355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 30)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 30 (всего у книги 91 страниц)

клиентских компьютерах. Однако следует учесть, ч т о у р о в е н ь п р и в и л е г и й

группы Администраторы домена (Domain A d m i n i s t r a t o r s ) н а з н а ч а т ь не следует,

поэтому рекомендуется отконфигурировать к л и е н т с к и е с и с т е м ы , д о б а в и в ч л е -

нов команды отдела справки в локальную группу а д м и н и с т р а т о р о в с п о м о щ ь ю

политики групп с ограниченным доступом. На этом з а н я т и и мы р а с с м о т р и м

принципы использования политики о г р а н и ч е н и я групп, с п о м о щ ь ю к о т о р ы х

можно добавить членов персонала поддержки в л о к а л ь н у ю г р у п п у А д м и н и с т -

раторы (Administrators) клиентов, делегировав т а к и м о б р а з о м к о м а н д е с п р а в к и

задачу поддержки этих компьютеров. Эта же методика п р и м е н я е т с я д л я делеги-

рования команде поддержки административных задач л ю б ы х к о м п ь ю т е р о в .

Изучив материал этого занятия, вы сможете:

У Делегировать администрирование компьютеров.

политики.

Продолжительность занятия – около 30 мин.

Занятие 1

Делегирование и поддержка компьютеров 3Q-)

Политики групп с ограниченным доступом

Откройте о б ъ е к т г р у п п о в о й п о л и т и к и ( G P O ) в р е д а к т о р е у п р а в л е н и я группо-

выми п о л и т и к а м и и р а з в е р н и т е у з е л К о н ф и г у р а ц и я к о м н ы о т е р а П о л н т п к и

К о н ф и г у р а ц и я W i n d o w s n a p a M e T p w б е з о п а с н о с т и ( C o m p u t e r C o n f i g u r a t i o n

P o l i c i e s W i n d o w s S c t t i n g s S e c u r i t y S e t t i n g s ) . Вы у в и д и т е у з е л Группы с огра-

и и ч е н н ы м д о с т у п о м ( R e s t r i c t e d G r o u p s ) , п о к а з а н н ы й п а рис, 7-1.

•J

• Полипк

J

а

Полипк DefaultDoman

DefaultDoma Poic

n

y

Poic [SERVER01.contoso.com

y

]

[SERVER01.contoso.com

Ииягру-шы •

i j/

i p Ксифк7рлин

p

в

Ксифк7рлин коктью

в

т

коктью ера

ер

Нет глементов для

0 Ш

0

Лмити

Ш

т

отображежя в этап вил е.

13

1 -i'

3 <

–i' Конфигурация

Конфигураци програм

я

м

програм

; '

; ' Коифмгурашо

Коифмгураш WAndw

о

e

WAndw

••*

• Cuenapt*

*

i

Cuenapt* (запуос/мвершеине}

(запуос/мвершеине

£5

£ ji

5 j Параметры

Параметр беюпаоюст

ы

и

беюпаоюст

Цр

Ц Подпис

р

и

Подпис у-»ет**х

у-»ет** мписе

х

й

мписе

55

5 Лока.-ъ^яе

Лока.-ъ^я полети

Журнал

Журна событии

событи

4 Гругг

4

ы

Гругг с огра^мчмнь

с

м

огра^мчмнь дсчгтуп-ж

дсчгтуп-

if ,

f 'з

' Системны

з

е

Системны служб

е

ы

служб

(+з

+ ; 4 Реест

4

р

Реест

Рис. 7-1. Узел групп с ограниченным доступом в объекте групповой политики

П а р а м е т р ы п о л и т и к г р у п п с о г р а н и ч е н н ы м д о с т у п о м п о з в о л я ю т у п р а в л я т ь

членством в г р у п п а х . И с п о л ь з у ю т с я д в а т и п а параметров: Эта группа я в л я е т с я

членом в ( T h i s G r o u p Is A M e m b e r O f ) и Ч л е н ы э т о й г р у п п ы ( M e m b e r s Of This

Group). П р и м е р ы э т и х п а р а м е т р о в п р и в е д е н ы н а рис. 7-2.

