|
Читайте также: |
При роботі в середовищі AD ви маєте можливість централізувати конфігурацію ваших термінальних серверів, полегшуючи введення нових серверів у домен.
ActiveDirectoryUsersandComputers
ActiveDirectoryUsersandComputers – адміністративна утиліта, яка використовується для керування OU, користувачами, комп'ютерами і групами в AD.На рисунку 3.1.2 зображено інтерфейс Active Directory Users and Computers.
Рисунок 3.1.2 – Інтерфейс Active Directory Users and Computers
У конфігурації за замовчуванням об'єкти AD поділені на 5 основних категорій:
Users – контейнер за замовчуванням для об'єктів користувачів, містить убудованих користувачів, таких як Administrator і Guest, а також усіх користувачів, що знаходилися в домені NT 4.0 при відновленні. Цей контейнер також містить доменні глобальні групи:DomainAdmins і DomainUsers.
Computers – контейнер за замовчуванням для об'єктів типу комп'ютер, містить у собі всі робочі станції і сервери-члени, що знаходилися в домені NT 4.0 при відновленні.
DomainControllers – контейнер за замовчуванням для контролерів доменів.
Builtin – контейнер містить вбудовані доменні локальні групи, які система використовує для керування рідними правами, як ServerandAccountOperatorsandAdministrators.
ForeignSecurityPrincipals – контейнер використовується системою для збереження посилань на користувачів і комп'ютери з інших довірених доменів.
Якщо ви керуєте невеликим або середнім доменом, цих контейнерів досить для задоволення ваших потреб. Однак, якщо вам необхідно організувати ваших користувачів, можна створити нові контейнери OU для збереження об'єктів. Потім застосовуєте дозволи до цим OU, щоб групи адміністраторів могли керувати користувачами і комп'ютерами у своїх власних OU.
При інтеграції термінальних серверів у AD бажано створити новий OU спеціально для термінальних серверів. Це дозволить застосовувати об'єкти групових політик (GPO) до всіх серверів цього OU, не піклуючись про додавання серверів у групу безпеки, щоб вони отримували налаштування з політик. Виняток з цього правила – якщо використовуєте винятково тонкі клієнти. У цьому випадку не потрібно створювати окремі GPO для робочих станцій і термінальних серверів.
GroupPolicyManagementConsole
У WS2K3 під'єднано новий інструмент для керування груповою політикою – консоль керування політикою (GroupPolicyManagementConsole, GPMC). Використовуючи GPMC, можна створювати і редагувати GPOs; зв'язувати GPO з OU, сайтами і доменами; набудовувати безпеки; делегувати адміністрування; робити резервні копії і відновлювати GPO; створювати звіти у форматі HTML і навіть запускати сценарії ResultantSetofPolicy для допомоги в проектуванні ваших GPO.
Налаштування термінальних серверів за допомогою групових політик
Після того, як ви підняли AD і додали в домен термінальні сервери, ви готові почати проектувати свої GPO для конфігурування термінальних серверів і користувацьких сеансів. У попередніх підрозділах згадувалося, що можна використовувати GPO для конфігурування налаштуваннями користувачів і сеансів, наприклад, тайм-аутів, редіректа ресурсів і т.д. Ви також можете використовувати GPO для керування користувацьким інтерфейсом Windows і для обмеження доступу до інструментів і функцій, що зловмисні користувачі можуть використовувати для дестабілізації роботи сервера.
Налаштування інтерфейсу користувача
Більшість налаштувань, доступних у GPO, призначені для конфігурування і блокування інтерфейсу користувача. Це досить слизька тема, оскільки користувачі часто звикли використовувати особливості Windows, які адміністратори часто видаляють або забороняють використовувати на термінальних серверах (наприклад, командний рядок, команда Run, TaskManager і т.п.). Потім ви можете додавати або видаляти обмеження залежно від вимог користувачів.
Нижче наведено список політик, що рекомендує Microsoft (налаштування поділені на ComputerConfiguration і UserConfiguration):
Налаштування ComputerConfiguration:
· Donotdisplaylastusernameinlogonscreen (не виводити ім'я останнього користувача на екрані входу).
· RestrictCD-ROMaccesstolocallylogged-onuseronly (обмежити доступ до CD-ROM, дозволити тільки для локальних користувачів).
· Restrictfloppyaccesstolocallylogged-onuseronly (обмежити доступ до FDD, дозволити тільки для локальних користувачів).
· Disable Windows Installer-Always (заборонити Windows Installer – назавжди).
Налаштування User Configuration:
· Folder Redirection: Application Data.
· Folder Redirection: Desktop.
· Folder Redirection: My Documents.
· Folder Redirection: Start Menu.
