Настройка групповых политик Windows Server 2019
Обновлено: 30.06.2024
Административные шаблоны групповой политики позволяют настраивать сотни системных параметров как для компьютера, так и для пользователя. Сегодня я расскажу о настройках компьютера, которые напрямую влияют на безопасность системы и поверхность атаки.
Леос начал работать в ИТ-индустрии в 1995 году. Последние 15 лет он занимался администрированием и безопасностью Windows Server, VMware. Леос — внештатный эксперт, работающий в банковских учреждениях. Он также руководит ИТ-аутсорсинговой компанией в Йичине, Чешская Республика.
- Советы по управлению исправлениями: обновление ИТ-систем в больших и малых сетях – среда, 20 октября 2021 г.
- Настройка Windows 11 Домашняя с автономной учетной записью — понедельник, 18 октября 2021 г.
- Сброс пароля Windows 11 и пароля администратора Windows Server 2022 — понедельник, 20 сентября 2021 г.
За последние несколько месяцев я написал несколько статей, посвященных рекомендациям по обеспечению безопасности Windows Server. Все они были основаны на рекомендациях организации Center for Internet Security (CIS). Последнее посвящено настройке политики аудита.
Административные шаблоны помогают настроить поведение системных компонентов, таких как Internet Explorer, или взаимодействие с конечным пользователем, например макет меню "Пуск". Однако некоторые из них также влияют на поведение системы, что может представлять угрозу безопасности. В этом посте я выбрал важные параметры, которые следует добавить в базовую политику безопасности.
Как обычно, формат следующий:
Название параметра: рекомендуемое значение
Язык и региональные стандарты ^
Разрешить персонализацию ввода: отключено
Разрешить онлайн-подсказки: отключено
Персонализация ввода позволяет изучать речь, рисовать и печатать. Это необходимо для использования Cortana. Онлайн-подсказки позволяют получать подсказки и справку для приложения «Настройки». Оба параметра, если они включены, могут привести к хранению конфиденциальных данных на пользовательских серверах OneDrive, Microsoft или сторонних серверах.
Руководство по безопасности MS ^
Этот раздел не включен в групповую политику по умолчанию; вы должны загрузить его с веб-сайта Microsoft. После его загрузки вы можете найти файлы SecGuide.admx и SecGuide.adml в папке Templates. Чтобы импортировать файлы, скопируйте файл .admx в папку %SystemRoot%\PolicyDefinitions, а файл .adml — в папку %SystemRoot%\PolicyDefinitions\locale (в моем случае en-US). Снова откройте редактор групповой политики, и вы найдете новый раздел, который мы только что импортировали.
Настройки руководства по безопасности MS
Настройка сервера SMB v1: отключено
Настроить драйвер клиента SMB v1: Включено: отключить драйвер
Оба параметра управляют поведением клиента и сервера Server Message Block v1 (SMBv1). SMBv1 — это протокол, которому около 30 лет, и поэтому он гораздо более уязвим, чем SMBv2 и SMBv3. Поэтому Microsoft рекомендует полностью отключить SMBv1 в вашей сети. Будьте осторожны с настройкой драйвера клиента — не устанавливайте для него значение «Отключено», поскольку это вызовет проблемы с системой. Правильная настройка — «Включено: отключить драйвер».
Примечание. Если в вашей сети есть более старое устройство, например сетевой принтер, перед отключением SMBv1 убедитесь, что оно поддерживает SMBv2 или выше. Недавно у нас возникла проблема, из-за которой сканирование в общую папку не работало, поскольку принтер поддерживал только SMBv1.
Применять ограничения UAC к локальным учетным записям при входе в сеть: включено
Локальные учетные записи представляют собой высокий риск, особенно если они настроены с одним и тем же паролем на нескольких серверах. Этот параметр определяет, можете ли вы использовать локальную учетную запись для подключения к удаленному серверу, например, к общему ресурсу C$. Когда этот параметр включен, контроль учетных записей (UAC) удаляет привилегии из полученного токена, запрещая доступ. Это поведение по умолчанию.
