Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена.

Примечание. Если

появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise и нажмите клавишу ВВОД.

6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).

Примечание. Это действие может занять несколько минут.

7. В окне с сообщением The SSLF GPOs are created (Объекты групповой политики Enterprise созданы) нажмите кнопку OK.

8. В окне с сообщением Make sure to link the Enterprise GPOs to the appropriate OUs (Свяжите объекты групповой политики Enterprise с соответствующими подразделениями) нажмите кнопку OK.

Задача 2: использование консоли управления групповыми политиками для проверки результата.

Можно использовать консоль управления групповыми политиками, чтобы убедиться в том, что сценарий успешно создал все объекты групповой политики. Ниже описана процедура использования консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для проверки объектов групповой политики, которые создает сценарий GPOAccelerator.wsf.

Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf:

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. Щелкните нужный лес, выберите пункт Domains (Домены) и домен.

4. Разверните узел Group Policy Objects (Объекты групповой политики) и убедитесь в том, что четыре созданных объекта групповой политики VSG EC соответствуют объектам на следующем рисунке.

Рисунок 1.5. Объекты групповой политики EC, созданные сценарием GPOAccelerator.wsf, в консоли управления групповыми политиками

После этого можно использовать консоль управления групповыми политиками для связи каждого объекта групповой политики с соответствующим подразделением. Последняя задача в процессе описывает, как это сделать.

Задача 3: использование консоли управления групповыми политиками для связи объектов групповой политики с подразделениями

Следующая процедура описывает, как использовать консоль управления групповыми политиками на клиентском компьютере под управлением Windows Vista для выполнения этой задачи.

Чтобы связать объекты групповой политики в производственной среде:

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

4. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку OK.

5. В области сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку Move link to top (Переместить ссылку наверх).

Внимание! Установите для параметра Link Order (Порядок ссылок) объекта VSG EC Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к переопределению параметров руководства по безопасности Windows Vista Security Guide.

6. Щелкните правой кнопкой мыши узел Windows Vista Users OU (Подразделение пользователей Windows Vista) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

7. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Users Policy (Политика пользователей VSG EC) и нажмите кнопку OK.

8. Щелкните правой кнопкой мыши узел Desktop OU (Подразделение настольных компьютеров) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

9. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Desktop Policy (Политика настольных компьютеров VSG EC) и нажмите кнопку OK.

10. Щелкните правой кнопкой мыши узел Laptop OU (Подразделение переносных компьютеров) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

11. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Laptop Policy (Политика переносных компьютеров VSG EC) и нажмите кнопку OK.

12. Повторите эти действия для всех других созданных подразделений пользователей или компьютеров, чтобы связать их с соответствующими объектами групповой политики.

Примечание. Можно также перетащить объект групповой политики из узла Group Policy Objects (Объекты групповой политики) в подразделение. Тем не менее операция перетаскивания поддерживается только для объектов в том же домене.

Чтобы подтвердить связи объектов групповой политики с помощью консоли управления групповыми политиками:

• Разверните узел Group Policy Objects (Объекты групповой политики) и выберите объект групповой политики. В области сведений откройте вкладку Scope (Область) и просмотрите сведения в столбцах Link Enabled (Связь включена) и Path (Путь).

– Или –

• Выберите подразделение и затем в области сведений откройте вкладку Linked Group Policy Objects (Связанные объекты групповой политики) и просмотрите сведения в столбцах Link Enabled (Связь включена) и GPO (Объект групповой политики).

Примечание. Консоль управления групповыми политиками можно использовать для отмены связи объектов групповой политики или их удаления. После этого можно удалить ненужные подразделения с помощью консоли управления групповыми политиками или консоли «Active Directory – пользователи и компьютеры». Чтобы полностью отменить все изменения, внесенные сценарием GPOAccelerator.wsf, необходимо вручную удалить файлы EC-VSGAuditPolicy.cmd, EC-ApplyAuditPolicy.cmd и EC-AuditPolicy.txt из общей папки NETLOGON одного из контроллеров домена. Дополнительные сведения о том, как полностью отменить внедрение политики аудита, см. в разделе «Политика аудита» приложения A «Параметры групповой политики, связанные с безопасностью».

Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство «Active Directory – пользователи и компьютеры», чтобы проверить схему путем перемещения пользователей и компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом объекте групповой политики, см. в приложении A «Параметры групповой политики, связанные с безопасностью».

 Скачать реферат