локальные политики безопасности windows 10 команда
Настройка параметров политики безопасности
Относится к:
Описывает действия по настройке параметра политики безопасности на локальном устройстве, на устройстве, соединяемом с доменом, и на контроллере домена.
Для выполнения этих процедур необходимо иметь права администраторов на локальном устройстве или иметь соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена.
Если локальный параметр недоступен, это указывает на то, что GPO в настоящее время контролирует этот параметр.
Настройка параметра с помощью консоли Local Security Policy
Чтобы открыть локализованную политику безопасности на экране Начните, введите secpol.mscи нажмите кнопку ENTER.
В Параметры панели безопасности консоли сделайте одно из следующих:
При нажатии параметра политики в области сведений дважды щелкните политику безопасности, которую необходимо изменить.
Измените параметр политики безопасности и нажмите кнопку ОК.
Настройка параметра политики безопасности с помощью консоли Редактор локальной групповой политики
Для выполнения этих процедур необходимо иметь соответствующие разрешения на установку и использование консоли управления Microsoft (MMC) и обновление объекта групповой политики (GPO) на контроллере домена.
Откройте редактор локальной групповой политики (gpedit.msc).
В дереве консоли нажмите кнопку Конфигурациякомпьютера, нажмите кнопку Windows Параметрыи нажмите кнопку Безопасность Параметры.
Выполните одно из следующих действий.
В области сведений дважды щелкните параметр политики безопасности, который необходимо изменить.
Если эта политика безопасности еще не определена, выберите поле Определение этих параметров политики.
Измените параметр политики безопасности и нажмите кнопку ОК.
Если вы хотите настроить параметры безопасности для многих устройств в сети, вы можете использовать консоль управления групповой политикой.
Настройка параметра контроллера домена
Следующая процедура описывает настройку параметра политики безопасности только для контроллера домена (от контроллера домена).
Чтобы открыть политику безопасности контроллера домена в дереве консоли, найдите GroupPolicyObject [ComputerName] Политика, щелкните Конфигурация компьютера, нажмите кнопку Windows Параметры, а затем нажмите кнопку Параметры .
Выполните одно из следующих действий.
В области сведений дважды щелкните политику безопасности, которую необходимо изменить.
Если эта политика безопасности еще не определена, выберите поле Определение этих параметров политики.
Измените параметр политики безопасности и нажмите кнопку ОК.
Расположение локальной политики безопасности в Windows 10
Каждый пользователь должен заботиться о безопасности своего компьютера. Многие прибегают к включению брандмауэра Windows, устанавливают антивирус и другие защитные инструменты, но этого не всегда хватает. Встроенное средство операционной системы «Локальная политика безопасности» позволит каждому вручную оптимизировать работу учетных записей, сетей, редактировать открытые ключи и производить другие действия, связанные с наладкой защищенного функционирования ПК.
Открываем «Локальную политику безопасности» в Windows 10
Сегодня мы бы хотели обсудить процедуру запуска упомянутой выше оснастки на примере ОС Windows 10. Существуют разные методы запуска, которые станут наиболее подходящими при возникновении определенных ситуаций, поэтому целесообразным будет детальное рассмотрения каждого из них. Начнем с самого простого.
Для запуска этой оснастки версия Windows 10 должна быть Профессиональная (Professional) или Корпоративная (Enterprise)! В версии Домашняя (Home), установленной преимущественно на множестве ноутбуков, ее нет.
Способ 1: Меню «Пуск»
Меню «Пуск» активно задействует каждый пользователь на протяжении всего взаимодействия с ПК. Этот инструмент позволяет осуществлять переход в различные директории, находить файлы и программы. Придет на помощь он и при необходимости запуска сегодняшнего инструмента. Вам достаточно просто открыть само меню, ввести в поиске «Локальная политика безопасности» и запустить классическое приложение.
Как видите, отображается сразу несколько кнопок, например «Запуск от имени администратора» или «Перейти к расположению файла». Обратите внимание и на эти функции, ведь они однажды могут пригодиться. Вам также доступно закрепление значка политики на начальном экране или на панели задач, что значительно ускорит процесс ее открытия в дальнейшем.