Рабочая станция Lanman ^
Включить небезопасный гостевой вход: отключено
По умолчанию клиент Windows SMB допускает небезопасный гостевой вход в систему, который часто используют сетевые устройства хранения данных (NAS), выступающие в роли файловых серверов. Поскольку это вход без проверки подлинности, такие функции, как подписывание SMB и шифрование SMB, отключены. Это делает такие коммуникации уязвимыми для атак типа «человек посередине». Файловые серверы Windows по умолчанию требуют проверки подлинности SMB.
DNS-клиент ^
Отключить разрешение многоадресных имен: включено
Локальное разрешение многоадресных имен для канала (LLMNR) — это дополнительный протокол разрешения имен, который использует многоадресную рассылку по локальной сети. Злоумышленник может прослушивать такие запросы (на UDP-портах 5355 и 137) и отвечать на них, обманывая клиента. Это называется отравлением локального разрешения имен.
Шрифты ^
Включить поставщиков шрифтов: отключено
Это запрещает Windows загружать шрифты от онлайн-поставщиков шрифтов. ИТ-отдел должен сначала протестировать и одобрить все системные изменения.
Сетевые подключения ^
Запретить установку и настройку сетевого моста в сети вашего домена DNS: включено
Сетевой мост может позволить пользователям соединить две или более физических сетей вместе и обеспечить обмен данными между ними. Это может привести к несанкционированной загрузке данных или злонамеренным действиям из сети с мостом.
Запретить использование общего доступа к Интернету в сети домена DNS: включено
Этот параметр применяется в Windows 10 и Windows Server 2016/2019 к функции «Мобильная точка доступа». Обычные пользователи не должны иметь возможности подключаться к Интернету через корпоративные устройства.
Требовать повышения прав пользователей домена при настройке сетевого местоположения: включено
Настройка сетевого расположения, также называемая сетевым профилем, определяет, какой профиль брандмауэра применять к системе. Если этот параметр включен, для такого изменения потребуется повышение прав администратора. Обычные пользователи не должны изменять эти настройки.
Настройки сетевых подключений
Групповая политика ^
Настроить обработку политики реестра: Не применять во время периодической фоновой обработки: Включено: FALSE (флажок не установлен)
Настроить обработку политики реестра: Обрабатывать, даже если объекты групповой политики не изменились: Включено: TRUE (отмечено)
Эти два параметра управляют обработкой групповой политики. Первый следует снять, чтобы система обновляла объекты групповой политики (GPO) в фоновом режиме и не ждала входа пользователя в систему или перезагрузки. Второй следует проверить, чтобы повторно применять каждый параметр объекта групповой политики при каждом обновлении. Это заменит любые несанкционированные изменения, сделанные локально в системе.
Настроить обработку политики реестра
Войти ^
Отключить уведомления приложений на экране блокировки: включено
Уведомления приложений могут раскрывать конфиденциальные данные неавторизованным пользователям, например конфиденциальные уведомления по электронной почте. Включите этот параметр, чтобы отключить такие уведомления.
Отключить вход с помощью графического пароля: включено
Включить удобный вход с помощью PIN-кода: отключено
Функция Windows Hello позволяет пользователям входить в систему с помощью графического жеста или PIN-кода, аналогичного кредитной карте. Оба варианта относительно легко наблюдать человеку, стоящему позади пользователя (это называется серфингом через плечо). Вместо этого рекомендуется использовать сложные пароли.
Политики автовоспроизведения ^
Запретить автовоспроизведение для устройств, не являющихся корпоративными: включено
Это отключает автозапуск для внешних устройств, таких как камеры или телефоны, которые злоумышленник может использовать для запуска программы или повреждения системы.
Установите поведение по умолчанию для автозапуска: Включено: не выполнять никаких команд автозапуска
В файле autorun.inf, расположенном на DVD-диске или USB-носителе, хранятся команды автозапуска, которые часто запускают установку программного обеспечения или другие команды. Несмотря на то, что для пользователя отображается всплывающее окно, вредоносный код может запуститься непреднамеренно, поэтому рекомендуется отключить любые действия автозапуска.
Отключить автовоспроизведение: включено: все диски
Подобно автозапуску, автовоспроизведение начинает считывать данные с внешнего носителя, что приводит к немедленному запуску установочных файлов или аудионосителей. Автовоспроизведение по умолчанию отключено, но не на DVD-приводах.