· Remove Map Network Drive and Disconnect Network Drive (видалити команди Map Network Drive і Disconnect Network Drive).
· Remove Search button from Windows Explorer (видалити кнопку Search з Windows Explorer).
· Disable Windows Explorer's default context menu (заборонити контекстне меню в Windows Explorer).
· Hide the Manage item on the Windows Explorer context menu (сховати команду Manage у контекстному меню Windows Explorer).
· Hide these specified drives in My Computer (enable this setting for A through D) (сховати наступні диски в My Computer – від A до D).
· Prevent access to drives from My Computer (enable this setting for A through D) (заборонити доступ до дисків у My Computer – від A до D).
· Hide Hardware Tab (заборонити вкладку Hardware).
· Prevent Task Run or End (заборонити запуск і завершення задач).
· Disable New Task Creation (заборонити створення нових задач).
· Disable and remove links to Windows Update (заборонити і видалити посилання на Windows Update).
· Remove common program groups from Start Menu (видалити групу загальних програм з меню Start).
· Disable programs on Settings Menu (заборонити програми в меню Start).
· Remove Network and Dial-up Connections from Start Menu (забрати пункт Network and Dial-up Connections з меню Start).
· Remove Search menu from Start Menu (забрати пункт Search з меню Start).
· Remove Help menu from Start Menu (забрати пункт Help з меню Start).
· Remove Run menu from Start Menu (забрати пункт Run з меню Start).
· Add Logoff to Start Menu (додати пункт Logoff у меню Start).
· Disable and remove the Shut Down command (заборонити і видалити команду Shut Down).
· Disable changes to Taskbar and Start Menu Settings (заборонити зміни в панель завдань і налаштування меню Start).
· Hide My Network Places icon on desktop (сховати іконку My Network Places на робочому столі).
· Prohibit user from changing My Documents path (заборонити користувачеві змінювати шлях My Documents).
· Disable Control Panel (заборонити Панель Керування).
· Disable the command prompt (Set Disable scripts to No) (заборонити командний рядок).
· Disable registry editing tools (заборонити інструменти редагування реєстру).
· Disable Task Manager (заборонити Task Manager).
· Disable Lock Computer (заборонити Lock Computer).
Очевидно, що використовуючи всі ці політики, можна отримати вкрай строге середовище, майже не придатне до використання. Наприклад, Microsoft рекомендує видалити команду MapNetworkDrive, але якщо ми знаходимося в розподіленому середовищі, користувачу може бути потрібна ця можливість для доступу до своїх документів. Проте цей список може служити гарною відправною точкою.
Потрібно бути обережними, створюючи різні політики для користувачів і системних адміністраторів. Очевидно, що адміністраторам потрібні деякі функції, які не потрібні користувачам. Для створення окремих політик створіть два об'єкти GPO. Один для користувачів, що містить усі обмеження, які ви хочете реалізувати, а другий – для адміністраторів, у якому обмеження заборонені. Встановлюємо делегування на користувацьку політику для застосовування її до AuthenticatedUsers, а адміністраторську політику застосовуємо тільки до доменної групи, що містить облікові записи адміністраторів. Нарешті, вміщуємо в порядку застосування адміністраторську політику перед користувацькою.
Рисунок 3.1.3 – Розташування політик
Ми вже знаємо, що для доступу до термінального сервера необхідне членство в групі RemoteDesktopUsers. З цієї причини керування цією групою рекомендується здійснювати за допомогою групових політик.
Обмежені групи (RestrictedGroups) дозволяють керувати членами локальної машинної групи через доменні GPO. Тоді при додаванні в домен нового термінального сервера, сервер негайно успадковує належні доменні групи у свою групу RemoteDesktopUsers. Таким же чином можна керувати локальною групою Administrators.
Рисунок3.1.4 – Обмеженігрупи (Restricted Groups)
Результуючаполітика
Ускладнихдоменахзбезліччюгруповихполітикікомбінаційстандартногойзворотногоопрацюваннядоситьскладновідстежуватисумарнийефектоб'єктів GPO іточнопередбачитирезультатпереміщеннякористувачаабокомп'ютеразодного OU вінший. Для допомоги в цьому Microsoft пропонує утиліту Resultant Set of Policy (RSOP.MSC).
Запустити її можна за допомогою команди Run для отримання інформації для поточного користувача або комп'ютера, або з GPMC для тестування сценаріїв реєстрації користувачів на окремих комп'ютерах.GPMC також надає доступ до інструмента Group Policy Modeling, який ви можете використовувати для тестування "що буде, якщо..." перед внесенням змін у групові політики або переміщенням об'єктів.
Дата добавления: 2015-11-30; просмотров: 42 | Нарушение авторских прав