Способ 2: Утилита «Выполнить»
Стандартная утилита ОС Виндовс под названием «Выполнить» предназначена для быстрого перехода к определенным параметрам, директориям или приложениям путем указания соответствующей ссылки или установленного кода. У каждого объекта имеется уникальная команда, в том числе и у «Локальной политики безопасности». Ее запуск происходит так:
Способ 3: «Панель управления»
Хоть разработчики операционной системы Виндовс постепенно и отказываются от «Панели управления», перемещая или добавляя многие функции только в меню «Параметры», это классическое приложение все еще нормально работает. Через него тоже доступен переход к «Локальной политике безопасности», однако для этого понадобится выполнить такие шаги:
Способ 4: Консоль управления Microsoft
В Консоли управления Майкрософт происходит взаимодействие со всеми возможными в системе оснастками. Каждая из них предназначена для максимально детальной настройки компьютера и применения дополнительных параметров, связанных с ограничениями доступа к папкам, добавлением или удалением определенных элементов рабочего стола и многим другим. Среди всех политик присутствует и «Локальная политика безопасности», но ее еще нужно отдельно добавить.
Приведенный выше способ будет максимально полезен тем юзерам, кто активно использует редактор групповых политик, настраивая там необходимые ему параметры. Если вас интересуют другие оснастки и политики, советуем перейти к отдельной нашей статье по этой теме, воспользовавшись указанной ниже ссылкой. Там вы ознакомитесь с основными моментами взаимодействия с упомянутым инструментом.
Что же касается настройки «Локальной политики безопасности», производится она каждым пользователем индивидуально — им подбираются оптимальные значения всех параметров, но при этом существуют и главные аспекты конфигурации. Детальнее о выполнении этой процедуры читайте далее.
Теперь вы знакомы с четырьмя различными методами открытия рассмотренной оснастки. Вам осталось только подобрать подходящий и воспользоваться им.
Помимо этой статьи, на сайте еще 12415 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Основы работы с редактором локальной групповой политики в ОС Windows 10
Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.
Изменять групповые политики можно с помощью Редактора локальной групповой политики.
В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.
Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:
Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.
Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.
Рис.1 Окно Выполнить
Оснастка Локальная политика безопасности входит в состав оснастки Редактор
Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики
Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.
Содержание
Структура редактора групповой политики
Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.
В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.
Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.
Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.
Рис.3 Редактор локальной групповой политики
Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.
Рис.4 Настройка частоты обновления политик
Рис.5 Настройка частоты обновления политик
Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:
Рис.6 Обновление политик в командной строке
С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.
Рис.7 Обновление политик для пользователя в командной строке
Пример последовательности действий при редактировании определенной политики
Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:
Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления
Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления
Рис.10 Список разрешенных элементов панели управления
Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики
Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики
Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.
Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:
Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)
Добавление объекта групповой политики первого уровня
Рис.13 Добавление оснастки через консоль управления
Рис.14 Диалоговое окно Добавление и удаление оснасток
Рис.15 Диалоговое окно выбора объекта групповой политики
Добавление объекта групповой политики второго уровня
Рис.16 Настройка объекта групповой политики второго уровня
Добавление объекта групповой политики третьего уровня
Рис.17 Консоль управления
Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.
Параметры политики безопасности
Относится к:
В этой справочной статье описываются общие сценарии, архитектура и процессы для параметров безопасности.
Параметры политики безопасности — это правила, которые администраторы настраивают на компьютере или нескольких устройствах с целью защиты ресурсов на устройстве или сети. Расширение Параметры редактора локальной групповой политики позволяет определять конфигурации безопасности как часть объекта групповой политики (GPO). GPOs связаны с контейнерами Active Directory, такими как сайты, домены или организационные подразделения, и они позволяют управлять настройками безопасности для нескольких устройств с любого устройства, подключенного к домену. Политики параметров безопасности используются в рамках общей реализации системы безопасности, чтобы обеспечить безопасность контроллеров доменов, серверов, клиентов и других ресурсов в организации.
