гарантирует, что членом локальной г р у п п ы А д м и н и с т р а т о р ы б у д е т только
группа CONTOSOCnpaBKa. Все члены, не у к а з а н н ы е в п о л и т и к е , б у д у т уда-
лены, включая группу Администраторы домена ( D o m a i n A d m i n s ) . П а р а м е т р
членства в группе (Members) является авторитарным и о п р е д е л я е т о к о н ч а т е л ь -
ный список членов. Если политика групп с о г р а н и ч е н н ы м д о с т у п о м у к а з а н а в
нескольких объектах GPO, то будет превалировать о б ъ е к т G P O с н а и в ы с ш и м
приоритетом. Например, если G P O , с в я з а н н ы й с п о д р а з д е л е н и е м К л и е н т ы ,
указывает членство группы C O N T O S O C n p a B K a в г р у п п е А д м и н и с т р а т о р ы
(Administrators), и еще одни G P O , с в я з а н н ы й с п о д р а з д е л е н и е м П о д д е р ж к а
NYC, указывает членство группы С О Ы Т 0 8 0 П о д д е р ж к а N Y C в г р у п п е А д м и -
нистраторы, то в локальную группу А д м и н и с т р а т о р ы к о м п ь ю т е р о в в п о д р а з -
делении NYC будет включена только группа П о д д е р ж к а N Y C ( р и с . 7 – 4 ) .
Л-Sl
Asl
ш пгма доступа к каллис» иг
&СШТОЗО.Гвмеряхг
N
T
C
^ CONTOSO vfbuewj KTt
' A ^ n c W v
if, CONTOSO Сгошл
j ест,1»т в a.», iracee u'ii^-.ws
ij
Рис. 7-3. Результаты применения параметра
Рис. 7-4. Использование параметра
членства группы Member Of политик групп
членства в группе (Members) в политике
с ограниченным доступом
групп с ограниченным доступом
Занятие 1
Делегирование и поддержка компьютеров 3Q-)
Н а п р е д п р и я т и и н у ж н о т щ а т е л ь н о п р о е к т и р о в а т ь и т е с т и р о в а т ь п о л и т и к и
групп с о г р а н и ч е н н ы м д о с т у п о м , ч т о б ы д о с т и ч ь о ж и д а е м о г о результата. Н е
смешивайте о б ъ е к т ы G P O , и с п о л ь з у ю щ и е п а р а м е т р ы членства группы (Member
Of) и ч л е н с т в а в г р у п п е ( M e m b e r s ) . И с п о л ь з у й т е о д и н из в ы ш е у п о м я н у т ы х
типов п а р а м е т р о в .
СОВЕТ К ЭКЗАМЕНУ
На сертификационном экзамене 7 0 – 6 4 0 нужно уметь определить разницу между
политиками групп с о г р а н и ч е н н ы м доступом, использующих параметр членства
группы (Member O f ) и членства в группе (Members). Помните, что параметр членс-
тва группы ( M e m b e r O f ) я в л я е т с я к у м у л я т и в н ы м . Кроме того, если объекты GPO
используют параметр членства в группе (Members), будет применен G P O с наивыс-
шим приоритетом, и его список членов будет превалировать.
Делегирование административных привилегий
с помощью политик групп с ограниченным доступом
и параметра членства группы Member Of
Чтобы д е л е г и р о в а т ь а д м и н и с т р а т и в н ы е п р и в и л е г и и д л я к о м п ь ю т е р о в с по-
мощью п о л и т и к г р у п п с о г р а н и ч е н н ы м д о с т у п о м , и с п о л ь з у ю щ и х п а р а м е т р
членства г р у п п ы ( M e m b e r O f ) , в ы п о л н и т е с л е д у ю щ и е д е й с т в и я .
1. В редакторе у п р а в л е н и я г р у п п о в ы м и п о л и т и к а м и ( G r o u p Policy Management
E d i t o r ) о т к р о й т е у з е л К о н ф и г у р а ц и я к о м п ы о т е р а П о л и т и к и К о н ф и г у р а -
ц и я W i n d o w s n a p a M e T p b i б е з о п а с н о с т и Г р у п п ы с о г р а н и ч е н н ы м досту-
пом ( C o m p u t e r C o n f i g u r a t i o n P o l i c i e s W i n d o w s S e t t i n g s S e c u r i t y S e t t i n g s
Restricted G r o u p s ) .