Учетная запись Майкрософт ^
Блокировать проверку подлинности всех пользователей потребительских учетных записей Microsoft: включено
В организации ИТ-отдел должен четко управлять проверкой подлинности пользователей. Пользователи не должны иметь возможность использовать свои собственные онлайн-идентификаторы Microsoft в любых приложениях или службах, таких как OneDrive.
OneDrive ^
Запретить использование OneDrive для хранения файлов: включено
Этот параметр политики позволяет запретить приложениям и функциям работать с файлами в OneDrive, чтобы пользователи не могли загружать конфиденциальные рабочие данные в OneDrive. Обратите внимание: если ваша организация использует Office 365, этот параметр не позволит пользователям сохранять данные в OneDrive вашей компании.
Подпишитесь на рассылку новостей 4sysops!
Вывод ^
Административные шаблоны групповой политики открывают широкие возможности для настройки системы и взаимодействия с конечными пользователями. Буквально сотни настроек доступны по умолчанию, и вы можете добавить больше, загрузив файлы .admx от Microsoft и других поставщиков. В этом посте мы рассмотрели важные настройки, связанные с безопасностью.
AEG: как создать и связать объект групповой политики в Active Directory
AEG: как создать и связать объект групповой политики в Active Directory
Введение
В этой статье рассказывается, как создать и связать групповую политику в Active Directory.Если это не то решение, которое вы ищете, найдите решение в строке поиска выше.
Рекомендации
Создание объекта групповой политики — довольно простая задача, если вы знаете, какие параметры необходимо изменить и как применить их к конечным точкам, на которые вы пытаетесь повлиять. Эти инструкции должен выполнить пользователь, являющийся членом группы владельцев-создателей групповой политики, на контроллере домена с управлением групповыми политиками.
Откройте «Управление групповыми политиками», выбрав меню «Пуск» > «Администрирование Windows», затем выберите «Управление групповыми политиками».
Щелкните правой кнопкой мыши "Объекты групповой политики" и выберите "Создать", чтобы создать новый объект групповой политики.
Введите имя для нового объекта групповой политики, чтобы вы могли легко определить, для чего он предназначен, затем нажмите "ОК".
Выберите объект групповой политики в списке объектов групповой политики, затем в разделе «Фильтрация безопасности» добавьте и удалите пользователей, группы и компьютеры, к которым должен применяться объект групповой политики.
Щелкните правой кнопкой мыши объект групповой политики и выберите «Изменить». Измените любую из политик, которые вы хотите применить в конфигурации компьютера и\или пользователя. Закройте редактор GPO, когда закончите.
Примечание. В разделе "Политики открытого ключа" описано, как настроить политики для AEG.
Теперь объект групповой политики создан, но вам еще нужно связать его. Найдите подразделение или домен, к которому вы хотите применить объект групповой политики, затем щелкните его правой кнопкой мыши и выберите «Связать существующий объект групповой политики». затем выберите объект групповой политики из списка и нажмите OK.
- Локальные. Это политики, применяемые локально к системе и пользователю.
- Сайт. Политики, применяемые ко всему, что является участником сайта, переопределяют параметры, настроенные на локальном уровне.
- Домен. Параметры объектов групповой политики, связанных с доменом, переопределяют параметры, настроенные в объектах групповой политики, которые связаны на локальном уровне и уровне сайта.
- Организационная единица. Связанные здесь объекты групповой политики имеют приоритет перед любыми другими объектами групповой политики, кроме тех, которые связаны с дочерней организационной единицей или объектами групповой политики, помеченными как обязательные.
- Принудительный. Принудительный объект групповой политики переопределяет параметры всех других объектов групповой политики, если только он не заблокирован блочным наследованием.
Статьи по теме
AEG: как включить расширенное ведение журнала для сервера AEG
29 февраля 2020 г., 5:07
Эта статья поможет вам включить расширенную функцию ведения журнала AEG. Если это не то решение, которое вы ищете, найдите решение в строке поиска выше. Примечание. Эта статья поддержки относится к AEG версии 5.x и ниже. Кроме того, при возникновении проблем с регистрацией сертификатов нашему персоналу службы поддержки может потребоваться дополнительная информация, чтобы определить основную причину проблемы.
