Иллюстрированный самоучитель по администрированию Windows 2000/2003

Фильтрация Групп Безопасности

Изменяя принадлежность пользователя или компьютера к той или иной группе безопасности, можно изменять поведение любого Объекта ГП. Для этого используйте вкладку Безопасность в свойствах Объекта ГП для указания Избирательных таблиц управления доступом (DACLs). Избирательные таблицы управления доступом (DACLs) используются для увеличения производительности. Более детально это было рассмотрено в технических документах, упомянутых выше в этом руководстве. Фильтрация групп безопасности позволяет более гибкое создание и развертывание Объектов ГП и содержащихся в них политик. По умолчанию любые Объекты ГП действуют на всех пользователей и компьютеры, находящиеся в связанном сайте, домене или подразделении. Использование Избирательных таблиц управления доступом (DACLs) позволяет включать или исключать членов какой-либо группы безопасности, чтобы изменить действие любого Объекта ГП.

Избирательные таблицы управления доступом (DACLs) можно изменять, используя стандартную вкладку Windows 2000 – Безопасность, которая доступна в Свойствах любого Объекта ГП.

Доступ к свойствам ОГП из свойств Групповой политики домена или подразделения

  • В консоле GPWalkthrough дважды щелкните Active Directory – пользователи и компьютеры, затем дважды щелкните домен reskit.com и потом дважды щелкните Accounts, щелкните правой кнопкой мыши на подразделении Headquarters и выберите Свойства.
  • В диалоговом окне свойств Headquarters нажмите Групповая политика.
  • Щелкните правой кнопкой мыши ОГП HQ Policy в списке Ссылки на объект групповой политики, выберите Свойства из контекстного меню.
  • В Свойствах перейдите на вкладку Безопасность. Здесь отображены стандартные настройки свойств Безопасности.
  • Вы увидите группы безопасности и пользователей, основанные на базовой инфраструктуре. Для дополнительной информации обратитесь к пошаговому руководству Windows 2000 – Базовая инфраструктура для управления изменениями и конфигурациями. Перед тем как продолжить, убедитесь, что Вы выполнили соответствующие шаги этого документа.
  • В свойствах Безопасности нажмите Добавить.
  • В диалоговом окне Выбор: пользователи, компьютеры или группы выберите из списка группу Management и нажмите Добавить, затем нажмите ОК, чтобы закрыть диалоговое окно.
  • На вкладке Безопасность свойств HQ Policy выберите группу Management и просмотрите разрешения. По умолчанию для группы Management разрешен только один элемент списка управления доступом (ACE) – Чтение. Это означает, что данный ОГП не применяется к группе Management. Исключение составляют члены группы, которые также являются членами другой группы (по умолчанию, они также являются Прошедшими проверку), у которой выбрана опция ACE – Применить групповую политику.
  • В таком случае этот Объект ГП применяется ко всем пользователям в группе Прошедшие проверку, невзирая на то, что группа Management не была добавлена в список, как показано на рисунке 10 ниже:

    Иллюстрированный самоучитель по администрированию Windows 2000/2003 › Пошаговое руководство по использованию возможностей набора Групповой политики › Фильтрация Групп Безопасности
    Рисунок 10. Настройки безопасности.

  • Сконфигурируйте ОГП так, чтобы он применялся только к членам группы Management. Выберите Разрешить для команды Применить групповую политику к группе Management и удалите Применить групповую политику из группы Прошедшие проверку.
  • Изменяя элементы списка управления доступом (ACEs), применяющиеся к различным группам, администраторы могут изменять действие ОГП для пользователей и компьютеров, на которых распространяется действие этого ОГП. Разрешение на Запись необходимо для внесения изменения, а Чтение и Разрешить групповую политику необходимы для применения политики к данной группе.
  • Осторожно используйте элемент списка управления доступом (ACE) – Запретить. Параметр Запретить для любой группы имеет превосходство над всеми элементами Разрешить для пользователя или компьютера в какой-либо другой группе. Детально это взаимодействие рассмотрено в интерактивной справке Windows 2000 Server по группам безопасности.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.