2 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л Группы с о г р а н и ч е н н ы м доступом
и в ы п о л н и т е к о м а н д у Д о б а в и т ь г р у п п у ( A d d G r o u p ) .
3. Щ е л к н и т е к н о п к у О б з о р ( B r o w s e ) и в д и а л о г о в о м окне Выбор: "Группы" (Se-
lect G r o u p s ) в в е д и т е и м я г р у п п ы , к о т о р у ю х о т и т е д о б а в и т ь в группу Адми-
нистраторы ( A d m i n i s t r a t o r s ) , н а п р и м е р CONTOSOCnpae№, и щелкните О К .
4 . Щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е о к н о Д о б а в л е н и е группы (Add
G r o u p ) .
О т к р о е т с я д и а л о г о в о е о к н о С в о й с т в а ( P r o p e r t i e s ) .
5 . Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) н а п р о т и в с е к ц и и Эта группа я в л я е т с я
членом в ( T h i s G r o u p Is A M e m b e r O f ) .
6. Укажите и м я г р у п п ы Администраторы (Administrators) и щ е л к н и т е О К .
Д и а л о г о в о е о к н о с в о й с т в г р у п п о в о й п о л и т и к и д о л ж н о в ы г л я д е т ь так, как
показано на рис. 7-2.
7 . Е щ е р а з щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е о к н о С в о й с т в а
(Properties).
При д е л е г и р о в а н и и ч л е н с т в а л о к а л ь н о й г р у п п ы А д м и н и с т р а т о р ы (Admi-
nistrators) в т а к и м с п о с о б о м в г р у п п у а д м и н и с т р а т о р о в д о б а в л я е т с я группа, ука-
занная в шаге 3, а с у щ е с т в у ю щ и е ч л е н ы г р у п п ы А д м и н и с т р а т о р ы не удаляются.
'298 Параметры групповой политики
Глава 7
Групповая политика указывает клиенту включить эту группу в его локальную
группу Администраторы (Administrators). Эта м е т о д и к а о б е с п е ч и в а е т воз-
можность включения других пользователей и г р у п п ы в л о к а л ь н у ю группу
администраторов отдельных систем. Д а н н ы й параметр г р у п п о в о й политики
также является кумулятивным. Если множество объектов G P O конфигурируют
различные принципалы безопасности как члены л о к а л ь н о й г р у п п ы Админис-
траторы (Administrators), все они будут добавлены в эту группу.
Чтобы в полной мере контролировать л о к а л ь н у ю г р у п п у Администраторы
(Administrators), выполните следующие действия.
1. В редакторе управления групповыми политиками ( G r o u p Policy Management
Editor) откройте узел Конфигурация компыотераГ1олитикиКонфигурация
WindowsriapaMeTpbi б е з о п а с н о с т и Г р у п п ы с о г р а н и ч е н н ы м доступом
(Computer C o n f i g u r a t i o n P o l i c i e s W i n d o w s S e t t i n g s S e c u r i t y S e t t i n g s
Restricted Groups).
2. Щелкните правой кнопкой мыши узел Группы с о г р а н и ч е н н ы м доступом
и выполните команду Добавить группу (Add G r o u p ) .
3. Введите имя группы Администраторы (Administrators) и щ е л к н и т е О К .
Откроется диалоговое окно Свойства (Properties).
4. Напротив секции Члены этой группы ( M e m b e r s Of This G r o u p ) щелкните
кнопку Добавить (Add).
5. Щелкните кнопку Обзор (Browse) и введите и м я группы, к о т о р у ю хотите
сделать единственным членом группы Администраторы, н а п р и м е р CON-
TOSOCnpaeKa, и щелкните ОК.
6. Вновь щелкните ОК, чтобы закрыть диалоговое окно Д о б а в л е н и е участни-
ка (Add Member). Диалоговое окно свойств г р у п п о в о й п о л и т и к и должно
выглядеть, как показано на рис. 7-2.