Параметры безопасности могут управлять:
Для управления конфигурациями безопасности для нескольких устройств можно использовать один из следующих вариантов:
Дополнительные сведения об управлении конфигурациями безопасности см. в введении параметров политики безопасности.
Расширение Параметры безопасности редактора локальной групповой политики включает следующие типы политик безопасности:
Политики учетных записей. Эти полицейские службы определяются на устройствах; они влияют на взаимодействие учетных записей пользователей с компьютером или доменом. Политики учетной записи включают следующие типы политик:
Локальные политики. Эти политики применяются к компьютеру и включают следующие типы параметров политики:
Политика аудита. Укажите параметры безопасности, которые контролируют ведение журнала событий безопасности в журнале безопасности на компьютере, и укажите, какие типы событий безопасности необходимо входить в журнал (успех, сбой или оба).
Для устройств Windows 7 и более поздней стадии рекомендуется использовать параметры в соответствии с конфигурацией политики аудита, а не параметры политики аудита в соответствии с локальными политиками.
Назначение прав пользователей. Укажите пользователей или группы, которые имеют права или привилегии логотипа на устройстве
Параметры безопасности. Укажите параметры безопасности компьютера, такие как имена администратора и гостевой учетной записи; доступ к дискетным дискам и дискам CD-ROM; установка драйверов; подсказки logon; и так далее.
Windows Брандмауэр с расширенным обеспечением безопасности. Укажите параметры для защиты устройства в сети с помощью государственного брандмауэра, который позволяет определить, какой сетевой трафик разрешен для прохода между устройством и сетью.
Политики диспетчера списков сети. Укажите параметры, которые можно использовать для настройки различных аспектов перечисления и отображения сетей на одном устройстве или на многих устройствах.
Политики общедоступных ключей. Укажите параметры для управления шифрованием файловой системы, защиты данных и шифрования диска BitLocker в дополнение к определенным путям сертификата и настройкам служб.
Политики ограничения программного обеспечения. Укажите параметры для определения программного обеспечения и управления его возможностью запуска на локальном устройстве, организационном подразделении, домене или сайте.
Политики управления приложениями. Укажите параметры, чтобы контролировать, какие пользователи или группы могут запускать определенные приложения в организации на основе уникальных удостоверений файлов.
Политики безопасности IP на локальном компьютере. Укажите параметры для обеспечения конфиденциальной и безопасной связи через IP-сети с помощью служб криптографической безопасности. IPsec устанавливает доверие и безопасность с исходных IP-адресов на ip-адрес назначения.
Расширенные настройки политики аудита. Укажите параметры, которые контролируют ведение журнала событий безопасности в журнале безопасности на устройстве. Параметры в статье Advanced Audit Policy Configuration обеспечивают более тонкий контроль за действиями, которые необходимо отслеживать, а не настройками политики аудита в соответствии с локальными политиками.
Управление настройками безопасности на основе политики
Расширение службы Параметры групповой политики предоставляет интегрированную инфраструктуру управления на основе политики, которая поможет вам управлять политиками безопасности и применять их.
Вы можете определять и применять политики параметров безопасности для пользователей, групп и сетевых серверов и клиентов с помощью групповой политики и служб домена Active Directory (AD DS). Можно создать группу серверов с одинаковой функциональностью (например, сервер Microsoft Web (IIS), а затем объекты групповой политики можно использовать для применения общих параметров безопасности к группе. Если позже в эту группу будет добавлено больше серверов, многие из общих параметров безопасности будут автоматически применены, что снижает нагрузку на развертывание и администрирование.
Распространенные сценарии использования политик параметров безопасности
Политики параметров безопасности используются для управления следующими аспектами безопасности: политикой учетных записей, локальной политикой, назначением прав пользователей, значениями реестра, списками управления доступом и реестром (ACLs), режимами запуска служб и другими.
В рамках стратегии безопасности можно создавать GPOs с политиками параметров безопасности, настроенными специально для различных ролей в организации, таких как контроллеры домена, файловые серверы, серверы членов, клиенты и так далее.
