Использование групп с ограниченным доступом
Посетите веб-сайт Дерека, посвященный средствам аудита и безопасности Windows, статьям, книгам, форумам и многому другому…
www.auditingwindows.com
Есть ли у вас пользователи компьютеров Windows 2000 и XP Professional, удаляющие группу администраторов домена из локальной группы администраторов на своих компьютерах? Вам нужно иметь специальную учетную запись пользователя, помещенную в группу администраторов каждого компьютера в сети для функций удаленного администрирования?
Это общие проблемы, с которыми сталкивается большинство сетевых администраторов в среде Windows. Основная проблема заключается в том, что трудно контролировать членство в локальных группах на клиентах и серверах по всему предприятию. Если вы являетесь организацией среднего или крупного размера, у вас могут быть тысячи клиентов и сотни серверов, которыми вам необходимо управлять. Вручную пытаться управлять всеми локальными группами на всех этих компьютерах сложно и почти невозможно.
Не бойтесь, объекты групповой политики (GPO) уже здесь! Объекты групповой политики предоставляют механизм, позволяющий контролировать членство в локальных группах и даже группах домена на любом компьютере предприятия Active Directory. Конкретной конфигурацией, которую вы используете для этой задачи, является параметр групповой Политики с ограниченным доступом.
Где найти группы с ограниченным доступом?
Группы с ограниченным доступом — это узел во всех объектах групповой политики. В данном случае я имею в виду только те объекты групповой политики, которые находятся в Active Directory, а не локальные объекты групповой политики, существующие на каждом компьютере. Узел Restricted Groups находится в узле Computer Configuration|Windows Settings|Security Settings для любого объекта групповой политики в Active Directory. Вы можете увидеть этот путь и узел Restricted Groups на рисунке 1.
Рис. 1. Узел «Группы с ограниченным доступом» в общем объекте групповой политики в Active Directory
Две важные вещи, на которые следует обратить внимание в отношении графики. Во-первых, политика групп с ограниченным доступом влияет на учетную запись компьютера, а не на учетные записи пользователей. Таким образом, вам необходимо нацелить объекты групповой политики, в которых вы настраиваете группы с ограниченным доступом, на организационные единицы (OU), которые содержат учетные записи компьютеров.
Еще один момент, который я хочу отметить в отношении групп с ограниченным доступом, заключается в том, что они не настроены по умолчанию. Ни у одного нового объекта групповой политики изначально не настроены группы с ограниченным доступом. Два объекта групповой политики по умолчанию, политика домена по умолчанию и политика контроллера домена по умолчанию, также не имеют групп с ограниченным доступом, настроенных по умолчанию.
Что может дать группа с ограниченным доступом?
Параметр «Группа с ограниченным доступом» позволяет настраивать членство в группах в Active Directory или в локальном диспетчере учетных записей безопасности (SAM) клиентов и серверов, присоединившихся к домену. Поскольку параметр «Группа с ограниченным доступом» доступен только в объекте групповой политики, связанном с узлом Active Directory, этот параметр является централизованным как для администрирования, так и для развертывания.
Чтобы создать группу с ограниченным доступом, вам нужно только создать объект групповой политики, а затем получить доступ к узлу «Группы с ограниченным доступом», как описано выше. Оказавшись в узле «Группы с ограниченным доступом», щелкните его правой кнопкой мыши и выберите «Добавить группу». Введите имя группы или найдите его в базе данных Active Directory. После того, как вы создадите группу, она появится на правой панели в столбце «Имя группы».
Существует два разных способа управления членством в группах с помощью групп с ограниченным доступом. Первый управляет членством в указанной группе, а другой параметр определяет, в какие группы входит указанная группа.
- Члены этой группы — этот параметр позволяет управлять членами группы, указанной для политики. Члены могут включать как учетные записи пользователей, так и групповые учетные записи. Когда вы настраиваете членов группы, существующее членство в группе будет перезаписано, а члены заменены теми, которые указаны в GPO. Если бы вы настроили этот параметр и оставили поле для участников пустым, то после применения объекта групповой политики к компьютеру в группе не было бы участников.