AEG: как создавать собственные шаблоны сертификатов
2 марта 2020 г., 1:56
В этой статье рассказывается, как создавать шаблоны из дубликатов шаблонов по умолчанию для аутентификации пользователя и компьютера. В зависимости от варианта использования, который вы реализуете, вам потребуется дублировать один из шаблонов сертификатов по умолчанию. Дублирование не требуется, но настоятельно рекомендуется, чтобы избежать изменения свойств шаблонов по умолчанию и лучше контролировать изменения, применяемые к шаблонам, которые работают с AEG.
AEG: как отредактировать объект групповой политики для регистрации сертификата
2 марта 2020 г., 3:03
Эта статья поможет вам изменить объект групповой политики для регистрации сертификатов. Клиент служб сертификации — политика регистрации сертификатов — это параметры, определяющие URL-адреса серверов политик, с которыми будут связываться пользователи и компьютеры. По умолчанию (во вновь созданном объекте групповой политики) для этого параметра будет установлено значение «Не настроено», и его необходимо будет изменить на «Включено». Когда вы включите его, у него будет политика регистрации сертификатов (CEP) по умолчанию в списке под названием Политика регистрации Active Directory, и она будет установлена по умолчанию.
Здравствуйте, в сегодняшней публикации мы рассмотрим объекты групповой политики в Windows Server 2019. Объект групповой полиции — это набор политик, которые можно создавать в разных областях сервера. Кроме того, эти правила направлены на достижение ряда целей. Например, чтобы запретить пользователям выполнять действие. Или также, чтобы компьютеры разрабатывали автоматические действия. Следовательно, это отличный инструмент для управления корпоративной средой при использовании Windows Server. Точно так же эти политики могут применяться ко всему домену или к организационному подразделению. Таким образом можно ограничить доступ к определенным параметрам. Или принудительно задайте специальную конфигурацию для всех клиентских компьютеров. По этой причине сегодня мы увидим, как создать объект групповой политики в Windows Server 2019.
Предпосылки
- Локальная сеть должна быть структурирована в Active Directory. То есть хотя бы на одном из серверов должна быть установлена Active Directory. Чтобы узнать, как это сделать, прочтите этот пост.
- Управляемые компьютеры должны быть связаны с доменом.Кроме того, их пользователи должны использовать свои учетные данные домена для входа на компьютеры.
- Вам необходимы разрешения для изменения групповой политики в вашем домене. Следовательно, пользователь должен входить в группу администраторов политик.
Давайте создадим объект групповой полиции в Windows Server 2019
Сначала войдите на сервер панели мониторинга. Оказавшись там, нажмите Инструменты. Затем нажмите Диспетчер групповой политики.
Войдите в диспетчер групповой политики.
Сразу появится окно с менеджером групповой политики. Обратите внимание, что эти шаги просты, но их следует выполнять в указанном порядке. Ну и в левой колонке надо выбрать ранее созданный лес. Сразу ниже находится назначенный домен. Щелкните его правой кнопкой мыши и выберите параметр: Создать объект групповой политики в этом домене и связать его здесь.
Создание объекта групповой политики в домене
Затем назначьте объекту групповой политики имя вашего предпочтения.
Назовите объект групповой политики по своему усмотрению.
Наконец, вы можете увидеть фактически созданный объект групповой политики. Кроме того, вы можете увидеть все сделанные настройки.
Заключение
Этим простым способом мы увидели, как создать объект групповой политики в Windows Server. Этот инструмент является отличным вариантом для управления несколькими компьютерами, подключенными к каталогу. Это позволяет назначать задачи и общее поведение. Таким образом, вам не придется настраивать каждый компьютер индивидуально. В следующих постах мы продолжим углубляться в эти правила. Ладно, это пока. Увидимся позже!
В сети, основанной на серверах Windows и Active Directory, почти всегда основной набор клиентских компьютеров также основан на операционных системах Microsoft Windows, и все эти машины присоединены к домену. Настройка всего таким образом имеет смысл не только с организационной точки зрения внутри Active Directory, но и позволяет осуществлять централизованную аутентификацию между устройствами и приложениями, о чем мы уже говорили. Я знаю, что в нескольких примерах, которые я приводил ранее в книге, я говорил что-то вроде: Что если в компании действует политика безопасности, которая… или Убедитесь, что ваши серверы не не могу получить существующие политики безопасности, потому что… Так что же это за волшебные политики безопасности и как их настроить?
