Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Friday 13 October 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Создание и назначение групповых политик.
Прежде чем объекты групповой политики могут быть использованы для управления параметрами компьютеров и окружения пользователей они должны быть созданы.
По умолчанию Windows уже имеет локальную политику безопасности, содержащую параметры, настроенные по умолчанию. Аналогично, в каждом домене Active Directory существует две настроенных групповых политики: политика домена и политика контроллеров домена. В домене вы можете создать любое необходимое количество дополнительных групповых политик.
Шаблоны локальных групповых политик.
Локальная групповая политика всегда присутствует на любом компьютере Windows 2000 (и более поздних версий) и не может быть создана по аналогии с доменными объектами групповой политики. Однако, вы имеете возможность применять шаблоны локальной групповой политики, полностью переопределяя параметры, определенные в ней по умолчанию.
Шаблоны политики безопасности содержат только определение параметров политики, связанных с безопасностью. Шаблоны не могут использоваться для настройки остальных параметров политики безопасности.
Работа с шаблонами групповых политик обычно выполняется в следующей последовательности:
вы подготавливаете необходимые шаблоны безопасности;
вы применяете шаблоны безопасности, используя утилиту secedit;
вы перезагружаете политику безопасности, используя утилиту secedit.
Редактор шаблонов групповых политик.
Для редактирования шаблонов групповых политик используется оснастка консоли управления Шаблоны безопасности. Соответствующая консоль управления отсутствует, поэтому вы должны самостоятельно запустить Консоль управления Windows Server 2003 и добавить в нее соответствующую оснастку.
Для этого в меню Пуск выберите Выполнить и введите команду mmc. Запустится консоль управления, содержащая пустую консоль с именем Консоль1.
В меню Консоль щелкните Добавить или удалить оснастку. Появится окно добавления и удаления оснасток и расширений.
В нем щелкните кнопку Добавить, выберите оснастку Шаблоны безопасности, щелкните кнопку Добавить, после чего щелкните кнопку ОК. Оснастка будет добавлена в консоль.
Если вы планируете активно работать с редактором шаблонов, то, возможно, имеет смысл создать свою собственную консоль управления, содержащую все необходимые оснастки для управления групповыми политиками и шаблонами.
Редактор шаблонов безопасности отображает в дереве консоли все шаблоны безопасности, хранящиеся в папке %systemroot%\Security\Templates - по умолчанию все стандартные шаблоны Windows Server 2003 хранятся в этой папке. Если вы храните свои шаблоны в другой папке, ее тоже можно добавить в дерево консоли. Для этого выберите ветвь Шаблоны безопасности в дереве консоли и нажмите на ней правую кнопку мыши. Выберите пункт Новый путь для поиска шаблонов контекстного меню и укажите папку, в которой хранятся ваши шаблоны.
Каждый шаблон содержит параметры групповой политики безопасности, которая обычно доступна в ветви Конфигурация компьютера\Конфигурация Windows\Параметры безопасности. Изменение параметров групповой политики будет рассмотрено позже.
Стандартные шаблоны безопасности
Каждый компьютер Windows Server 2003 содержит стандартный набор шаблонов безопасности, которые используются в следующих случаях:
для создания локальной групповой политики при установке Windows Server 2003 или повышения Windows Server 2003 до контроллера домена;
для быстрой настройки политики безопасности на компьютерах;
для создания собственных шаблонов безопасности, используемых для настройки политики безопасности в рабочих группах.
Список шаблонов и их краткое описание приводится ниже:
Шаблон
Редакция Windows 2000
Описание
basicdc
Server
Параметры безопасности по умолчанию для контроллеров домена. Не содержит специальных ограничений на файлы, папки и разделы реестра
basicsv
Server
Параметры безопасности по умолчанию для серверов. Не содержит специальных ограничений на файлы, папки и разделы реестра
basicwk
все
Параметры безопасности по умолчанию для рабочих станций. Не содержит специальных ограничений на файлы, папки и разделы реестра
compatws
все
Содержит только настройки разрешений по умолчанию для файлов, папок и разделов реестра
DC security
Server
Параметры безопасности по умолчанию, используемые при установке Active Directory на Windows Server 2003
hisecdc
Server
Содержит дополнительные параметры безопасности для контроллеров домена. Включает все параметры шаблона securedc
hisecws
все
Содержит дополнительные параметры безопасности для рабочих станций. Вводит ограничения для группы опытных пользователей и сервера терминалов. Включает все параметры шаблона securews
notssid
Server
Удаляет идентификатор безопасности пользователя сервера терминалов из всех разрешений и групп, блокируя тем самым этому пользователю доступ к компьютеру
ocfiless
Server
Содержит дополнительные параметры безопасности для файлов необязательных компонентов
ocfilesw
все
Содержит дополнительные параметры безопасности для файлов необязательных компонентов
securedc
Server
Специальные разрешения для файлов, папок и реестра контроллера домена. Отключение "лишних" служб, защита прочих областей
securews
все
Специальные разрешения для файлов, папок и реестра рабочей станции. Отключение "лишних" служб, защита прочих областей
setup security
все
Параметры безопасности, задаваемые на любом компьютере Windows во время установки