Ш23ШШШ?

>1*1

–Li*J

Настройка членства для CONTOSOXOroen слр

Настройка члактва для Ддмлчютраторы j

Члены этой группы:

Чмны атой групп»

Добавить... |

CONTOSO'-Слрабла

Эта группа ягявтея чгамом в

Отмена Применить |

Отмена Псммеиитъ

Рис. 7-2. Политики членства групп с ограниченным доступом

В а ж н о п о н и м а т ь р а з н и ц у м е ж д у э т и м и д в у м я п а р а м е т р а м и . П а р а м е т р

членства г р у п п ы ( M e m b e r O f ) у к а з ы в а е т п р и н а д л е ж н о с т ь д а н н о й группы к еще

одной г р у п п е . С л е в а н а р и с . 7 – 2 п о к а з а н т и п и ч н ы й п р и м е р членства группы

C O N T O S O C n p a B K a в г р у п п е А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) . П р и м е н е н и е

этого п а р а м е т р а п о л и т и к и г а р а н т и р у е т ч л е н с т в о д о м е н н о й г р у п п ы С п р а в к а

' 296 Параметры групповой политики

Глава 7

в локальной группе Администраторы ( A d m i n i s t r a t o r s ) . Е с л и п о л и т и к и г р у п п

с ограниченным доступом назначены в нескольких объектах G P O , будет п р и м е -

нен каждый параметр политики членства группы ( M e m b e r Of)– Н а п р и м е р , если

объект GPO, привязанный к подразделению К л и е н т ы , у к а з ы в а е т , что г р у п п а

CONTOSOCnpam

tors), а второй объект GPO, привязанный к д о ч е р н е м у п о д р а з д е л е н и ю N Y C

(в подразделении Клиенты), указывает, что г р у п п а С О М Т О Б О Х П о д д е р ж к а

NYC также является членом группы А д м и н и с т р а т о р ы , к о м п ь ю т е р в п о д р а з -

делении NYC добавит обе группы, Справка и П о д д е р ж к а NYC, в с в о ю г р у п п у

Администраторы вместе со всеми существующими ч л е н а м и т а к о й г р у п п ы , к а к

Администраторы домена (Domain Admins). Э т о т п р и м е р п о к а з а н на рис. 7-3.

Как видите, политики групп с ограниченным д о с т у п о м , и с п о л ь з у ю щ и е пара-

метр членства группы Member Of, являются н а к о п и т е л ь н ы м и .

Второй тип параметра членства в г р у п п е ( M e m b e r s ) у к а з ы в а е т п о л н о е

членство в данной группе. Справа на рис. 7-2 показан т и п и ч н ы й п р и м е р : в спис-

ке Члены этой группы (Members) группы А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s )

указана группа CONTOSOCnpaBi

гарантирует, что членом локальной г р у п п ы А д м и н и с т р а т о р ы б у д е т только

группа CONTOSOCnpaBKa. Все члены, не у к а з а н н ы е в п о л и т и к е , б у д у т уда-

лены, включая группу Администраторы домена ( D o m a i n A d m i n s ) . П а р а м е т р

членства в группе (Members) является авторитарным и о п р е д е л я е т о к о н ч а т е л ь -

ный список членов. Если политика групп с о г р а н и ч е н н ы м д о с т у п о м у к а з а н а в

нескольких объектах GPO, то будет превалировать о б ъ е к т G P O с н а и в ы с ш и м

приоритетом. Например, если G P O , с в я з а н н ы й с п о д р а з д е л е н и е м К л и е н т ы ,

указывает членство группы C O N T O S O C n p a B K a в г р у п п е А д м и н и с т р а т о р ы

(Administrators), и еще одни G P O , с в я з а н н ы й с п о д р а з д е л е н и е м П о д д е р ж к а

NYC, указывает членство группы С О Ы Т 0 8 0 П о д д е р ж к а N Y C в г р у п п е А д м и -

нистраторы, то в локальную группу А д м и н и с т р а т о р ы к о м п ь ю т е р о в в п о д р а з -

делении NYC будет включена только группа П о д д е р ж к а N Y C ( р и с . 7 – 4 ) .