В этом сила групповой политики. Он позволяет создавать объекты групповой политики (GPO), содержащие параметры и конфигурации, которые вы хотите применить к компьютерам или пользователям в вашем домене Active Directory. После того, как вы создали и настроили объект групповой политики с различными настройками, у вас есть возможность направить этот объект групповой политики в любом направлении, которое вы выберете. Если у вас есть политика, которую вы хотите применить ко всем настольным системам, вы можете указать ее на соответствующее подразделение или группу безопасности в Active Directory, в которой размещены все ваши настольные компьютеры, присоединенные к домену. Или, может быть, вы создали объект групповой политики, который применяется только к вашим компьютерам с Windows 7; вы можете отфильтровать его соответствующим образом, чтобы только эти системы получали политику. И настоящее волшебство в том, что выдача этих настроек происходит автоматически, просто тем, что эти компьютеры присоединяются к вашему домену. Вам вообще не нужно трогать клиентские системы, чтобы передать им настройки через GPO. Вы можете настроить или заблокировать почти все в операционной системе Windows с помощью групповой политики.
Итак, я еще раз просматриваю список доступных ролей на своем Windows Server 2019 и не вижу ни одной, которая называется групповой политикой. Еще раз правильно: его нет! На самом деле, если вы выполняли лабораторную настройку, описанную в этой книге, у вас уже есть полностью функциональная групповая политика в вашей сети. Все, что необходимо групповой политике для работы, является частью доменных служб Active Directory. Таким образом, если в вашей сети есть контроллер домена, у вас также есть групповая политика на том же сервере, потому что вся информация, которую использует групповая политика, хранится внутри каталога. Поскольку установка роли AD DS — это все, что нам нужно для использования групповой политики, и мы уже сделали это на нашем контроллере домена, давайте сразу же рассмотрим несколько вещей, которые позволят вам начать использовать групповую политику. Политика в вашей среде сразу. Я работал со многими малыми предприятиями на протяжении многих лет, которые использовали Windows Server просто потому, что так делают все, верно?Кем бы ни был ИТ-специалист или компания, которые настроили для них этот сервер, он, конечно же, никогда ничего не рассказывал им о GPO, и поэтому у них есть этот мощный инструмент, который просто лежит в ящике с инструментами, не используется и ждет, когда его выпустят. Если вы еще не используете объекты групповой политики, я хочу, чтобы вы открыли коробку и попробовали.
Политика домена по умолчанию
Во-первых, нам нужно выяснить, куда мы идем на нашем контроллере домена, чтобы мы могли создавать и управлять объектами групповой политики. Как и в случае с любым из инструментов администрирования в Windows Server 2019, диспетчер серверов является центральной платформой для открытия вашей консоли. Откройте меню «Инструменты» в диспетчере серверов и выберите «Управление групповыми политиками» .
После открытия консоли разверните имя леса в дереве навигации слева, а затем также разверните раздел Домены и выберите имя своего домена. Внутри вы увидите несколько знакомых предметов. Это список организационных подразделений, которые вы создали ранее, и несколько других папок рядом с вашими подразделениями:
Мы вскоре поговорим о том, почему здесь существует список организационных единиц, но сейчас мы хотим сосредоточиться на конкретном объекте групповой политики, который обычно находится в верхней части этого списка, сразу под именем вашего домена. Это называется политикой домена по умолчанию. Этот объект групповой политики подключается к Active Directory по умолчанию во время установки и применяется ко всем пользователям и компьютерам, входящим в каталог вашего домена. Поскольку этот объект групповой политики сразу же полностью включается и применяется ко всем, компании часто применяют глобальные политики паролей или правила безопасности, которые должны применяться ко всем.
Для любого объекта групповой политики, который вы видите в консоли управления, если вы щелкните правой кнопкой мыши этот объект групповой политики, а затем выберите «Изменить…», вы увидите открытое новое окно, и этот редактор объекта групповой политики содержит все внутренние компоненты этой политики. Здесь вы делаете любые настройки или конфигурации, которые вы хотите сделать частью этого конкретного объекта групповой политики. Итак, продолжайте и отредактируйте политику домена по умолчанию, а затем перейдите к Конфигурация компьютера | Политика | Параметры Windows | Настройки безопасности | Политика учетной записи | Политика паролей:
Здесь вы можете увидеть список различных параметров, доступных для настройки политики паролей в вашем домене. Двойной щелчок по любому из этих параметров позволяет изменить их, и это изменение немедленно вступит в силу на всех компьютерах, присоединенных к домену в сети. Например, вы можете видеть, что минимальная длина пароля по умолчанию установлена на 7 символов. Многие компании уже провели много дискуссий о собственной письменной политике стандартной длины паролей в сети, и для того, чтобы настроить вашу новую инфраструктуру каталогов для принятия вашего решения, вы просто изменяете это поле. Изменение здесь минимальной длины пароля до 12 символов потребует немедленного внесения изменений для всех учетных записей пользователей при следующем сбросе паролей.