Можно создать структуру организационного подразделения (OU), которая группировать устройства в соответствии с их ролями. Использование OUs — это лучший метод для разделения определенных требований безопасности для различных ролей в сети. Этот подход также позволяет применять настраиваемые шаблоны безопасности для каждого класса сервера или компьютера. После создания шаблонов безопасности создается новый GPO для каждого из OUs, а затем импортируется шаблон безопасности (.inf file) в новый GPO.
Импорт шаблона безопасности в GPO гарантирует, что все учетные записи, к которым применяется GPO, автоматически получают параметры безопасности шаблона при обновлении параметров групповой политики. На рабочей станции или сервере параметры безопасности обновляются регулярно (со случайным смещением не более 30 минут), и на контроллере домена этот процесс происходит каждые несколько минут, если изменения произошли в любом из применимых параметров GPO. Параметры также обновляются каждые 16 часов независимо от того, произошли ли какие-либо изменения.
Эти параметры обновления различаются между версиями операционной системы и могут быть настроены.
С помощью конфигураций безопасности на основе групповой политики и в сочетании с делегирования администрирования можно обеспечить применение определенных параметров безопасности, прав и поведения на всех серверах и компьютерах в рамках OU. Этот подход упрощает обновление ряда серверов с помощью любых дополнительных изменений, необходимых в будущем.
Зависимости от других технологий операционной системы
Для устройств, которые являются членами домена Windows Server 2008 или более позднего домена, политики параметров безопасности зависят от следующих технологий:
Доменные службы Active Directory (AD DS)
Служба Windows каталогов AD DS хранит сведения о объектах в сети и делает эти сведения доступными администраторам и пользователям. С помощью AD DS можно просматривать и управлять сетевыми объектами в сети из одного расположения, а пользователи могут получать доступ к разрешенным сетевым ресурсам с помощью единого логотипа.
Групповая политика
Инфраструктура в AD DS, которая позволяет на основе каталога управления настройками пользователей и компьютеров на устройствах, работающих Windows Server. С помощью групповой политики можно определить конфигурации для групп пользователей и компьютеров, включая параметры политики, политики на основе реестра, установку программного обеспечения, скрипты, перенаправление папок, службы удаленной установки, обслуживание Internet Explorer и безопасность.
Служба доменных имен (DNS)
Иерархическая система именования, используемая для размещения доменных имен в Интернете и частных сетях TCP/IP. DNS предоставляет службу сопоставления доменных имен DNS с IP-адресами и IP-адресов доменных имен. Это позволяет пользователям, компьютерам и приложениям запрашивать DNS для указания удаленных систем по полностью квалифицированным доменным именам, а не по IP-адресам.
Winlogon
Часть операционной системы Windows, которая обеспечивает интерактивную поддержку логотипов. Winlogon разработана вокруг интерактивной модели логотипа, состоящей из трех компонентов: исполняемого Winlogon, поставщика учетных данных и любого числа сетевых поставщиков.
Настройка
Конфигурация безопасности взаимодействует с процессом установки операционной системы во время чистой установки или обновления из более ранних версий Windows Server.
Менеджер учетных записей безопасности (SAM)
Служба Windows, используемая во время процесса логотипа. SAM поддерживает сведения о учетной записи пользователя, в том числе группы, к которым принадлежит пользователь.
Local Security Authority (LSA)
Защищенная подсистема, которая аутентифизирует и регистрирует пользователей в локальной системе. Кроме того, LSA сохраняет сведения обо всех аспектах локальной безопасности в системе, совместно известной как Местная политика безопасности системы.
Инструментарий управления Windows (WMI)
Особенностью операционной системы Microsoft Windows WMI является реализация корпорацией Майкрософт Web-Based Enterprise Management (WBEM), которая является отраслевой инициативой по разработке стандартной технологии для доступа к сведениям об управлении в корпоративной среде. WMI предоставляет доступ к сведениям об объектах в управляемой среде. С помощью WMI и интерфейса программирования приложений WMI приложения (API) приложения могут запрашивать и вносить изменения в статическую информацию в репозитории общей информационной модели (CIM) и динамической информации, поддерживаемой различными типами поставщиков.
