Краткое руководство по решению проблем с настройками безопасности групповой политики

Будучи админами Active Directory, Group Policy, работая с компьютерами в области информационной безопасности, мы все отлично знаем, что лучшим методом обеспечить безопасность среде Windows – это использовать групповые политики. Есть сотки, если не тыщи опций безопасности в каждом объекте групповой политики – Group Policy Object (GPO). Внедрение GPO дает нам эффективность, мощь и автоматизм. Но, бывают ситуации, когда приходится чесать затылок в задумчивости: как верно настроен GPO и как правилен сам GPO. В этой статье я дам вам несколько советов по поводу инструментов, команд и других вопросов, которые вы сможете испытать применить, чтоб убедиться в том, что ваши GPO и их опции безопасности используются верно. Конечно, если вам нужна более подробная информация о групповых политиках либо о решении заморочек, с ними связанных, вы сможете обратиться к более полному управлению – MSPress Group Policy Resource Kit, написанным мной!

Какие опции являются “опциями безопасности”?

При том, что в одном GPO может быть более 5000 опций, я желаю на 100% точно указать, о каких конкретно настройках я говорю в этой статье. Есть особый раздел в GPO, посвященный безопасности. Да, я знаю, что есть и другие опции, тоже связанные с безопасностью, но тут я буду гласить только об этом разделе.

Чтоб отыскать этот раздел, открывайте GPO, лучше через GPMC, потому что у локального GPO набор опций отличается от опций GPO в Active Directory. Открыв в редакторе GPO, раскройте узел Computer ConfigurationPoliciesWindows SettingsSecurity Settings, как показано на Рисунке 1.

Короткое управление по решению заморочек с опциями безопасности групповой политики

Набросок 1: Узел Security Settings, раскрытый в редакторе Group Policy Management Editor

Здесь вы обнаружите целый букет опций: аспекты реестра, пользовательские права, разрешения для файлов/папок/реестра, безопасность беспроводной связи, членство в группах и т.д. Большая часть этих опций контролируются клиентским расширением, так что если одна из их неудачна, трудности будут у всех. С оборотной стороны, если одна из их удачно применяется, то и все должны отлично работать (в теории!).

Проверка #1

Из GPMC (на хоть какой машине, где у вас есть административные права) вы сможете запустить инструмент Group Policy Results. Этот инструмент встроен в GPMC, потому ничего такого особенного делать не надо. В GPMC вы можете найти, какие опции есть на мотивированном компьютере из числа тех опций безопасности, которые вы устанавливали через ваш GPO.

Чтоб отыскать узел Group Policy Results в GPMC, поглядите в нижнюю часть консоли GPMC. Там вы и отыщите узел Group Policy Results (Набросок 2).

Короткое управление по решению заморочек с опциями безопасности групповой политики

Набросок 2: Узел Group Policy Results в нижней части перечня узлов в GPMC

Этим инвентарем вы выбираете пользовательский акк (‘user account’) либо компьютерный акк (‘computer account’), для которых вам необходимы данные. Сделать это можно, щелкнув правой кнопкой мыши на узле Group Policy Results и выбрав мастер. Завершив работу с мастером, вы увидите итог под узлом Group Policy Results, как показано на Рисунке 3.

Короткое управление по решению заморочек с опциями безопасности групповой политики
Прирастить

Набросок 3: Инструмент Group Policy Results показывает результирующие GPO и опции для юзера и компьютера

Из этого интерфейса вы сможете просмотреть многие нюансы примененных GPO, также их настроеки. Здесь вам необходимо поглядеть на разные результаты в правой панели. Просмотрите объекты Group Policy Object, чтоб убедиться в том, что ваш GPO использован, а не был отклонен по некий причине. Потом проверьте Component Status на наличие ошибок, связанных с клиентским расширение по безопасности. И, в конце концов, проверьте вкладку Settings, раздел Security Settings и изготовленные вами опции (Набросок 4).

Короткое управление по решению заморочек с опциями безопасности групповой политики
Прирастить

Набросок 4: Вкладка Settings для инструмента Group Policy Results указывает, какие опции используются к мотивированному компу

Проверка #2

Еще вы сможете запустить RSOP.msc на мотивированном компьютере, что даст вам полностью такую же информацию, что и 1-ая проверка, только формат интерфейса будет отличаться. На Рисунке 5 показано, как команда RSOP.msc на мотивированном компьютере указывает опции GPO в том же формате, что и уникальный GPO, который настраивался в редакторе. Таковой вид предпочтителен для неких, так как не надо волноваться о пути к настройкам безопасности, а можно просто перейти прямо к узлу в GPO и узреть результаты.

Короткое управление по решению заморочек с опциями безопасности групповой политики
Прирастить

Набросок 5: Итог выполнения RSOP.msc на мотивированном компьютере

Более подробную информацию о расширениях GPO и клиентских расширениях можно получить, посмотрев внимательнее на этот интерфейс. Если вы щелкните правой кнопкой мыши на узле Computer Configuration, вы можете избрать опцию меню Properties. Тут вы увидите примененные GPO, также можете подключить просмотр последующих узлов (Набросок 6):

GPOs and filtering status
Scope of management of the GPO
Revision information about the GPO

Короткое управление по решению заморочек с опциями безопасности групповой политики

Набросок 6: Функция RSOP Properties указывает дополнительные сведения о примененных GPO

Эта информация поможет вам найти предпосылки того, что GPO либо надлежащие опции не были использованы.

Чтоб узреть данные клиента, изберите вкладку Error Information, как показано на Рисунке 7.

Короткое управление по решению заморочек с опциями безопасности групповой политики
Прирастить

Набросок 7: Вкладка Error Information в свойствах RSOP.msc

Тут вы видите, почему некое CSE мог быть не использовано, что даст вам информацию к размышлению о том, почему некие опции могут отсутствовать в интерфейсе RSOP.msc.

Проверка #3

Если вам необходимы только опции безопасности, а не все опции, установленные GPO, сможете запустить secpol.msc на мотивированном компьютере. Вам покажут только одно подмножество GPO в том же формате, что и начальный редактор GPO. Это показано на Рисунке 8.

Короткое управление по решению заморочек с опциями безопасности групповой политики

Набросок 8: Secpol.msc указывает только опции безопасности на мотивированном компьютере

Есть два момента, связанных с этим инвентарем, о которых я должен упомянуть. Во-1-х, он покажет вам БОЛЬШЕ, чем просто опции безопасности, развернутые с GPO. Это дает суровое преимущество, потому что вы видите ВСЕ опции безопасности на компьютере, а не только лишь те, что были установлены с GPO. Вы сходу сможете сказать, какие опции идут от GPO в Active Directory, а какие были использованы локально. Если вы обратитесь к Рисунку 8, вы увидите, что Account lockout threshold имеет отличающуюся от 2-ух других опций иконку. Эта иконка указывает, что эта настройка – от GPO из Active Directory, а две других были установлены локально.

2-ой момент состоит в том, что вы сможете ясно узреть, что инструмент secpol указывает не настолько не мало опций GPO, как инструмент RSOP.msc. Так что, если вам необходимы какие-то определенные опции, вам стоит работать с тем инвентарем, которой точно показывает те данные, которые вам необходимы.

Заключение

Видите ли, у вас много вариантов (это был не исчерпающий перечень) посодействовать для себя в проверке статуса опций безопасности, установленных при помощи GPO. Эти инструменты уже интегрированы, и они очень полезны. Естественно, у вас должно быть довольно администраторских прав, чтоб запускать их, но если все в порядке, вы просто можете узреть, какие опции были использованы, какие – нет, также вероятные предпосылки этого.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.