Если вы посмотрите на левое дерево редактора управления групповыми политиками, вы увидите, что существует невероятно большое количество параметров и конфигураций, которые можно передать с помощью групповой политики. Хотя политика домена по умолчанию — это очень быстрый и простой способ настроить некоторые параметры и передать их всем, действуйте осторожно при внесении изменений в эту политику по умолчанию. Каждый раз, когда вы вносите изменения в настройки здесь, помните, что это повлияет на всех в вашем домене, включая вас. Много раз вы будете создавать политики, которые не нужно применять ко всем, и в этих случаях настоятельно рекомендуется держаться подальше от политики домена по умолчанию и вместо этого настроить совершенно новый объект групповой политики для выполнения любой задачи. вы пытаетесь поставить на место. На самом деле, некоторые администраторы рекомендуют вообще никогда не трогать политику домена по умолчанию и всегда использовать новый объект групповой политики всякий раз, когда у вас есть новые настройки, которые нужно вставить на место. На практике я вижу, что многие компании используют встроенную политику домена по умолчанию для требований к сложности пароля, но это все. Все остальные изменения или настройки должны быть включены в новый объект групповой политики.
Создание и связывание нового объекта групповой политики
Если в целом передовой практикой является создание нового объекта групповой политики, когда нам нужно применить некоторые настройки, нам лучше уделить минутку и рассказать об этом процессе. В этом примере мы собираемся создать новый объект групповой политики, который подключает список доверенных сайтов к Internet Explorer на наших настольных компьютерах. Если вы запускаете веб-приложение в своей сети, которому необходимо запускать элементы управления JavaScript или ActiveX или что-то в этом роде, может потребоваться, чтобы веб-сайт был частью списка надежных сайтов в Internet Explorer, чтобы он работал правильно.Вы можете распечатать страницу с инструкциями для службы поддержки о том, как это сделать на каждом компьютере, и попросить их потратить время на то, чтобы сделать это для каждого пользователя, который звонит, потому что не может получить доступ к приложению. Или вы можете просто создать объект групповой политики, который автоматически вносит эти изменения на каждой рабочей станции и сохраняет все эти телефонные звонки. Это всего лишь один крошечный пример возможностей, которыми обладает групповая политика, но это хороший пример, потому что он полезен и является параметром, который как бы спрятан глубоко в настройках GPO, так что вы можете почувствовать, насколько глубоки эти возможности.
В консоли управления групповыми политиками щелкните правой кнопкой мыши папку «Объекты групповой политики» и выберите «Создать». Назовите свой новый объект групповой политики — мой называется «Добавление надежных сайтов» — и нажмите «ОК». Ваш новый объект групповой политики теперь отображается в списке доступных объектов групповой политики, но он еще не применяется ни к кому и ни к каким компьютерам. Прежде чем мы назначим этот новый объект групповой политики кому-либо, давайте подключим этот список доверенных сайтов, чтобы политика содержала информацию о нашей конфигурации. У нас есть новая политика, но в настоящее время в ней отсутствуют какие-либо настройки.
Щелкните правой кнопкой мыши новый объект групповой политики и выберите «Изменить…». Теперь перейдите к Конфигурация компьютера | Политика | Административные шаблоны | Компоненты Windows | Internet Explorer | Панель управления Интернетом | Страница безопасности. Видишь, я же говорил тебе, что он там зарыт!
Мы закончили? Почти. Как только я нажимаю кнопку «ОК», эти настройки теперь сохраняются в моем объекте групповой политики и готовы к развертыванию, но на данный момент я ничего не назначил своему новому объекту групповой политики, поэтому он просто ждет. для использования.