Л-Sl

Asl

ш пгма доступа к каллис» иг

&СШТОЗО.Гвмеряхг

N

T

C

^ CONTOSO vfbuewj KTt

' A ^ n c W v

if, CONTOSO Сгошл

j ест,1»т в a.», iracee u'ii^-.ws

ij

Рис. 7-3. Результаты применения параметра

Рис. 7-4. Использование параметра

членства группы Member Of политик групп

членства в группе (Members) в политике

с ограниченным доступом

групп с ограниченным доступом

Занятие 1

Делегирование и поддержка компьютеров 3Q-)

Н а п р е д п р и я т и и н у ж н о т щ а т е л ь н о п р о е к т и р о в а т ь и т е с т и р о в а т ь п о л и т и к и

групп с о г р а н и ч е н н ы м д о с т у п о м , ч т о б ы д о с т и ч ь о ж и д а е м о г о результата. Н е

смешивайте о б ъ е к т ы G P O , и с п о л ь з у ю щ и е п а р а м е т р ы членства группы (Member

Of) и ч л е н с т в а в г р у п п е ( M e m b e r s ) . И с п о л ь з у й т е о д и н из в ы ш е у п о м я н у т ы х

типов п а р а м е т р о в .

СОВЕТ К ЭКЗАМЕНУ

На сертификационном экзамене 7 0 – 6 4 0 нужно уметь определить разницу между

политиками групп с о г р а н и ч е н н ы м доступом, использующих параметр членства

группы (Member O f ) и членства в группе (Members). Помните, что параметр членс-

тва группы ( M e m b e r O f ) я в л я е т с я к у м у л я т и в н ы м . Кроме того, если объекты GPO

используют параметр членства в группе (Members), будет применен G P O с наивыс-

шим приоритетом, и его список членов будет превалировать.

Делегирование административных привилегий

с помощью политик групп с ограниченным доступом

и параметра членства группы Member Of

Чтобы д е л е г и р о в а т ь а д м и н и с т р а т и в н ы е п р и в и л е г и и д л я к о м п ь ю т е р о в с по-

мощью п о л и т и к г р у п п с о г р а н и ч е н н ы м д о с т у п о м , и с п о л ь з у ю щ и х п а р а м е т р

членства г р у п п ы ( M e m b e r O f ) , в ы п о л н и т е с л е д у ю щ и е д е й с т в и я .

1. В редакторе у п р а в л е н и я г р у п п о в ы м и п о л и т и к а м и ( G r o u p Policy Management

E d i t o r ) о т к р о й т е у з е л К о н ф и г у р а ц и я к о м п ы о т е р а П о л и т и к и К о н ф и г у р а -

ц и я W i n d o w s n a p a M e T p b i б е з о п а с н о с т и Г р у п п ы с о г р а н и ч е н н ы м досту-

пом ( C o m p u t e r C o n f i g u r a t i o n P o l i c i e s W i n d o w s S e t t i n g s S e c u r i t y S e t t i n g s

Restricted G r o u p s ) .

2 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л Группы с о г р а н и ч е н н ы м доступом

и в ы п о л н и т е к о м а н д у Д о б а в и т ь г р у п п у ( A d d G r o u p ) .

3. Щ е л к н и т е к н о п к у О б з о р ( B r o w s e ) и в д и а л о г о в о м окне Выбор: "Группы" (Se-

lect G r o u p s ) в в е д и т е и м я г р у п п ы , к о т о р у ю х о т и т е д о б а в и т ь в группу Адми-

нистраторы ( A d m i n i s t r a t o r s ) , н а п р и м е р CONTOSOCnpae№, и щелкните О К .

4 . Щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е о к н о Д о б а в л е н и е группы (Add

G r o u p ) .

О т к р о е т с я д и а л о г о в о е о к н о С в о й с т в а ( P r o p e r t i e s ) .

