Читайте также:
|
1. Создадим учетную запись IvanIvanov для зам. администратора по управлению данными и резервным копированием с помощью оснастки «Active Directory – пользователи и компьютеры»:
2. Сформируем по функциональным обязанностям сотрудника глобальную группу AssistantDataAdmin:
Область действия группы – глобальная
Тип группы – группа безопасности
3. Включим учетную запись IvanIvanov в подготовленную глобальную группу AssistantDataAdmin в свойствах учетной записи. Теперь данная учетная запись является членом глобальных групп «Пользователи домена» и «AssistantDataAdmin».
4. Сформируем локальные группы на основе разрешений для доступа к конкретным ресурсам: «Data».
5. Включим глобальную группу «AssistantDataAdmin» в доменную локальную группу «Data» в свойствах глобальной группы.
6. Дадим разрешения на доступ к ресурсам локальной группе «Data». Предположим, зам. администратора по данным должны иметь право на чтение и запись в папку Backup (полномочия Изменить, Чтение и выполнение, Список содержимого папки, Чтение, Запись) и чтение папки Data (полномочия Список содержимого папки и Чтение).
7. Можно в «Политике безопасности домена» разрешить локальной группе «Data» выполнять архивирование и восстановление файлов и каталогов.
Создадим еще одну учетную запись PetrPetrov для зам. администратора по управлению пользователями. Для учетных записей похожего типа создадим глобальную группу AssistantUsersAdmin. Создадим локальную группу UserManagment. Включим глобальную группу AssistantUsersAdmin в локальную группу UserManagment. Для делегирования административных полномочий буду использовать мастер «Делегирование управления». В качестве субъекта безопасности выберем локальную группу UserManagment. Список делегируемых задач данной группе:
· создание, удаление и управление учетными записями пользователей
· переустановление паролей
· чтение информации о всех пользователях
· создание, удаление и управление группами
· изменение членства в группах
Создадим объект групповой политики и выберем раздел Конфигурация Windows – Параметры безопасности – Политики ограниченного использования программ. В разделе Уровни безопасности можно выбрать действующий уровень. По умолчанию им является уровень «Неограниченный». Этот уровень разрешает запуск любых программ, кроме явно запрещенных правилами. Я не буду использовать данный уровень безопасности, поскольку он используется, когда необходимо запретить использование небольшого количества программ. А в нашем случае требуется запретить выполнение всех программ за исключением IE. Для обеспечения данного уровня защиты необходимо использовать уровень безопасности: Не разрешено.
При смене уровня безопасности с «Неограниченный» на «Не разрешено» возникает следующее предупреждение:
В узле «Политики ограниченного использования программ» расположены общие параметры настроек, определяющих применение политик:
· Принудительный (определяет, следует ли проверять библиотеки dll)
· Назначенные типы файлов (список типов файлов, оторые политика будет идентифицировать как исполняемый код)
· Доверенные издатели (позволяет настраивать реагирование политики на элементы управления ActiveX и другое подписанное содержимое)
В данном узле оставим все настройки по умолчанию.
Дата добавления: 2015-12-01; просмотров: 26 | Нарушение авторских прав