7. Вновь щелкните ОК, чтобы закрыть диалоговое окно Свойства (Properties).
При использовании параметра членства в г р у п п е ( M e m b e r s ) п о л и т и к и
групп с ограниченным доступом итоговое членство в у к а з а н н о й группе опре-
деляется списком Участники (Members). Выполнив у к а з а н н ы е шаги, вы созда-
дите объект GPO, который авторитарно управляет г р у п п о й Администраторы
(Administrators). Когда компьютер применяет этот объект G P O , в локальную
группу администраторов добавляются участники, у к а з а н н ы е объектом G P O ,
и удаляются все участники, не указанные G P O , в к л ю ч а я группу Админист-
раторы домена (Domain Admins). В группе администраторов остается только
локальная учетная запись Администратор (Administrator), поскольку она яв-
ляется постоянным членом группы администраторов, которую нельзя удалить.
Контрольный вопрос
• Вам нужно добавить группу в локальную группу Администраторы (Ad-
ministrators) на локальных компьютерах, не удаляя учетные записи, уже
включенные в данную группу. Опишите политику групп с ограниченным
доступом, которую следует создать для выполнения этой задачи.
Занятие 1
Делегирование и поддержка компьютеров 3Q-)
Ответ на к о н т р о л ь н ы й вопрос
• Создать политику групп с ограниченным доступом для добавляемой груп-
пы. Использовать параметр членства группы Эта группа является членом
в (This Group Is A Member Of) и указать группу Администраторы (Admi-
• nistrators).
Практические занятия. Делегирование членства с помощью
групповой политики
В приведенных далее у п р а ж н е н и я х предлагается использовать групповую по-
литику д л я д е л е г и р о в а н и я членства группы Администраторы (Administrators).
Вначале необходимо создать объект G P O с параметром политики групп с огра-
ниченным доступом, чтобы в к л ю ч и т ь группу Справка в локальную группу Ад-
министраторы во всех к л и е н т с к и х системах, затем – GPO, который добавляет
группу П о д д е р ж к а NYC в группу Администраторы клиентов в подразделении
NYC. И, наконец, п р о в е р и т ь , что в подразделении NYC обе группы Справка
и Поддержка NYC в к л ю ч е н ы в л о к а л ь н у ю группу администраторов.
Д л я в ы п о л н е н и я у п р а ж н е н и й в домене contoso.com следует создать сле-
дующие объекты:
• подразделение п е р в о г о у р о в н я Администраторы с дочерним подразделе-
нием Группы а д м и н и с т р а т о р о в ;
• глобальную г р у п п у безопасности Справка в дочернем подразделении Груп-
пы а д м и н и с т р а т о р о в п о д р а з д е л е н и я Администраторы;
• глобальную г р у п п у безопасности Поддержка NYC в дочернем подразделе-
нии Группы а д м и н и с т р а т о р о в подразделения Администраторы;
• подразделение первого у р о в н я Клиенты;
• дочернее п о д р а з д е л е н и е NYC в подразделении Клиенты;
• объект к о м п ь ю т е р а D E S K T O P l O l в подразделении NYC.
У п р а ж н е н и е 1. Д е л е г и р о в а н и е администрирования всех клиентов в домене
Создайте G P O с п а р а м е т р о м п о л и т и к и групп с ограниченным доступом, ко-
торый добавляет г р у п п у С п р а в к а в локальную группу Администраторы (Ad-
ministrators) на всех к л и е н т с к и х компьютерах.
1. В консоли Управление групповой политикой (Group Policy Management)
р а з в е р н и т е у з е л Л е с Д о м е н ы c o n t o s o . c o m (ForestDomainscontoso.
com). В ы б е р и т е к о н т е й н е р О б ъ е к т ы групповой политики (Group Policy
Objects).
2. Щелкните правой кнопкой м ы ш и контейнер Объекты групповой политики
и выполните к о м а н д у Создать (New).
3. ]В поле И м я ( N a m e ) введите имя Корпоративная справка и щелкните ОК.
4. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и созданный объект G P O и выполните
команду И з м е н и т ь ( E d i t ) .