5 . Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) н а п р о т и в с е к ц и и Эта группа я в л я е т с я

членом в ( T h i s G r o u p Is A M e m b e r O f ) .

6. Укажите и м я г р у п п ы Администраторы (Administrators) и щ е л к н и т е О К .

Д и а л о г о в о е о к н о с в о й с т в г р у п п о в о й п о л и т и к и д о л ж н о в ы г л я д е т ь так, как

показано на рис. 7-2.

7 . Е щ е р а з щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е о к н о С в о й с т в а

(Properties).

При д е л е г и р о в а н и и ч л е н с т в а л о к а л ь н о й г р у п п ы А д м и н и с т р а т о р ы (Admi-

nistrators) в т а к и м с п о с о б о м в г р у п п у а д м и н и с т р а т о р о в д о б а в л я е т с я группа, ука-

занная в шаге 3, а с у щ е с т в у ю щ и е ч л е н ы г р у п п ы А д м и н и с т р а т о р ы не удаляются.

'298 Параметры групповой политики

Глава 7

Групповая политика указывает клиенту включить эту группу в его локальную

группу Администраторы (Administrators). Эта м е т о д и к а о б е с п е ч и в а е т воз-

можность включения других пользователей и г р у п п ы в л о к а л ь н у ю группу

администраторов отдельных систем. Д а н н ы й параметр г р у п п о в о й политики

также является кумулятивным. Если множество объектов G P O конфигурируют

различные принципалы безопасности как члены л о к а л ь н о й г р у п п ы Админис-

траторы (Administrators), все они будут добавлены в эту группу.

Чтобы в полной мере контролировать л о к а л ь н у ю г р у п п у Администраторы

(Administrators), выполните следующие действия.

1. В редакторе управления групповыми политиками ( G r o u p Policy Management

Editor) откройте узел Конфигурация компыотераГ1олитикиКонфигурация

WindowsriapaMeTpbi б е з о п а с н о с т и Г р у п п ы с о г р а н и ч е н н ы м доступом

(Computer C o n f i g u r a t i o n P o l i c i e s W i n d o w s S e t t i n g s S e c u r i t y S e t t i n g s

Restricted Groups).

2. Щелкните правой кнопкой мыши узел Группы с о г р а н и ч е н н ы м доступом

и выполните команду Добавить группу (Add G r o u p ) .

3. Введите имя группы Администраторы (Administrators) и щ е л к н и т е О К .

Откроется диалоговое окно Свойства (Properties).

4. Напротив секции Члены этой группы ( M e m b e r s Of This G r o u p ) щелкните

кнопку Добавить (Add).

5. Щелкните кнопку Обзор (Browse) и введите и м я группы, к о т о р у ю хотите

сделать единственным членом группы Администраторы, н а п р и м е р CON-

TOSOCnpaeKa, и щелкните ОК.

6. Вновь щелкните ОК, чтобы закрыть диалоговое окно Д о б а в л е н и е участни-

ка (Add Member). Диалоговое окно свойств г р у п п о в о й п о л и т и к и должно

выглядеть, как показано на рис. 7-2.

7. Вновь щелкните ОК, чтобы закрыть диалоговое окно Свойства (Properties).

При использовании параметра членства в г р у п п е ( M e m b e r s ) п о л и т и к и

групп с ограниченным доступом итоговое членство в у к а з а н н о й группе опре-

деляется списком Участники (Members). Выполнив у к а з а н н ы е шаги, вы созда-

дите объект GPO, который авторитарно управляет г р у п п о й Администраторы

(Administrators). Когда компьютер применяет этот объект G P O , в локальную

группу администраторов добавляются участники, у к а з а н н ы е объектом G P O ,

и удаляются все участники, не указанные G P O , в к л ю ч а я группу Админист-

раторы домена (Domain Admins). В группе администраторов остается только

локальная учетная запись Администратор (Administrator), поскольку она яв-

ляется постоянным членом группы администраторов, которую нельзя удалить.