Чтобы настроить членов группы с ограниченным доступом, дважды щелкните имя группы, созданное в узле Группа с ограниченным доступом. Это откроет лист свойств группы. Затем вы нажмете кнопку «Добавить» для раздела «Члены этой группы» формы, как показано на рисунке 2.
Рисунок 2: Интерфейс конфигурации для добавления участников в группу с ограниченным доступом.
- Эта группа является членом — этот параметр позволяет вам контролировать, в какие другие группы входит указанная группа. Все группы, которые вы настраиваете в этом интерфейсе, должны соответствовать утвержденным правилам вложенности групп. Таким образом, вы не можете настроить локальную группу на членство в другой группе, поскольку локальные группы нельзя поместить ни в группы Active Directory, ни в другие локальные группы. Если список групп в этом разделе оставить пустым, указанная группа не будет удалена из существующих групп, она просто не будет помещена в дополнительные группы.
Чтобы настроить членство в других группах группы с ограниченным доступом, дважды щелкните имя группы, созданное в узле Группа с ограниченным доступом. Это откроет лист свойств группы. Затем вы нажмете кнопку «Добавить» для раздела «Эта группа является членом» формы, как показано на рисунке 3.
Рисунок 3: Интерфейс конфигурации для добавления групп, которые будут членами других групп в рамках политики Restricted Group.
Обычное использование групп с ограниченным доступом
Есть несколько распространенных способов использования групп с ограниченным доступом в компаниях любого размера. Вот несколько способов, которыми вы можете в полной мере воспользоваться преимуществами групп с ограниченным доступом для различных ситуаций на клиентах, серверах и контроллерах домена.
- Управляйте членством в локальной группе администраторов на всех клиентских компьютерах, чтобы включить следующие учетные записи:
- Администратор (локальная учетная запись SAM)
- Администраторы домена
- SMS или другая учетная запись удаленного администратора домена
- Администратор (локальная учетная запись SAM)
Еще одно косвенное преимущество использования параметра «Группа с ограниченным доступом» заключается в том, что он автоматически удаляет все локальные учетные записи пользователей, которые не следует добавлять в группу «Администраторы». Обычно это локальные учетные записи пользователей, созданные пользователем компьютера для обхода безопасности домена.
- Управляйте членством в группах Enterprise Admins и Schema Admins. Эти группы не следует использовать так часто, если только не произойдет крупное и важное изменение в части Active Directory. Используя параметр «Группа с ограниченным доступом», вы можете лучше управлять и контролировать членство и гарантировать, что неправильная учетная запись не будет добавлена в эти группы неправильно.
- Контролируйте членство в локальных группах на файловых серверах. Файловые серверы обычно имеют много локальных групп. Эти локальные группы обычно являются вложенными глобальными группами из Active Directory. Вы можете использовать группы с ограниченным доступом, чтобы членство в этих группах было согласованным и постоянным из центрального расположения Active Directory.
Советы для групп с ограниченным доступом
Вот несколько общих советов, которые помогут вам без проблем реализовать Restricted Groups.
- Убедитесь, что объекты групповой политики связаны с подразделениями, содержащими учетные записи компьютеров.
- Убедитесь, что вы не пытаетесь настроить недопустимые правила вложенности групп.
- При добавлении участников в группу вам нужно будет добавить всех участников через GPO.
- Используйте группы с ограниченным доступом для управления членством в ключевых административных группах в Active Directory.
- Тщательно протестируйте реализацию перед развертыванием, чтобы убедиться, что вы не запрещаете возможности пользователей или не блокируете себя от компьютера.
Резюме
Группы с ограниченным доступом очень эффективны, поскольку они могут контролировать любую группу на любом компьютере в домене. Затем эта сила увеличивается из-за централизованных административных возможностей объектов групповой политики в Active Directory. Группы с ограниченным доступом позволяют согласовывать конфигурации групп на каждом отдельном компьютере в организации, включая все клиенты, серверы и контроллеры домена. Вам нужно будет тщательно протестировать свою реализацию, чтобы убедиться, что вы получите желаемые результаты, прежде чем запускать что-либо в производство.