' 3 0 0 Параметры групповой политики
Глава 7
5. В редакторе управления групповыми политиками ( G r o u p Policy Mana-
gement Editor) откройте узел Конфигурация к о м п ы о т е р а П о л и т и к и
Конфигурация Win dowsП ар а метр ы безопасностиГруппы с ограничен-
ным доступом (Computer ConfigurationPoliciesWindows SettingsSecurity
SettingsRestricted Groups).
6. Щелкните правой кнопкой мыши узел Группы с ограниченным доступом
и выполните команду Добавить группу (Add Group).
7. Щелкните кнопку Обзор (Browse), в диалоговом окне Выбор: "Группы"
(Select Groups) введите имя группы CONTOSOCnpaem и щелкните ОК.
8. Закроите диалоговое окно Добавление группы (Add Group), щелкнув ОК.
9. Напротив секции Эта группа является членом в (This Group Is A Member
Of) щелкните кнопку Добавить (Add).
10. Введите имя группы Администраторы (Administrators) и щелкните ОК.
Диалоговое окно свойств групповой политики должно выглядеть так, как
показано на рис. 7-2.
11. Вновь щелкните ОК, чтобы закрыть диалоговое окно Свойства ( P r o -
perties).
12. Закройте редактор управления групповыми политиками.
13. В консоли Управление групповой политикой (Group Policy Management)
щелкните правой кнопкой мыши подразделение К л и е н т ы и в ы п о л н и т е
команду Связать существующий объект G P O (Link An Existing G P O ) .
14. Выберите объект групповой политики Корпоративная справка, щелкни-
те ОК.
Упражнение 2. Делегирование администрирования поднабора клиентов
в домене
Создайте объект GPO с параметром политики групп с ограниченным доступом,
который добавляет группу Поддержка NYC в группу Администраторы (Admin-
istrators) на всех клиентских компьютерах в подразделении NYC.
1. В консоли Управление групповой политикой (Group Policy Management)
разверните узел Л есДоменысоп toso.com (ForestDomainscontoso.com).
Выберите контейнер Объекты групповой политики (Group Policy Objects).
2. Щелкните правой кнопкой мыши контейнер Объекты групповой политики
и выполните команду Создать (New).
3. В поле Имя (Name) введите имя Поддержка Ныо-Йорк и щелкните О К .
4. Щелкните правой кнопкой мыши созданный объект G P O и выполните
команду Изменить (Edit).
5. Повторите шаги 5-12 упражнения 1, только в шаге 7 укажите имя группы
CONTOSO Поддержка NYC.
6. В консоли управления групповой политикой щелкните правой кнопкой
мыши подразделение ЮшентыЫУС и выполните команду Связать сущес-
твующий объект GPO (Link An Existing G P O ) .
7. Выберите объект групповой политики Поддержка Ныо-Йорк и щелкните ОК.
Занятие 1
Делегирование и поддержка компьютеров 3Q-)
Упражнение 3. Проверка к у м у л я т и в н о г о п р и м е н е н и я политик членства
группы Member Of
Для создания отчета о д е й с т в у ю щ и х политиках, примененных к компьютеру
или пользователю, используется М о д е л и р о в а н и е групповой политики (Group
Policy Modeling). В этом у п р а ж н е н и и с помощью моделирования групповой
политики убедитесь, что группа Администраторы (Administrators) всех компью-
теров в подразделении NYC содержит обе группы – Справка и Поддержка NYC.
1. В консоли Управление г р у п п о в о й п о л и т и к о й ( G r o u p Policy Management)
разверните узел Л е с ( F o r e s t ) и выберите узел Моделирование групповой
политики ( G r o u p Policy M a n a g e m e n t ) .
2. Щелкните правой к н о п к о й м ы ш и узел Моделирование групповой полити-
ки (Group Policy M o d e l i n g ) и выберите Мастер моделирования групповой
политики ( G r o u p Policy M o d e l i n g Wizard).
3. Щелкните Далее ( N e x t ) .
4. На странице В ы б о р к о н т р о л л е р а д о м е н а ( D o m a i n Controller Selection)
щелкните Далее ( N e x t ) .