Контрольный вопрос

• Вам нужно добавить группу в локальную группу Администраторы (Ad-

ministrators) на локальных компьютерах, не удаляя учетные записи, уже

включенные в данную группу. Опишите политику групп с ограниченным

доступом, которую следует создать для выполнения этой задачи.

Занятие 1

Делегирование и поддержка компьютеров 3Q-)

Ответ на к о н т р о л ь н ы й вопрос

• Создать политику групп с ограниченным доступом для добавляемой груп-

пы. Использовать параметр членства группы Эта группа является членом

в (This Group Is A Member Of) и указать группу Администраторы (Admi-

• nistrators).

Практические занятия. Делегирование членства с помощью

групповой политики

В приведенных далее у п р а ж н е н и я х предлагается использовать групповую по-

литику д л я д е л е г и р о в а н и я членства группы Администраторы (Administrators).

Вначале необходимо создать объект G P O с параметром политики групп с огра-

ниченным доступом, чтобы в к л ю ч и т ь группу Справка в локальную группу Ад-

министраторы во всех к л и е н т с к и х системах, затем – GPO, который добавляет

группу П о д д е р ж к а NYC в группу Администраторы клиентов в подразделении

NYC. И, наконец, п р о в е р и т ь , что в подразделении NYC обе группы Справка

и Поддержка NYC в к л ю ч е н ы в л о к а л ь н у ю группу администраторов.

Д л я в ы п о л н е н и я у п р а ж н е н и й в домене contoso.com следует создать сле-

дующие объекты:

• подразделение п е р в о г о у р о в н я Администраторы с дочерним подразделе-

нием Группы а д м и н и с т р а т о р о в ;

• глобальную г р у п п у безопасности Справка в дочернем подразделении Груп-

пы а д м и н и с т р а т о р о в п о д р а з д е л е н и я Администраторы;

• глобальную г р у п п у безопасности Поддержка NYC в дочернем подразделе-

нии Группы а д м и н и с т р а т о р о в подразделения Администраторы;

• подразделение первого у р о в н я Клиенты;

• дочернее п о д р а з д е л е н и е NYC в подразделении Клиенты;

• объект к о м п ь ю т е р а D E S K T O P l O l в подразделении NYC.

У п р а ж н е н и е 1. Д е л е г и р о в а н и е администрирования всех клиентов в домене

Создайте G P O с п а р а м е т р о м п о л и т и к и групп с ограниченным доступом, ко-

торый добавляет г р у п п у С п р а в к а в локальную группу Администраторы (Ad-

ministrators) на всех к л и е н т с к и х компьютерах.

1. В консоли Управление групповой политикой (Group Policy Management)

р а з в е р н и т е у з е л Л е с Д о м е н ы c o n t o s o . c o m (ForestDomainscontoso.

com). В ы б е р и т е к о н т е й н е р О б ъ е к т ы групповой политики (Group Policy

Objects).

2. Щелкните правой кнопкой м ы ш и контейнер Объекты групповой политики

и выполните к о м а н д у Создать (New).

3. ]В поле И м я ( N a m e ) введите имя Корпоративная справка и щелкните ОК.

4. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и созданный объект G P O и выполните

команду И з м е н и т ь ( E d i t ) .

' 3 0 0 Параметры групповой политики

Глава 7

5. В редакторе управления групповыми политиками ( G r o u p Policy Mana-

gement Editor) откройте узел Конфигурация к о м п ы о т е р а П о л и т и к и

Конфигурация Win dowsП ар а метр ы безопасностиГруппы с ограничен-

ным доступом (Computer ConfigurationPoliciesWindows SettingsSecurity

SettingsRestricted Groups).

6. Щелкните правой кнопкой мыши узел Группы с ограниченным доступом

и выполните команду Добавить группу (Add Group).

7. Щелкните кнопку Обзор (Browse), в диалоговом окне Выбор: "Группы"

(Select Groups) введите имя группы CONTOSOCnpaem и щелкните ОК.

8. Закроите диалоговое окно Добавление группы (Add Group), щелкнув ОК.

9. Напротив секции Эта группа является членом в (This Group Is A Member

Of) щелкните кнопку Добавить (Add).

