Применение групповой политики Windows XP в домене Windows 2000 (часть 2)

Опубликовано: 13 Апреля, 2023

«Чтобы получить полное руководство по безопасности, ознакомьтесь с «Учебным пособием по безопасности и DVD-системой обучения» на Amazon.com».


Импорт шаблона безопасности в объект групповой политики


Прежде чем читать эту статью, убедитесь, что вы прочитали первую часть, в которой объясняется, как добраться до этого момента, где вы научитесь настраивать групповую политику в новой MMC, понимаете, что такое групповая политика и почему она важна. В этой части статьи мы расскажем, как импортировать шаблон безопасности в GPO (объект групповой политики).


Чтобы импортировать уже существующий шаблон безопасности в объект групповой политики Windows XP, выполните следующие действия:



  1. В оснастке «Групповая политика» выберите «Конфигурация компьютера» => «Параметры Windows» => «Параметры безопасности», и после его выбора вы увидите (на панели содержимого MMC) параметры безопасности внутри.



  1. После того, как вы развернули узел «Настройки безопасности», вы можете импортировать. В MMC есть известная ошибка, поэтому убедитесь, что вы открыли узел Конфигурация компьютера => Параметры Windows => Параметры безопасности, прежде чем выполнять импорт.
  2. Рик щелкните узел «Настройки безопасности» и выберите «Импорт политики» в меню.



  1. Вам будет предоставлена опция в диалоговом окне «Импорт политики из», в котором показаны все доступные шаблоны из вашей папки %SystemRoot%security emplates. (вы также можете хранить больше шаблонов здесь)
  2. После того, как вы выбрали шаблон (или просмотрели, где у вас могут храниться другие шаблоны), нажмите «Открыть».
  3. Настройки в этом шаблоне теперь будут «импортированы» в узел настроек безопасности, который мы только что обсуждали.
  4. Вы можете просмотреть эти настройки и изменить их при необходимости. Разверните узел «Настройки безопасности» и взгляните на некоторые настройки, в которых сделан этот шаблон.

После того, как вы завершили импорт шаблона, вы должны кое-что знать о том, как его «зарегистрировать» и вступить в силу. Импорт шаблона не считается «изменением», поэтому вам нужно будет зайти в настройки шаблона, что-то изменить (даже если вы измените его обратно), и тогда ваша новая настройка вступит в силу. Теперь вы успешно поработали с шаблоном безопасности и импортировали его в GPO.


Управление объектом групповой политики Windows XP с контроллера домена Windows 2000


В Windows XP вам необходимо отредактировать объект групповой политики в самой системе Windows XP, так как это не сработает в системе Windows 2000. Вы можете использовать объект групповой политики на контроллере домена Windows 2000, но, скорее всего, при попытке открыть его вы получите сообщение об ошибке типа «Windows не удается открыть файл шаблона». Помните, что даже если вы не видите шаблон, он будет работать при правильном применении.


Объект локальной групповой политики


Объекты локальной политики можно найти в каждой системе 2000 и XP. Вы всегда можете отредактировать политику для локального ПК. Это делается путем выбора групповой политики «Локальные компьютеры» при создании MMC. Это было рассмотрено в части I этого набора статей.


Принудительное обновление групповой политики (через командную строку)


Как система воспримет новую Политику после ее назначения? Ну вы понимаете как это редактируется и вы также понимаете где это редактировать, с той лишь разницей, что ХР политику можно пропихнуть с 2000 но надо делать на ХР системе… так что насчет того, чтобы ее принудительно выкинуть или сделать через команду линия? Поскольку вы, скорее всего, захотите, чтобы ваша политика применялась немедленно (разве вы не хотите увидеть результаты всей вашей тяжелой работы до сих пор?), вам нужно будет принудительно выполнить ее, поскольку групповая политика обновляется через Active Directory каждые 90 минут. что долго ждать. Он установлен таким образом по умолчанию. Если вы хотите, чтобы это произошло немедленно, вам нужно будет заставить это. Для этого откройте командную строку и введите:



гпупдате /?


Изображение 26094


Если вы хотите принудительно обновить, вы можете ввести:



Gpupdate/цель:компьютер/сила


Просмотр результирующего набора политик


Итак, теперь вы создали MMC, добавили групповую политику, отредактировали и вытеснили ее, что дальше? Ну, вы, скорее всего, хотите знать, что в результате этих политик нет? Одна вещь, которую вы должны учитывать, заключается в том, что, поскольку вы можете размещать политики на разных уровнях иерархии (например, вы можете установить политику на уровне домена, а затем также настроить отдельные политики на уровне OU), вы можете запутаться в том, каковы «результаты» этой политики. Windows XP может помочь вам определить это с помощью инструмента «Результирующий набор политик», а также инструмента «Результат групповой политики». Давайте рассмотрим каждый подробно.