5. На странице Выбор п о л ь з о в а т е л я и компьютера (User And Computer Selec-
tion) в секции И н ф о р м а ц и я о компьютере (Computer Information) щелкните
кнопку Обзор ( B r o w s e ) .
6. Разверните домен и п о д р а з д е л е н и е Клиенты, а затем выберите подразде-
ление NYC.
7. Щелкните О К .
8. Установите ф л а ж о к П е р е й т и к последней странице, не собирая дополни-
тельных данных (Skip То T h e Final Page Of This Wizard Without Collecting
Additional Data).
9. Щелкните Далее ( N e x t ) .
10. На странице Сводка в ы б р а н н ы х параметров (Summary Of Selection) щелк-
ните Далее (Next).
11. Щелкните Готово ( F i n i s h ) .
Откроется отчет Моделирование групповой политики (Group Policy Modeling).
12. Перейдите на в к л а д к у П а р а м е т р ы (Settings).
13. Щелкните секцию П а р а м е т р ы безопасности (Security Settings).
14. Щелкните Группы с о г р а н и ч е н н ы м доступом (Restricted Groups).
В списке д о л ж н ы быть п е р е ч и с л е н ы обе группы – Справка и Поддержка
NYC. Политики групп с о г р а н и ч е н н ы м доступом, использующие параметр
Эта группа я в л я е т с я ч л е н о м в (This G r o u p Is A Member Of)> являются ку-
мулятивными. В отчете не указано, что перечисленные группы принадле-
жат группе Администраторы (Administrators). В этом состоит ограничение
отчетности.
Упражнение 4 (по желанию). Проверка членства группы администраторов
Если в вашем тестовом о к р у ж е н и и есть компьютер с именем D E S K T O P l O l ,
являющийся членом домена contoso.com, загрузите этот компьютер, войдите
' 3 0 2 Параметры групповой политики
Глава 7
в систему с помощью учетной записи администратора д о м е н а и о т к р о й т е кон-
соль Управление компьютером ( C o m p u t e r M a n a g e m e n t ) в г р у п п е А д м и н и с т -
рирование (Administrative Tools) панели у п р а в л е н и я . В к о н с о л и У п р а в л е н и е
компьютером разверните узел Л о к а л ь н ы е п о л ь з о в а т е л и и г р у п п ы (Local Users
And Groups), а затем в папке Группы ( G r o u p s ) откройте группу Администрато-
ры (Administrators). В ней д о л ж н ы быть п е р е ч и с л е н ы с л е д у ю щ и е у ч а с т н и к и :
• группа C O N T O S O C n p a B K a , п р и м е н е н н а я о б ъ е к т о м G P O К о р п о р а т и в н а я
справка;
• группа С О М Т О Б О Х П о д д е р ж к а NYC, п р и м е н е н н а я о б ъ е к т о м G P O Под-
держка Ныо-Йорк;
• группа Администраторы домена ( D o m a i n A d m i n s ) , к о т о р а я д о б а в л я е т с я
в группу Администраторы (Administrators) при п р и с о е д и н е н и и компьютера
к домену;
1 локальная учетная запись А д м и н и с т р а т о р ( A d m i n i s t r a t o r ) , по у м о л ч а н и ю
являющаяся членом группы а д м и н и с т р а т о р о в и к о т о р у ю н е л ь з я удалить.
Резюме
• Для делегирования поддержки компьютеров в д о м е н е т р е б у е т с я у п р а в л я т ь
членством групп Администраторы ( A d m i n i s t r a t o r s ) в э т и х системах.
• Объекты G P O , использующие п а р а м е т р ч л е н с т в а г р у п п ы ( M e m b e r O f ) по-
литик групп с ограниченным доступом, могут д о б а в л я т ь д о м е н н ы е г р у п п ы
в локальную группу Администраторы (Administrators). П а р а м е т р ы членства
группы (Member Of) я в л я ю т с я к у м у л я т и в н ы м и , так что в г р у п п у админис-
траторов многие объекты G P O могут д о б а в л я т ь р а з л и ч н ы е г р у п п ы .