Вернувшись в консоль управления групповыми политиками, найдите расположение, с которым вы хотите связать этот новый объект групповой политики. Вы можете связать объект групповой политики с верхней частью домена аналогично тому, как работает политика домена по умолчанию, и тогда она будет применяться ко всему, что находится ниже этой ссылки. Таким образом, по сути, он начнет применяться к каждой машине в вашей доменной сети. В этом конкретном примере мы не хотим, чтобы настройки доверенного сайта были такими глобальными, поэтому вместо этого мы создадим ссылку на конкретную организационную единицу. Таким образом, этот новый объект групповой политики будет применяться только к машинам, которые хранятся внутри этого подразделения. Я хочу назначить этот объект групповой политики моему подразделению Accounting Desktops, которое я создал ранее. Поэтому я просто нахожу это OU, щелкаю по нему правой кнопкой мыши и выбираю Link an Existing GPO… :
Теперь я вижу список объектов групповой политики, доступных для связывания. Выберите новый объект групповой политики «Добавление надежных сайтов» и нажмите «ОК». Вот и все! Новый объект групповой политики теперь связан с подразделением «Настольные компьютеры» и будет применять эти параметры ко всем компьютерам, размещенным внутри этого подразделения.
Вы можете связать объект групповой политики с несколькими организационными единицами. Просто выполните тот же процесс еще раз, на этот раз выбрав другое подразделение, в котором вы хотите создать ссылку, и этот объект групповой политики теперь будет применяться к обоим подразделениям, имеющим активные ссылки. Вы также можете удалить отдельные ссылки, щелкнув сам объект групповой политики, чтобы просмотреть его свойства.
Фильтрация объектов групповой политики на определенные устройства
Теперь, когда вы создали объект групповой политики и связали его с определенной организационной единицей, у вас достаточно информации, чтобы действительно начать использовать групповую политику в своей среде. Использование ссылок для определения того, какие машины или пользователи получают какие политики, является наиболее распространенным методом, который, как я вижу, используют администраторы, но во многих случаях вы можете пойти дальше. Что, если у вас есть новый объект групповой политики и он связан с OU, включающей все ваши настольные компьютеры, но затем вы решили, что для некоторых из этих машин политика нужна, а для некоторых нет? Было бы головной болью разделить эти машины на две отдельные OU только для целей этой политики, которую вы создаете. Здесь в игру вступает фильтрация безопасности GPO.
Фильтрация безопасности — это возможность отфильтровать объект групповой политики до определенных объектов Active Directory. Для любого заданного объекта групповой политики в вашем каталоге вы можете установить фильтры, чтобы объект групповой политики применялся только к определенным пользователям, определенным компьютерам или даже определенным группам пользователей или компьютеров. Я считаю, что использование групп особенно полезно. Итак, для нашего предыдущего примера, где у нас есть политика, которая должна применяться только к некоторым настольным компьютерам, мы могли бы создать новую группу безопасности внутри Active Directory и добавить в группу только эти компьютеры. После настройки GPO с этой группой, указанной в разделе фильтрации, эта политика будет применяться только к машинам, которые являются частью этой группы.В будущем, если вам потребуется удалить эту политику с некоторых компьютеров или добавить ее на новые компьютеры, вы просто добавляете или удаляете машины из самой группы, и вам вообще не нужно изменять объект групповой политики.
Раздел «Фильтрация безопасности» отображается при нажатии любого объекта групповой политики в консоли управления групповыми политиками. Откройте GPMC и просто нажмите один раз на один из ваших объектов групповой политики. С правой стороны вы видите область, открытую для этой политики. В верхнем разделе показано, какие ссылки в данный момент активны в политике, а в нижней половине экрана отображается раздел «Фильтрация безопасности». Здесь вы можете видеть, что я связал свой объект групповой политики с OU Accounting Desktops, но я установил дополнительный фильтр безопасности, чтобы только машины, входящие в группу Accounting — Trusted Sites, фактически получали параметры из моего объекта групповой политики:
Еще одна интересная функция, доступная всего одним щелчком мыши, – вкладка "Настройки" на том же экране. Нажмите на эту вкладку, и она отобразит все конфигурации, установленные в настоящее время в вашем объекте групповой политики. Это очень полезно для проверки объектов групповой политики, созданных кем-то другим, чтобы увидеть, какие параметры изменяются.
Читайте также: