Как добавить группу в группу Windows
Обновлено: 21.11.2024
AEG: как создать и связать объект групповой политики в Active Directory
AEG: как создать и связать объект групповой политики в Active Directory
Введение
В этой статье рассказывается, как создать и связать групповую политику в Active Directory. Если это не то решение, которое вы ищете, найдите решение в строке поиска выше.
Рекомендации
Создание объекта групповой политики — довольно простая задача, если вы знаете, какие параметры необходимо изменить и как применить их к конечным точкам, на которые вы пытаетесь повлиять. Эти инструкции должен выполнить пользователь, являющийся членом группы владельцев-создателей групповой политики, на контроллере домена с управлением групповыми политиками.
Откройте «Управление групповыми политиками», выбрав меню «Пуск» > «Администрирование Windows», затем выберите «Управление групповыми политиками».
Щелкните правой кнопкой мыши "Объекты групповой политики" и выберите "Создать", чтобы создать новый объект групповой политики.
Введите имя для нового объекта групповой политики, чтобы вы могли легко определить, для чего он предназначен, затем нажмите "ОК".
Выберите объект групповой политики в списке объектов групповой политики, затем в разделе «Фильтрация безопасности» добавьте и удалите пользователей, группы и компьютеры, к которым должен применяться объект групповой политики.
Щелкните правой кнопкой мыши объект групповой политики и выберите «Изменить». Измените любую из политик, которые вы хотите применить в конфигурации компьютера и\или пользователя. Закройте редактор GPO, когда закончите.
Примечание. В разделе "Политики открытого ключа" описано, как настроить политики для AEG.
Теперь объект групповой политики создан, но вам еще нужно связать его. Найдите подразделение или домен, к которому вы хотите применить объект групповой политики, затем щелкните его правой кнопкой мыши и выберите «Связать существующий объект групповой политики». затем выберите объект групповой политики из списка и нажмите OK.
- Локальные. Это политики, применяемые локально к системе и пользователю.
- Сайт. Политики, применяемые ко всему, что является участником сайта, переопределяют параметры, настроенные на локальном уровне.
- Домен. Параметры объектов групповой политики, связанных с доменом, переопределяют параметры, настроенные в объектах групповой политики, которые связаны на локальном уровне и уровне сайта.
- Организационная единица. Связанные здесь объекты групповой политики имеют приоритет перед любыми другими объектами групповой политики, кроме тех, которые связаны с дочерней организационной единицей или объектами групповой политики, помеченными как обязательные.
- Принудительный. Принудительный объект групповой политики переопределяет параметры всех других объектов групповой политики, если только он не заблокирован блочным наследованием.
Статьи по теме
AEG: как включить расширенное ведение журнала для сервера AEG
29 февраля 2020 г., 5:07
Эта статья поможет вам включить расширенную функцию ведения журнала AEG. Если это не то решение, которое вы ищете, найдите решение в строке поиска выше. Примечание. Эта статья поддержки относится к AEG версии 5.x и ниже. Кроме того, при возникновении проблем с регистрацией сертификатов нашему персоналу службы поддержки может потребоваться дополнительная информация, чтобы определить основную причину проблемы.
AEG: как создавать собственные шаблоны сертификатов
2 марта 2020 г., 1:56
В этой статье рассказывается, как создавать шаблоны из дубликатов шаблонов по умолчанию для аутентификации пользователя и компьютера. В зависимости от варианта использования, который вы реализуете, вам потребуется дублировать один из шаблонов сертификатов по умолчанию. Дублирование не требуется, но настоятельно рекомендуется, чтобы избежать изменения свойств шаблонов по умолчанию и лучше контролировать изменения, применяемые к шаблонам, которые работают с AEG.
AEG: как отредактировать объект групповой политики для регистрации сертификата
2 марта 2020 г., 3:03
Эта статья поможет вам изменить объект групповой политики для регистрации сертификатов. Клиент служб сертификации — политика регистрации сертификатов — это параметры, определяющие URL-адреса серверов политик, с которыми будут связываться пользователи и компьютеры. По умолчанию (во вновь созданном объекте групповой политики) для этого параметра будет установлено значение «Не настроено», и его необходимо будет изменить на «Включено». Когда вы включите его, у него будет политика регистрации сертификатов (CEP) по умолчанию в списке под названием Политика регистрации Active Directory, и она будет установлена по умолчанию.
Диспетчер системы можно использовать для создания локальных групп Windows, которые можно использовать для авторизации доступа к данным, содержащимся в виртуальной машине хранения (SVM), через соединение SMB. Вы также можете назначить привилегии, которые определяют права пользователя или возможности, которые есть у члена группы при выполнении административных действий.
Сервер CIFS должен быть настроен для SVM.
Вы можете указать имя группы с именем локального домена или без него.
Локальный домен — это имя сервера CIFS для SVM. Например, если имя сервера CIFS SVM — «CIFS_SERVER», и вы хотите создать группу «engineering», вы можете указать в качестве имени группы либо «engineering», либо «CIFS_SERVER\engineering».
При использовании локального домена как части имени группы применяются следующие правила:
Вы можете указать только локальное доменное имя для SVM, к которой применяется группа.
Например, если имя локального сервера CIFS — «CIFS_SERVER», вы не можете указать «CORP_SERVER\group1» в качестве имени группы.
Вы не можете использовать «ВСТРОЕННЫЙ» в качестве локального домена в имени группы.
Например, вы не можете создать группу с именем «ВСТРОЕННАЯ\группа1».
Вы не можете использовать домен Active Directory в качестве локального домена в имени группы.
Например, вы не можете создать группу с именем «AD_DOM\group1», где «AD_DOM» — это имя домена Active Directory.
Нельзя использовать уже существующее название группы.
Указанное имя группы должно соответствовать следующим требованиям:
Не должно превышать 256 символов
Не должно заканчиваться точкой
Не использовать запятые
Не должен содержать следующие печатные символы: " / \ [ ] : | + = ; ? * @
Не должны включать символы в диапазоне ASCII от 1 до 31, которые не могут быть напечатаны
Нажмите «Хранилище» > «SVM».
Выберите SVM и нажмите Настройки SVM.
На панели Host Users and Groups нажмите Windows.
На вкладке "Группы" нажмите "Создать".
В диалоговом окне "Создать группу" укажите имя группы и описание, которое поможет вам идентифицировать новую группу.
Назначить группу привилегий.
Вы можете выбрать привилегии из предопределенного набора поддерживаемых привилегий.
Нажмите "Добавить", чтобы добавить пользователей в группу.
В диалоговом окне "Добавить участников в группу" выполните одно из следующих действий:
Укажите пользователя или группу Active Directory для добавления в определенную локальную группу.
Использование групп Microsoft Active Directory — лучший способ контролировать доступ к ресурсам и применять модель с минимальными привилегиями. Это также упрощает перечисление разрешений для любого ресурса, будь то файловый сервер Windows или база данных SQL.
Групповые области
Какие объекты вы можете добавить в группу AD, зависит от области действия этой группы.
- Локальные группы действительно локальны. Они создаются, определяются и доступны только для конкретного компьютера, на котором они были созданы. Не создавайте новые локальные группы на рабочих станциях; в большинстве случаев группы «Пользователи» и «Администраторы» — это единственные две локальные группы, которыми нужно управлять.
- Для управления разрешениями на ресурсы следует использовать локальные группы домена, поскольку эту группу можно применять везде в домене. В локальную группу домена могут входить члены любого типа в домене и члены из доверенных доменов. Например, предположим, что вам требуется управление доступом к набору папок на одном или нескольких серверах, содержащих информацию для менеджеров. Группа, которую вы создаете для этой цели, должна быть локальной группой домена (например, «DL_Managers_Modify»).
- Универсальные группы в Active Directory полезны в многодоменных лесах. Они позволяют вам определять роли или управлять ресурсами, которые охватывают более одного домена. Каждая универсальная группа хранится в домене, в котором она была создана, но ее членство в группе хранится в глобальном каталоге и реплицируется по всему лесу. Не используйте универсальные группы, если у вас только один домен.
- Глобальные группы в основном используются для определения коллекций объектов домена (пользователей, других глобальных групп и компьютеров) на основе бизнес-ролей, что означает, что они в основном служат группами ролей. Группы пользователей на основе ролей (такие как "HR" или "Marketing") и группы компьютеров на основе ролей (например, "Marketing Workstations") обычно являются глобальными группами.
Рекомендации по работе с вложенными группами Active Directory.
Как показано в приведенной выше таблице, группа может быть членом другой группы; этот процесс называется вложением. Вложение помогает лучше управлять средой и администрировать ее на основе бизнес-ролей, функций и правил управления.
- Учетные записи пользователей и компьютеров должны входить в глобальные группы, представляющие бизнес-роли, такие как "Продажи" или "Кадры". Эти глобальные группы должны быть членами локальных групп домена, которые представляют правила управления — например, определяющие, кто к чему имеет доступ. Этим локальным группам домена предоставляется доступ к ресурсам. В случае с общей папкой доступ предоставляется путем добавления локальной группы домена в список управления доступом к папке (ACL) с разрешениями, обеспечивающими соответствующий уровень доступа.