• Объект G P O , использующий параметр членства в г р у п п ё " ( M e m b e r s ) поли-
тик групп с ограниченным доступом, м о ж е т о п р е д е л и т ь ч л е н с т в о г р у п п ы
Администраторы (Administrators). П а р а м е т р ы членства в группе ( M e m b e r s )
являются окончательными и а в т о р и т а р н ы м и . Е с л и п р и м е н е н о несколько
объектов G P O , то членство в группе А д м и н и с т р а т о р й о п р е д е л я е т с я л и ш ь
объектом G P O с наивысшим приоритетом.
• •
Закрепление материала
Приведенные далее вопросы предназначены д л я п р о в е р к и знаний, порученных
на занятии 1 (эти вопросы содержатся и на с о п р о в о д и т е л ь н о м компакт-диске).
ПРИМЕЧАНИЕ Ответы
Ответы на зти вопросы с пояснениями, почему тот или иной вариант ответа является
правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Домен contoso.com содержит объект групповой п о л и т и к и Корпоративная
справка, связанный с подразделением К л и е н т ы , а т а к ж е объект группо-
вой политики Поддержка Сидней, с в я з а н н ы й с д о ч е р й и м подразделением
Сидней в подразделении Клиенты. О б ъ е к т G P O К о р п о р а т и в н а я справка
включает политику групп с ограниченным доступом д л я группы C O N T O -
S O C n p a B K a , которая указывает, что эта группа я в л я е т с я членом группы
Занятие 1
Делегирование и поддержка компьютеров 3Q-)
А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) . О б ъ е к т G P O П о д д е р ж к а Сидней т а к ж е
включает п о л и т и к у г р у п п с о г р а н и ч е н н ы м доступом, которая указывает, что
эта г р у п п а я в л я е т с я ч л е н о м г р у п п ы А д м и н и с т р а т о р ы . Компьютер с именем
D E S K T O P 2 3 4 п р и с о е д и н я е т с я к д о м е н у в п о д р а з д е л е н и и Сидней. Какая
и з с л е д у ю щ и х у ч е т н ы х з а п и с е й б у д е т ч л е н о м г р у п п ы А д м и н и с т р а т о р ы
( A d m i n i s t r a t o r s ) н а к о м п ь ю т е р е D E S K T O P 2 3 4 ? ( У к а ж и т е все варианты.)
A. А д м и н и с т р а т о р ( A d m i n i s t r a t o r ) . ,
Б . А д м и н и с т р а т о р ы д о м е н а ( D o m a i n A d m i n s ) .
B. П о д д е р ж к а С и д н е й . *
Г . С п р а в к а . . . . .
Д . П о л ь з о в а т е л и у д а л е н н о г о р а б о ч е г о с т о л а ( R e m o t e D e s k t o p Users).
2 . Д о м е н c o n t o s o . c o m с о д е р ж и т о б ъ е к т G P O К о р п о р а т и в н а я справка, связан-
н ы й с п о д р а з д е л е н и е ^ К л и е н т ы , а . т а к ж е о б ъ е к т G P O П о д д е р ж к а Сидней,
с в я з а н н ы й с д о ч е р н и м п о д р а з д е л е н и е м С и д н е й в п о д р а з д е л е н и и Клиенты.
О б ъ е к т G P O К о р п о р а т и в н а я с п р а в к а в к л ю ч а е т п о л и т и к у групп с огра-
н и ч е н н ы м д о с т у п о м д л я г р у п п ы А д м и н и с т р а т о р ы (Administrators), где в
п а р а м е т р а Ч л е н ы э т о й » г р у п п ы ( M e m b e r s O f T h i s G r o u p ) у к а з а н а группа
C O N T O S O C n p a B K a . О б ъ е к т G P O П о д д е р ж к а С и д н е й т а к ж е включает
п о л и т и к у г р у п п с о г р а н и ч е н н ы м д о с т у п о м д л я г р у п п ы Администраторы,
где у к а з а н о , ч т о у ч а с т н и к о м э т о й г р у п п ы д о л ж н а б ы т ь г р у п п а C O N T O S O
П о д д е р ж к а С и д н е й . В п о д р а з д е л е н и и С и д н е й к д о м е н у п р и с о е д и н я е т с я
к о м п ь ю т е р D E S K T O P 2 3 4 . К а к а я и з с л е д у ю щ и х у ч е т н ы х з а п и с е й будет
ч л е н о м г р у п п ы А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) н а к о м п ь ю т е р е D E S K -
Т О Р 2 3 4 ? ( У к а ж и т е в с е в а р и а н т ы . )
A . А д м и н и с т р а т о р ( A d m i n i s t r a t o r ) .
