Lucrul cu domeniile politicii de grup

Mai jos este o serie de exemple care demonstrează modul de lucru cu politicile de grup de domenii.

Creați un obiect de politică de grup. Pentru a crea un GPO izolat, izolat:
  1. Porniți Microsoft Management Console (MMC).
  2. Selectați Add / Remove Snap-in din meniul Console, în fereastra următoare faceți clic pe butonul Add.
  3. În fereastra Add Standalone Snap-in, faceți clic pe Politică de grup, apoi pe Adăugare.
  4. În fereastra Căutați un obiect Policy Policy, faceți clic pe Răsfoire. Se pornește browserul GPO.
  5. Pentru a crea un nou GPO cu numele implicit, faceți clic pe butonul New New Object Policy Group (Figura 27.5).
  6. Redenumiți noul GPO creat. Dă-i un nume mai informativ.
Notă: Sistemul de operare nu respectă unicitatea numelor de obiecte ale politicilor de securitate de grup, deoarece fiecare are GPO un identificator unic global intern (GUID). Creatorul său este responsabil pentru unicitatea numelui.
  • Pentru a închide fereastra browserului GPO, faceți clic pe OK. Faceți clic pe Finalizare pentru a închide caseta de dialog Căutați un obiect de politică de grup.
  • Faceți clic pe Close (Închidere) pentru a închide caseta de dialog Add Addone Snap-in și apoi închideți caseta de dialog Add / Remove Snap-in.






    • Lucrul cu domeniile politicii de grup

    Fig. 27,5. Caseta de dialog Căutați un obiect de politică de grup și butonul Obiect nou pentru politica grupului nou

    Acum, modulul snap-in GPO este încărcat cu noul GPO creat. Editați-o în conformitate cu conceptul de securitate generală și asociați-o cu domeniul corespunzător sau OU.

    Notă: Puteți crea și edita un GPO direct pentru un anumit container. Acest lucru se face pe fila Politică de grup în fereastra de proprietăți a acestui container (consultați secțiunea "Obligativitatea GPO pentru obiectele Active Directory" de mai jos).

    Descărcarea unui GPO deja creat. Pentru a descărca GPO:
    1. Porniți modul snap-in pentru politica de grup. Când porniți modulul snap-in, specificați GPO descărcabil. Pentru aceasta, faceți clic pe butonul Răsfoiți. Se pornește browserul GPO.
    2. În fereastra de dialog care deschide Găsirea obiectului politicii de grup, selectați GPO cerut și faceți clic pe OK.
    Editați GPO. Pentru a edita un GPO:
    1. Descărcați GPO-ul cerut în modulul snap-in Policy Group.
    2. După rularea modulului snap-in, navigați prin arborele nodic și deschideți setările de politică de grup editabile.
    3. În panoul din dreapta al ferestrei snap-in Policy Group, faceți clic pe parametrul pe care îl editați. În fereastra care se deschide, setați valoarea dorită.
    Legarea unui GPO la obiectele Active Directory. Pentru a conecta un GPO creat la un site, un domeniu sau o unitate organizațională (creați un link către anumite GPO):
    1. Porniți fișierul snap-in Active Directory Sites and Services pentru a lucra cu site-uri sau utilizatori și computere Active Directory pentru domenii și unități organizaționale.
    2. Specificați containerul pentru care este stabilită asocierea cu GPO și faceți clic pe butonul din dreapta al mouse-ului. În meniul care apare, faceți clic pe Proprietăți, apoi faceți clic pe fila Politică de grup.
    3. Pentru a adăuga un nou GPO, faceți clic pe butonul Adăugați. Se pornește browserul GPO.
    4. Găsiți GPO cu care doriți să asociați containerul selectat și selectați-l. Faceți clic pe OK. GPO va fi adăugat la lista obiectelor asociate. Pentru a modifica prioritatea politicii (ordinea articolelor din listă), utilizați butoanele Sus și Jos.