Результативный набор политик (RSoP)
Расширенная инфраструктура групповой политики, использующая WMI для упростить планирование и отлагивание параметров политики. RSoP предоставляет общедоступные методы, которые раскрывают действия расширения групповой политики в ситуации what-if и действия расширения в реальной ситуации. Это позволяет администраторам легко определить сочетание параметров политики, которые применяются к пользователю или устройству или будут применяться к этому пользователю или устройству.
Диспетчер управления службами (SCM)
Используется для настройки режимов запуска службы и безопасности.
Реестр
Используется для настройки значений реестра и безопасности.
Файловая система
Используется для настройки безопасности.
Преобразования файловой системы
Безопасность устанавливается, когда администратор преобразует файловую систему из FAT в NTFS.
Консоль управления Майкрософт (MMC)
Пользовательский интерфейс для средства Параметры безопасности является расширением оснастки редактора локальной групповой политики MMC.
Политики параметров безопасности и групповой политики
Расширение Параметры редактора локальной групповой политики является частью набора средств Диспетчер конфигурации безопасности. Следующие компоненты связаны с безопасностью Параметры: двигатель конфигурации; движок анализа; уровень интерфейса шаблона и базы данных; логика интеграции установки; и secedit.exe командной строки. Движок конфигурации безопасности отвечает за обработку запросов на безопасность редактора конфигурации безопасности для системы, на которой она выполняется. Движок анализа анализирует системную безопасность для данной конфигурации и сохраняет результат. Уровень интерфейса шаблона и базы данных обрабатывает запросы чтения и записи из шаблона или базы данных (для внутреннего хранения). Расширение службы Параметры редактора локальной групповой политики обрабатывает групповую политику с локального или доменного устройства. Логика конфигурации безопасности интегрируется с установкой и управляет системной безопасностью для чистой установки или обновления до более Windows операционной системы. Сведения о безопасности хранятся в шаблонах (.inf files) или в базе данных Secedit.sdb.
На следующей схеме показаны Параметры и связанные функции.
Политики Параметры безопасности и связанные функции
Scesrv.dll
Предоставляет основные функции двигателя безопасности.
Scecli.dll
Предоставляет клиентские интерфейсы в движок конфигурации безопасности и предоставляет данные в resultant Set of Policy (RSoP).
Wsecedit.dll
Расширение Параметры редактора локальной групповой политики. scecli.dll загружается в wsecedit.dll для поддержки пользовательского интерфейса Параметры безопасности.
Gpedit.dll
Привязка редактора локальной групповой политики MMC.
Архитектура Параметры расширения
Расширение Параметры редактора локальной групповой политики является частью средств диспетчера конфигурации безопасности, как показано на следующей схеме.
Архитектура Параметры безопасности
Средства настройки и анализа параметров безопасности включают движок конфигурации безопасности, который предоставляет локальный компьютер (не доменный член) и конфигурацию на основе групповой политики и анализ политик параметров безопасности. Движок конфигурации безопасности также поддерживает создание файлов политики безопасности. Основными функциями двигателя конфигурации безопасности являются scecli.dll и scesrv.dll.
В следующем списке описываются основные функции двигателя конфигурации безопасности и других Параметры связанных компонентов.
scesrv.dll
Scesrv.dll выполняет конфигурацию и анализ различных параметров системы безопасности, вызывая соответствующие API системы, включая LSA, SAM и реестр.
Scesrv.dll предоставляет API, такие как импорт, экспорт, настройка и анализ. Он проверяет, что запрос выполнен по LRPC (Windows XP) и не удается вызвать, если это не так.
Связь между частями расширения Параметры безопасности происходит с помощью следующих методов:
На контроллерах домена scesrv.dll уведомления об изменениях, внесенных в SAM и LSA, которые необходимо синхронизировать между контроллерами домена. Scesrv.dll эти изменения включаются в GPO политики контроллера домена по умолчанию с помощью APIscecli.dll изменения шаблонов. Scesrv.dll также выполняет операции настройки и анализа.
Scecli.dll
Командная версия конфигурации безопасности и анализ пользовательских интерфейсов secedit.exe использует scecli.dll.
Scecli.dll реализует клиентскую расширения для групповой политики.
Scesrv.dll использует scecli.dll для скачивания применимых файлов групповой политики из SYSVOL для применения параметров безопасности групповой политики на локальном устройстве.
Scecli.dll записи применения политики безопасности в WMI (RSoP).
Scesrv.dll политики использует scecli.dll для обновления GPO политики контроллера домена по умолчанию при внесении изменений в SAM и LSA.
Wsecedit.dll
Расширение Параметры редактора объектов групповой политики. Этот инструмент используется для настройки параметров безопасности в объекте групповой политики для сайта, домена или организационного подразделения. Вы также можете использовать Параметры безопасности для импорта шаблонов безопасности в GPO.
Secedit.sdb
Это постоянная база данных системы, используемая для распространения политики, включая таблицу настойчивых параметров для целей отката.
Базы данных пользователей
База данных пользователей — это любая база данных, помимо системной базы данных, созданной администраторами для настройки или анализа безопасности.
. Шаблоны Inf
Процессы и взаимодействия политик параметров безопасности
Для устройства, на котором осуществляется администрирование групповой политики, параметры безопасности обрабатываются совместно с групповой политикой. Не все параметры настраиваются.
Обработка групповой политики
Когда компьютер запускается и пользователь входит в систему, компьютерная политика и политика пользователя применяются в соответствии со следующей последовательностью:
Начинается сеть. Запуск службы удаленной системы вызовов процедур (RPCSS) и нескольких универсальных поставщиков конвенций именования (MUP).
Для устройства получен упорядоченный список объектов групповой политики. Список может зависеть от этих факторов:
Применяется компьютерная политика. Это параметры конфигурации компьютера из собранного списка. Это синхронный процесс по умолчанию и происходит в следующем порядке: локальном, сайте, домене, организационном подразделении, детском организационном подразделении и так далее. Пользовательский интерфейс не отображается во время обработки политик компьютера.
Запускать скрипты. Это скрыто и синхронно по умолчанию; каждый сценарий должен завершиться или выйти из игры до начала следующего. Время по умолчанию — 600 секунд. Для изменения этого поведения можно использовать несколько параметров политики.
Пользователь нажимает CTRL+ALT+DEL, чтобы войти в систему.
После проверки пользователя загружается профиль пользователя; она регулируется фактическими настройками политики.
Для пользователя получен упорядоченный список объектов групповой политики. Список может зависеть от этих факторов:
Применяется политика пользователя. Это параметры под конфигурацией пользователя из собранного списка. Это синхронно по умолчанию и в следующем порядке: локальный, сайт, домен, организационное подразделение, подразделение детской организации и так далее. Пользовательский интерфейс не отображается во время обработки политик пользователей.
Запускать скрипты Logon. Скрипты логотипов на основе групповой политики по умолчанию скрыты и асинхронны. Сценарий объекта пользователя выполняется последним.
Отображается пользовательский интерфейс операционной системы, назначенный групповой политикой.
Хранилище объектов групповой политики
Объект групповой политики (GPO) — виртуальный объект, который определяется глобальным уникальным идентификатором (GUID) и хранится на уровне домена. Сведения о параметре политики GPO хранятся в следующих двух расположениях:
Контейнеры групповой политики в Active Directory.
Контейнер групповой политики — это контейнер Active Directory, содержащий свойства GPO, такие как сведения о версии, состояние GPO, а также список других параметров компонентов.
Шаблоны групповой политики в папке системного объема домена (SYSVOL).
Структура GROUP_POLICY_OBJECT содержит сведения о GPO в списке GPO, в том числе номер версии GPO, указатель на строку, указываемую на часть Active Directory GPO, и указатель на строку, указываемую путь к части файловой системы GPO.
Порядок обработки групповой политики
Параметры групповой политики обрабатываются в следующем порядке:
Объект локальной групповой политики.
Каждое устройство с Windows операционной системой, начиная с Windows XP, имеет точно один объект групповой политики, который хранится локально.
Сайт.
Все объекты групповой политики, связанные с сайтом, обрабатываются далее. Обработка синхронна и в порядке, который вы указываете.
Домен.
Обработка нескольких объектов групповой политики, связанных с доменом, синхронна и в порядке, на который вы хотите.
Организационные подразделения.
Сначала обрабатываются объекты групповой политики, связанные с наиболее высоким уровнем организации в иерархии Active Directory, затем объекты групповой политики, связанные с его детским организационным подразделением, и так далее. Наконец, обрабатываются объекты групповой политики, связанные с организационным подразделением, которое содержит пользователя или устройство.
На уровне каждого организационного подразделения в иерархии Active Directory можно связывать один, многие или никакие объекты групповой политики. Если несколько объектов групповой политики связаны с организационным подразделением, их обработка синхронна и в порядке, который вы указываете.
Этот порядок означает, что сначала обрабатывается локальный объект групповой политики, а объекты групповой политики, связанные с организационным блоком, непосредственным участником которого является компьютер или пользователь, обрабатываются последними, что перезаписывает более ранние объекты групповой политики.
Это порядок обработки по умолчанию, и администраторы могут указывать исключения из этого порядка. Объект групповой политики, связанный с сайтом, доменом или организационным подразделением **** (а не локальным объектом групповой политики), может быть задан в принудительном отношении к этому сайту, домену или организационному подразделению, чтобы ни один из его параметров политики не был переопределен. На любом сайте, домене или организационном подразделении можно выборочно пометить наследование групповой политики как block Inheritance. Однако ссылки на объект групповой политики, установленные для Принудительного, всегда применяются и не могут быть заблокированы. Дополнительные сведения см. в группе Basics — часть 2. Понимание того, какие ГПО применять.
Обработка политик параметров безопасности
В контексте обработки групповой политики политика параметров безопасности обрабатывается в следующем порядке.
Во время обработки групповой политики движок групповой политики определяет, какие политики параметров безопасности применять.
Если политики параметров безопасности существуют в GPO, group Policy вызывает расширение Параметры безопасности на стороне клиента.
Расширение Параметры безопасности загружает политику из соответствующего расположения, например из определенного контроллера домена.
Расширение Параметры безопасности объединяет все политики параметров безопасности в соответствии с правилами приоритета. Обработка идет в соответствии с порядком обработки групповой политики локального, сайта, домена и организационного подразделения (OU), как описано ранее в разделе «Порядок обработки групповой политики». Если для данного устройства действует несколько GPOs и нет конфликтующих политик, политики являются накопительными и объединяются.
В этом примере используется структура Active Directory, показанная на следующем рисунке. Данный компьютер является членом OU2, с которым связан GPO GroupMembershipPolGPO. Этот компьютер также является объектом GPO UserRightsPolGPO, связанного с OU1, выше в иерархии. В этом случае не существует конфликтующих политик, поэтому устройство получает все политики, содержащиеся в интерфейсах UserRightsPolGPO и GroupMembershipPolGPO.
Несколько GPOs и объединение политики безопасности
Выполняемая политика безопасности хранится в базе данных параметров безопасности secedit.sdb. Система безопасности получает файлы шаблонов безопасности и импортирует их в secedit.sdb.
Политики параметров безопасности применяются к устройствам. На следующем рисунке иллюстрируется обработка политик параметров безопасности.
Обработка Параметры политики
Объединение политик безопасности в контроллерах доменов
Политики паролей, Kerberos и некоторые параметры безопасности объединяются только из GPOs, связанных на корневом уровне домена. Это делается для синхронизации этих параметров во всех контроллерах домена в домене. Объединяются следующие параметры безопасности:
Существует другой механизм, который позволяет администраторам вносить изменения в политику безопасности с помощью чистых учетных записей для слияния в GPO доменной политики по умолчанию. Изменения прав пользователей, внесенные с помощью API местного органа безопасности (LSA), фильтруются в GPO политики контроллеров домена по умолчанию.
Особые соображения для контроллеров домена
Если приложение установлено на основном контроллере домена (PDC) с главной ролью операций (также известной как гибкие однообъемные операции или FSMO) и приложение вносит изменения в права пользователей или политику паролей, эти изменения необходимо сообщить, чтобы обеспечить синхронизацию между контроллерами домена. Scesrv.dll получает уведомление о любых изменениях, внесенных в диспетчер учетной записи безопасности (SAM) и LSA, которые необходимо синхронизировать между контроллерами домена, а затем включает изменения в GPO политики контроллера домена по умолчанию с помощью API scecli.dll изменения шаблонов.
При применении параметров безопасности
После редактирования политик параметров безопасности параметры обновляются на компьютерах в организационном подразделении, связанном с объектом групповой политики в следующих экземплярах:
Сохранение политики параметров безопасности
Параметры безопасности могут сохраняться, даже если параметр больше не определен в применяемой политике.
Параметры безопасности могут сохраняться в следующих случаях:
Все параметры, применяемые с помощью локальной политики или объекта групповой политики, хранятся в локальной базе данных на компьютере. Всякий раз, когда параметр безопасности изменен, компьютер сохраняет значение параметра безопасности в локальной базе данных, которая сохраняет историю всех параметров, которые были применены к компьютеру. Если политика сначала определяет параметр безопасности, а затем больше не определяет этот параметр, то параметр берет на себя предыдущее значение в базе данных. Если предыдущее значение не существует в базе данных, то параметр не вернется к чему-либо и остается определенным как есть. Такое поведение иногда называют «татуировка».
Параметры безопасности реестра и файлов будут поддерживать значения, применяемые в групповой политике, до тех пор, пока этот параметр не задастся другим значениям.
Разрешения, необходимые для применения политики
Для того чтобы параметры объекта групповой политики применялись к пользователям или группам и компьютерам, требуется применять разрешения группы и разрешения на чтение.
Фильтрация политики безопасности
По умолчанию все GPOs имеют групповую политику чтения и применения, разрешенные для группы пользователей с проверкой подлинности. Группа пользователей с проверкой подлинности включает как пользователей, так и компьютеры. Политики параметров безопасности основаны на компьютере. Чтобы указать, на каких клиентских компьютерах будет применен объект групповой политики или нет, вы можете запретить им применять групповую политику или читать разрешения на этот объект групповой политики. Изменение этих разрешений позволяет ограничить область GPO определенным набором компьютеров в пределах сайта, домена или OU.
Не используйте фильтрацию политики безопасности на контроллере домена, так как это помешает политике безопасности применяться к ней.
Перенос GPOs, содержащих параметры безопасности
В некоторых ситуациях может потребоваться перенести GPOs из одной доменной среды в другую. Двумя наиболее распространенными сценариями являются перенос тестовой и производственной миграции. Процесс копирования GPO имеет последствия для некоторых типов параметров безопасности.
Данные для одного GPO хранятся в нескольких расположениях и в различных форматах; некоторые данные содержатся в Active Directory, а другие хранятся в совместной службе SYSVOL на контроллерах домена. Некоторые данные политики могут быть допустимы в одном домене, но могут быть недействительными в домене, в который копируется GPO. Например, идентификаторы безопасности (SID), хранимые в параметрах политики безопасности, часто являются конкретными доменами. Поэтому копирование GPOs не так просто, как взять папку и скопировать ее с одного устройства на другое.
В следующих политиках безопасности могут содержаться принципы безопасности, и для успешного перемещения из одного домена в другой может потребоваться дополнительная работа.
Чтобы обеспечить правильное копирование данных, можно использовать консоль управления групповой политикой (GPMC). При переносе GPO из одного домена в другой GPMC гарантирует правильное копирование всех соответствующих данных. GPMC также предлагает таблицы миграции, которые можно использовать для обновления данных, определенных для домена, до новых значений в процессе миграции. GPMC скрывает большую часть сложности, связанные с переносом операций GPO, и предоставляет простые и надежные механизмы для выполнения операций, таких как копирование и резервное копирование GPO.