Оснастка RSoP


RSoP.msc — это оснастка MMC, используемая для отображения результирующего набора политик для вашей системы. В следующем разделе я расскажу, как настроить это представление в вашей MMC. Вы можете либо создать новую MMC, либо добавить оснастку к одной из уже настроенных MMC, например MMC групповой политики, которую вы создали в части I этого набора статей.


Ярлык для RSoP.msc — просто ввести rsop.msc из командной строки.



Это открывает вам доступ прямо к самой MMC, но у вас нет никаких параметров для изменения, следующие несколько шагов покажут вам, как настроить MMC с определенными параметрами.



  1. Откройте MMC и добавьте оснастку
  2. Добавьте оснастку «Результирующий набор политик».



  1. Вы запустите мастер RSoP, который поможет вам выбрать компьютеры и пользователей для проверки и анализа.



  1. После того, как вы выберете следующий, вам придется использовать режим ведения журнала или планирования. Режим ведения журнала позволит вам просмотреть параметры политики, применяемые к конкретному компьютеру или пользователю, чего мы не можем сделать. Вы также можете настроить режим планирования, который будет имитировать реализацию политики с использованием данных из Active Directory. Режим планирования недоступен и будет использоваться в будущем выпуске.



  1. Затем выберите компьютер, для которого вы хотите просмотреть параметры политики.



  1. Вы можете указать для просмотра текущего пользователя, выбрать конкретного пользователя или анализировать только компьютер, а не пользователей.


Изображение 26095



  1. После того, как вы отметите следующее, вы увидите статус, прогресс, итоговый набор страниц. После завершения вы можете добавить оснастку в консоль.



  1. Когда вы нажмете «ОК», вы вернетесь к MMC, чтобы увидеть результирующий набор политик в вашей системе.



  1. Вы можете просмотреть MMC, чтобы увидеть, какие настройки.

Некоторые вещи, которые вы должны знать об использовании RSoP, заключаются в том, что единственные элементы, видимые для сканирования, — это элементы, которые зарегистрированы в реальном домене и являются видимыми. Вы также должны войти в систему с правами администратора, чтобы использовать RSoP.


Gpresult.exe


Командная строка использует быстро, они быстро собирают информацию, которая может вам понадобиться. Я использую их все время, поэтому вот еще один для вашего арсенала, когда вы имеете дело с групповой политикой и пытаетесь увидеть, какую информацию о безопасности и политике могла взять система.


Gpresult.exe — это инструмент командной строки, который сообщает вам, когда в последний раз применялась групповая политика к системе, а также какие объекты групповой политики использовались и в каком порядке. Вы также можете увидеть, что не было использовано из-за фильтрации. Gpresult можно использовать как локально, так и в удаленной системе.


Gpresult также может собирать информацию об удаленной системе.


Чтобы просмотреть все параметры командной строки для gpresult, введите в командной строке следующее:



результат /?


Изображение 26096


Вам должно быть довольно удобно настраивать MMC групповой политики, как импортировать и использовать шаблоны, а также как проверять, правильно ли они были применены. Это завершает практическую часть этого набора статей.


Резюме


В первой части этого набора статей мы говорили о групповой политике и ее важности, о том, что вы можете с ней делать и так далее. Затем мы рассмотрели, как настроить MMC (консоль управления Microsoft), поскольку это основы использования и редактирования объектов групповой политики. Во второй части мы рассмотрели импорт шаблонов, специфичных для XP, а также то, как проверить результат использования этих шаблонов. Вам должно быть удобно работать с шаблонами и использовать их в XP.


Ссылки и справочные материалы


См. также статью Microsoft «Обновление групповой политики Windows 2000 для Windows XP» по адресу: http://support.microsoft.com/support/kb/articles/Q307/9/00.asp.


Информация о GPO для Windows 2000 и XP I
http://support.microsoft.com/?kbid=322176


Информация о GPO для Windows 2000 и XP II
http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/Articles/q307/9/00.asp&NoWebContent=1


Информация о GPO для Windows 2000 и XP III
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/default.mspx


информация RSoP
http://www.microsoft.com/technet/prodtechnet/winxppro/proddocs/RSPintro.asp

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023