10. Введите имя группы Администраторы (Administrators) и щелкните ОК.

Диалоговое окно свойств групповой политики должно выглядеть так, как

показано на рис. 7-2.

11. Вновь щелкните ОК, чтобы закрыть диалоговое окно Свойства ( P r o -

perties).

12. Закройте редактор управления групповыми политиками.

13. В консоли Управление групповой политикой (Group Policy Management)

щелкните правой кнопкой мыши подразделение К л и е н т ы и в ы п о л н и т е

команду Связать существующий объект G P O (Link An Existing G P O ) .

14. Выберите объект групповой политики Корпоративная справка, щелкни-

те ОК.

Упражнение 2. Делегирование администрирования поднабора клиентов

в домене

Создайте объект GPO с параметром политики групп с ограниченным доступом,

который добавляет группу Поддержка NYC в группу Администраторы (Admin-

istrators) на всех клиентских компьютерах в подразделении NYC.

1. В консоли Управление групповой политикой (Group Policy Management)

разверните узел Л есДоменысоп toso.com (ForestDomainscontoso.com).

Выберите контейнер Объекты групповой политики (Group Policy Objects).

2. Щелкните правой кнопкой мыши контейнер Объекты групповой политики

и выполните команду Создать (New).

3. В поле Имя (Name) введите имя Поддержка Ныо-Йорк и щелкните О К .

4. Щелкните правой кнопкой мыши созданный объект G P O и выполните

команду Изменить (Edit).

5. Повторите шаги 5-12 упражнения 1, только в шаге 7 укажите имя группы

CONTOSO Поддержка NYC.

6. В консоли управления групповой политикой щелкните правой кнопкой

мыши подразделение ЮшентыЫУС и выполните команду Связать сущес-

твующий объект GPO (Link An Existing G P O ) .

7. Выберите объект групповой политики Поддержка Ныо-Йорк и щелкните ОК.

Занятие 1

Делегирование и поддержка компьютеров 3Q-)

Упражнение 3. Проверка к у м у л я т и в н о г о п р и м е н е н и я политик членства

группы Member Of

Для создания отчета о д е й с т в у ю щ и х политиках, примененных к компьютеру

или пользователю, используется М о д е л и р о в а н и е групповой политики (Group

Policy Modeling). В этом у п р а ж н е н и и с помощью моделирования групповой

политики убедитесь, что группа Администраторы (Administrators) всех компью-

теров в подразделении NYC содержит обе группы – Справка и Поддержка NYC.

1. В консоли Управление г р у п п о в о й п о л и т и к о й ( G r o u p Policy Management)

разверните узел Л е с ( F o r e s t ) и выберите узел Моделирование групповой

политики ( G r o u p Policy M a n a g e m e n t ) .

2. Щелкните правой к н о п к о й м ы ш и узел Моделирование групповой полити-

ки (Group Policy M o d e l i n g ) и выберите Мастер моделирования групповой

политики ( G r o u p Policy M o d e l i n g Wizard).

3. Щелкните Далее ( N e x t ) .

4. На странице В ы б о р к о н т р о л л е р а д о м е н а ( D o m a i n Controller Selection)

щелкните Далее ( N e x t ) .

5. На странице Выбор п о л ь з о в а т е л я и компьютера (User And Computer Selec-

tion) в секции И н ф о р м а ц и я о компьютере (Computer Information) щелкните

кнопку Обзор ( B r o w s e ) .

6. Разверните домен и п о д р а з д е л е н и е Клиенты, а затем выберите подразде-

ление NYC.

7. Щелкните О К .

8. Установите ф л а ж о к П е р е й т и к последней странице, не собирая дополни-

тельных данных (Skip То T h e Final Page Of This Wizard Without Collecting

Additional Data).

9. Щелкните Далее ( N e x t ) .

10. На странице Сводка в ы б р а н н ы х параметров (Summary Of Selection) щелк-

ните Далее (Next).

11. Щелкните Готово ( F i n i s h ) .

Откроется отчет Моделирование групповой политики (Group Policy Modeling).