- Другими словами:
- Добавить учетные записи пользователей и компьютеров в глобальную группу.
- Добавить глобальную группу в универсальную группу.
- Добавить универсальную группу в локальную группу домена.
- Применить разрешения группы безопасности Active Directory для локальной группы домена к ресурсу.
- Учетные записи в исходной глобальной группе будут иметь доступ к ресурсу на основе разрешений, примененных к локальной группе домена.
Разница между группами безопасности и рассылки
Группы безопасности Active Directory и группы рассылки AD — это разные вещи.Например, вы можете использовать группы безопасности для назначения разрешений на общие ресурсы и группы рассылки Active Directory для создания списков рассылки электронной почты в среде Exchange. Технология заключается в том, что когда пользователь «входит в систему» на компьютере, машина создает «токен доступа» пользователя. Маркер доступа содержит все идентификаторы SID (идентификаторы безопасности) групп безопасности, членом которых является пользователь. SID групп рассылки не включены. Проще говоря, вы не можете назначать разрешения группам рассылки, и даже если вы это сделаете, это не даст никакого эффекта.
Специальные удостоверения являются неявными заполнителями, они не указаны в Active Directory, но доступны при применении разрешений — членство автоматически рассчитывается ОС.
Предоставляет пользователю ограниченные права на создание учетной записи. Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных групп и глобальных групп, а также могут локально входить в контроллеры домена.
Члены группы «Операторы учетных записей» не могут управлять учетной записью администратора, учетными записями пользователей администраторов или группами «Администраторы», «Операторы сервера», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати». Члены этой группы не могут изменять права пользователей.
Права пользователя по умолчанию: Разрешить локальный вход: SeInteractiveLogonRightВстроенная группа . Предоставляет полный и неограниченный доступ к компьютеру или, если компьютер повышен до контроллера домена, члены имеют неограниченный доступ к домену.
Эту группу нельзя переименовать, удалить или переместить. Эта встроенная группа контролирует доступ ко всем контроллерам домена в своем домене и может изменять членство во всех административных группах. Членство может быть изменено членами следующих групп: администраторы службы по умолчанию, администраторы домена в домене или администраторы предприятия.
Группа является владельцем по умолчанию любого объекта, созданного членом группы.
Права пользователя по умолчанию для администраторовЭта группа в настоящее время не используется в Windows.
Права пользователя по умолчанию:
Разрешить локальный вход: SeInteractiveLogonRight
Доступ к этому компьютеру из сети: SeNetworkLogonRight
Обойти сквозную проверку: SeChangeNotifyPrivilege
Изменить часовой пояс: SeTimeZonePrivilege р>Компьютеры, входящие в группу Replicator, поддерживают репликацию файлов в домене. Операционные системы Windows Server используют службу репликации файлов (FRS) для репликации системных политик и сценариев входа, хранящихся на системном томе (SYSVOL).
Служба репликации DFS заменяет FRS и может использоваться для репликации содержимого общего ресурса SYSVOL, папок DFS и других пользовательских (не SYSVOL) данных. Все наборы реплик FRS, отличные от SYSVOL, следует перенести в репликацию DFS.
Права пользователя по умолчанию: нетЛюбая служба, которая обращается к системе, имеет идентификатор службы. Эта группа удостоверений включает всех участников безопасности, которые вошли как служба. Это удостоверение предоставляет доступ к процессам, которые выполняются службами Windows Server. Членство контролируется операционной системой.
Права пользователя по умолчанию:
Создание глобальных объектов: SeCreateGlobalPrivilege
Олицетворение клиента после аутентификации: SeImpersonatePrivilegeВ Windows 8 и Windows Server 2012 вкладка «Общий доступ» была добавлена в пользовательский интерфейс дополнительных параметров безопасности. На этой вкладке отображаются свойства безопасности удаленной общей папки. Для просмотра этой информации у вас должны быть следующие разрешения и членство в зависимости от версии Windows Server, на которой работает файловый сервер.
Группа WinRMRemoteWMIUsers_ позволяет удаленно запускать команды PowerShell, в то время как группа «Пользователи удаленного управления» обычно используется для предоставления пользователям возможности управлять серверами с помощью консоли диспетчера серверов. Эта группа безопасности появилась в Windows Server 2012.
Права пользователя по умолчанию: нетЧитайте также: