Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена.

Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите кла

вишу ВВОД.

5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise /LAB и нажмите клавишу ВВОД.

6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).

Примечание. Это действие может занять несколько минут.

7. В окне с сообщением The Enterprise Lab Environment is created (Создана лабораторная среда Enterprise) нажмите кнопку OK.

8. В окне с сообщением Make sure to link the Enterprise Domain GPO to your domain (Свяжите объект групповой политики домена Enterprise с доменом) нажмите кнопку OK и выполните следующую задачу для связи политики VSG EC Domain Policy.

Примечание. Групповая политика уровня домена включает параметры, которые применяются ко всем компьютерам и пользователям в этом домене. Важно уметь определять необходимость связи объекта групповой политики домена, так как он применяется ко всем пользователям и компьютерам. По этой причине сценарий GPOAccelerator.wsf не выполняет автоматическую связь объекта групповой политики домена с доменом.

Задача 2: использование консоли управления групповыми политиками для связи политики VSG EC Domain Policy с доменом

Теперь можно выполнить связь объекта групповой политики домена с доменом. Ниже приведены инструкции по использованию консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для связи политики VSG EC Domain Policy с доменом.

Чтобы связать политику VSG EC Domain Policy:

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить. (Или нажмите клавишу с эмблемой Windows + R.)

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

4. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку OK.

5. В области сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку Move link to top (Переместить ссылку наверх).

Внимание! Установите для параметра Link Order (Порядок ссылок) объекта VSG EC Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к переопределению параметров руководства по безопасности Windows Vista.

Задача 3: использование консоли управления групповыми политиками для проверки результата

Консоль управления групповыми политиками можно использовать для проверки результатов выполнения сценария. Ниже описана процедура использования консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для проверки объектов групповой политики и структуры подразделений, которые создает сценарий GPOAccelerator.wsf.

Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf:

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. Щелкните нужный лес, выберите пункт Domains (Домены) и домен.

4. Щелкните и разверните узел Vista Security Guide EC Client OU (Подразделение клиентов Vista Security Guide EC) и откройте каждое из пяти подразделений, указанных ниже.

5. Убедитесь в том, что структура подразделений и связи объекта групповой политики соответствуют изображенным на следующем рисунке.

Рисунок 1.4. Структура подразделений и связи объектов групповой политики

Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство «Active Directory – пользователи и компьютеры», чтобы проверить схему путем перемещения пользователей и компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом объекте групповой политики, см. в приложении A «Параметры групповой политики, связанные с безопасностью».

Развертывание схемы в рабочей среде

Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания объектов групповой политики для среды EC. После этого можно связать объекты групповой политики с соответствующими подразделениями в существующей структуре. В крупных доменах с большим количеством подразделений необходимо продумать использование существующей структуры подразделений для развертывания объектов групповой политики.

По возможности необходимо разделять подразделения компьютеров и пользователей. Кроме того, требуются отдельные подразделения для настольных и переносных компьютеров. Если такая структура невозможна в существующей среде, вероятно, потребуется изменить объекты групповой политики. Чтобы определить необходимые изменения, используйте сведения о параметрах в приложении A «Параметры групповой политики, связанные с безопасностью».

Примечание. Как указано в предыдущем разделе, можно использовать сценарий GPOAccelerator.wsf с параметром /LAB в тестовой среде для создания образца структуры подразделений. Тем не менее при гибкой структуре подразделений можно также использовать этот параметр в рабочей среде, чтобы создать базовую структуру подразделений и автоматически связать объекты групповой политики. После этого можно изменить структуру подразделений вручную в соответствии с требованиями среды.

Задача 1: создание объектов групповой политики

Объекты групповой политики EC, описанные в этом руководстве, создаются с помощью сценария GPOAccelerator.wsf. Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAccelerator Tool, которую создает MSI-файл установщика Microsoft Windows.

Примечание. Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий, как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.

Чтобы создать объекты групповой политики в производственной среде:

1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики.

 Скачать реферат