    Configurați o politică de parole pentru conturile locale. Pentru a configura o politică de parole într-un anumit domeniu sau unitate organizațională:
    1. Creați un GPO conceput pentru a crea o politică de parolă, așa cum este descris mai sus.
    2. Descărcați GPO creată și deschideți Configurația computerului | Configurarea Windows Setări de securitate | Politicile contului Politica privind parolele.
    3. Setați setările necesare pentru politica de parolă.
    4. Închideți modul snap-in pentru politica de grup. Toate modificările pe care le faceți vor fi înregistrate în GPO.
    5. Urmați procedura de conectare a GPO creată la domeniul sau unitatea organizațională descrisă în secțiunea anterioară.

    Acum puteți muta toate computerele la care această politică de parole trebuie aplicată acestui domeniu sau departament.

    Activarea auditului pe controlerele de domeniu. Când creați un controler de domeniu într-un container de controlere de domeniu, el implicit este un GPO care definește politicile locale ale tuturor controlerelor de domeniu. Pentru a configura auditul pe toate controlerele de domeniu, puteți să editați pur și simplu acest GPO.

    Pentru a modifica politica de audit pentru controlorii de domeniu:
    1. Porniți modul snap-in pentru politica de securitate a controlerului de domeniu, Start | Administrare | Politica de securitate a controlerului de domeniu (Start | Instrumente administrative | Politica de securitate a controlerului de domeniu). De asemenea, puteți deschide un GPO pentru controlerele de domeniu prin conectarea la acesta a unui snap-in izolat pentru politica de grup.
    2. Extindeți nodul "Politici locale". Veți vedea trei subsecțiuni referitoare la cele trei setări ale politicii locale.
    3. Selectați secțiunea "Politica de audit". În subwindul potrivit, vor apărea politici de audit
    4. Faceți dublu clic pe politica de acces la serviciul de director de audit.
    5. Pentru a activa auditul, bifați caseta de selectare Definire setări politică. Auditul nu a reușit încercări de a obține acces la directorul activat prin setarea eșecul de pavilion (Failure) în grupul de audit următoarele încercări de acces (audit aceste încercări). Pentru a permite auditarea de încercări reușite de a avea acces la directorul, verificați de succes (succes).
    6. Faceți clic pe OK. Toate modificările pe care le faceți vor apărea în panoul din dreapta.
    7. Închideți fereastra de blocare. Noua politică va intra în vigoare.
    Configurați privilegiile utilizatorilor și grupurilor când lucrați într-un domeniu cu Active Directory. Folosind GPO, puteți determina setul de privilegii disponibile pentru toți utilizatorii unui domeniu sau a unei unități organizaționale. Pentru a configura privilegiile unui grup de utilizatori sau ale unui utilizator individual atunci când lucrați cu resurse de computer:
    1. Creați un GPO care stochează valorile necesare pentru setările politicii de grup. Procedura de creare a unui obiect este descrisă mai sus.
    2. Descărcați-l la modulul snap-in pentru politica de grup.
    3. În modul snap-in Politică de grup, deschideți Configurația computerului | Configurarea Windows Politici locale Atribuirea drepturilor de utilizator (Atribuirea drepturilor utilizatorilor).
    4. În panoul din dreapta al ferestrei snap-in pentru politica de grup, faceți dublu clic, de exemplu, linia de verificare a traversării bypass. În fereastra care se deschide (a se vedea Figura 27.6), bifați caseta de selectare de lângă Definiți următoarele setări de politică și faceți clic pe butonul Adăugați. În fereastra Adăugare utilizator sau grup care se deschide, introduceți numele grupului personalizat sau faceți clic pe Răsfoire și selectați grupurile sau utilizatorii doriți.
    5. După selectarea grupurilor, faceți clic pe OK. Toate modificările vor fi înregistrate în GPO.
    6. Folosind procedura de mai sus, stabiliți o asociere între noul GPO creat și containerul Active Directory, în care vor fi realizate privilegiile nou configurate.

    Lucrul cu domeniile politicii de grup

    Fig. 27.6. Setarea setării politicii de securitate, care vă permite să editați privilegiile utilizatorilor și grupurilor







    Pagina anterioară

    Pagina următoare

    Trimiteți-le prietenilor: