и нажмите Добавить, затем нажмите ОК, чтобы закрыть диалоговое окно.
- На вкладке Безопасность свойств HQ Policy выберите группу Management и просмотрите разрешения. По умолчанию для группы Management разрешен только один элемент списка управления доступом (ACE) – Чтение. Это означает, что данный ОГП не применяется к группе Management. Исключение составляют члены группы, которые также являются членами другой группы (по умолчанию, они также являются Прошедшими проверку), у которой выбрана опция ACE – Применить групповую политику.
- В таком случае этот Объект ГП применяется ко всем пользователям в группе Прошедшие проверку, невзирая на то, что группа Management не была добавлена в список, как показано на рисунке 10 ниже:
Рисунок 10. Настройки безопасности. - Сконфигурируйте ОГП так, чтобы он применялся только к членам группы Management. Выберите Разрешить для команды Применить групповую политику к группе Management и удалите Применить групповую политику из группы Прошедшие проверку.
- Изменяя элементы списка управления доступом (ACEs), применяющиеся к различным группам, администраторы могут изменять действие ОГП для пользователей и компьютеров, на которых распространяется действие этого ОГП. Разрешение на Запись необходимо для внесения изменения, а Чтение и Разрешить групповую политику необходимы для применения политики к данной группе.
- Осторожно используйте элемент списка управления доступом (ACE) – Запретить. Параметр Запретить для любой группы имеет превосходство над всеми элементами Разрешить для пользователя или компьютера в какой-либо другой группе. Детально это взаимодействие рассмотрено в интерактивной справке Windows 2000 Server по группам безопасности.