Б . А д м и н и с т р а т о р ы д о м е н а ( D o m a i n A d m i n s ) .
B. П о д д е р ж к а С и д н е й .
Г. С п р а в к а .
Д . П о л ь з о в а т е л и у д а л е н н о г о р а б о ч е г о с т о л а ( R e m o t e D e s k t o p Users).
3 . Д о м е н c o n t o s o . c o m с о д е р ж и т о б ъ е к т G P O К о р п о р а т и в н а я справка, связан-
н ы й с п о д р а з д е л е н и е м К л и е н т ы , а т а к ж е о б ъ е к т G P O П о д д е р ж к а Сидней,
с в я з а н н ы й с д о ч е р н и м п о д р а з д е л е н и е м С и д н е й в п о д р а з д е л е н и и Клиенты.
О б ъ е к т G P O К о р п о р а т и в н а я с п р а в к а в к л ю ч а е т п о л и т и к у групп с огра-
н и ч е н н ы м д о с т у п о м д л я г р у п п ы А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) , где в
п а р а м е т р е Ч л е н ы э т о й г р у п п ы ( M e m b e r s O f T h i s G r o u p ) у к а з а н а группа
C O N T O S O C n p a B K a . О б ъ е к т G P O П о д д е р ж к а С и д н е й в к л ю ч а е т политику
групп с о г р а н и ч е н н ы м д о с т у п о м д л я г р у п п ы С О Ы Т 0 5 0 П о д д е р ж к а Сид-
ней, где у к а з а н о , ч т о э т а г р у п п а я в л я е т с я ч л е н о м г р у п п ы Администраторы
( A d m i n i s t r a t o r s ) . В п о д р а з д е л е н и и С и д н е й к д о м е н у п р и с о е д и н я е т с я ком-
пьютер D E S K T O P 2 3 4 . К а к а я и з с л е д у ю щ и х у ч е т н ы х з а п и с е й будет членом
группы А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) н а к о м п ь ю т е р е D E S K T O P 2 3 4 ?
(Укажите все в а р и а н т ы . )
А. А д м и н и с т р а т о р ( A d m i n i s t r a t o r ) .
Б. А д м и н и с т р а т о р ы домена (Domain Admins).
'304 Параметры групповой политики
Глава 7
В. Поддержка Сидней. *
Г. Справка.
Д. Пользователи удаленного рабочего стола ( R e m o t e D e s k t o p Users).
Занятие 2. Управление параметрами безопасности
Безопасность является изначальной областью задач администраторов Windows.
Система Windows Server 2008 содержит м н о г о ч и с л е н н ы е параметры, которые
влияют на запуск служб, открытие портов, р а з р е ш е н и я передачи входящих и
исходящих сетевых пакетов, права и разрешения доступа пользователей, а так-
же аудит активности в системе. Существует огромное количество параметров,
которыми можно управлять, но, к сожалению, у н и в е р с а л ь н о й ф о р м у л ы д л я
применения идеальной конфигурации сервера нет. С о о т в е т с т в у ю щ а я конфи-
гурация безопасности сервера зависит от в ы п о л н я е м ы х им ролей, операцион-
ных систем в среде и политик безопасности, которые сами по себе зависят от
нормативов, принятых вне организации.
Поэтому требуется определить и о т к о н ф и г у р и р о в а т ь п а р а м е т р ы безопас-
ности, необходимые для серверов организации, и*. подготовит*ьоя к управле-
нию этими параметрами путем централизации и о п т и м и з а ц и и к о н ф и г у р а ц и и
безопасности. В Windows Server 2008 предусмотрено н е с к о л ь к о механизмов,
с помощью которых конфигурируются параметры.безопасности-в одной или