12. Перейдите на в к л а д к у П а р а м е т р ы (Settings).

13. Щелкните секцию П а р а м е т р ы безопасности (Security Settings).

14. Щелкните Группы с о г р а н и ч е н н ы м доступом (Restricted Groups).

В списке д о л ж н ы быть п е р е ч и с л е н ы обе группы – Справка и Поддержка

NYC. Политики групп с о г р а н и ч е н н ы м доступом, использующие параметр

Эта группа я в л я е т с я ч л е н о м в (This G r o u p Is A Member Of)> являются ку-

мулятивными. В отчете не указано, что перечисленные группы принадле-

жат группе Администраторы (Administrators). В этом состоит ограничение

отчетности.

Упражнение 4 (по желанию). Проверка членства группы администраторов

Если в вашем тестовом о к р у ж е н и и есть компьютер с именем D E S K T O P l O l ,

являющийся членом домена contoso.com, загрузите этот компьютер, войдите

' 3 0 2 Параметры групповой политики

Глава 7

в систему с помощью учетной записи администратора д о м е н а и о т к р о й т е кон-

соль Управление компьютером ( C o m p u t e r M a n a g e m e n t ) в г р у п п е А д м и н и с т -

рирование (Administrative Tools) панели у п р а в л е н и я . В к о н с о л и У п р а в л е н и е

компьютером разверните узел Л о к а л ь н ы е п о л ь з о в а т е л и и г р у п п ы (Local Users

And Groups), а затем в папке Группы ( G r o u p s ) откройте группу Администрато-

ры (Administrators). В ней д о л ж н ы быть п е р е ч и с л е н ы с л е д у ю щ и е у ч а с т н и к и :

• группа C O N T O S O C n p a B K a , п р и м е н е н н а я о б ъ е к т о м G P O К о р п о р а т и в н а я

справка;

• группа С О М Т О Б О Х П о д д е р ж к а NYC, п р и м е н е н н а я о б ъ е к т о м G P O Под-

держка Ныо-Йорк;

• группа Администраторы домена ( D o m a i n A d m i n s ) , к о т о р а я д о б а в л я е т с я

в группу Администраторы (Administrators) при п р и с о е д и н е н и и компьютера

к домену;

1 локальная учетная запись А д м и н и с т р а т о р ( A d m i n i s t r a t o r ) , по у м о л ч а н и ю

являющаяся членом группы а д м и н и с т р а т о р о в и к о т о р у ю н е л ь з я удалить.

Резюме

• Для делегирования поддержки компьютеров в д о м е н е т р е б у е т с я у п р а в л я т ь

членством групп Администраторы ( A d m i n i s t r a t o r s ) в э т и х системах.

• Объекты G P O , использующие п а р а м е т р ч л е н с т в а г р у п п ы ( M e m b e r O f ) по-

литик групп с ограниченным доступом, могут д о б а в л я т ь д о м е н н ы е г р у п п ы

в локальную группу Администраторы (Administrators). П а р а м е т р ы членства

группы (Member Of) я в л я ю т с я к у м у л я т и в н ы м и , так что в г р у п п у админис-

траторов многие объекты G P O могут д о б а в л я т ь р а з л и ч н ы е г р у п п ы .

• Объект G P O , использующий параметр членства в г р у п п ё " ( M e m b e r s ) поли-

тик групп с ограниченным доступом, м о ж е т о п р е д е л и т ь ч л е н с т в о г р у п п ы

Администраторы (Administrators). П а р а м е т р ы членства в группе ( M e m b e r s )

являются окончательными и а в т о р и т а р н ы м и . Е с л и п р и м е н е н о несколько

объектов G P O , то членство в группе А д м и н и с т р а т о р й о п р е д е л я е т с я л и ш ь

объектом G P O с наивысшим приоритетом.

• •

Закрепление материала

Приведенные далее вопросы предназначены д л я п р о в е р к и знаний, порученных

на занятии 1 (эти вопросы содержатся и на с о п р о в о д и т е л ь н о м компакт-диске).

ПРИМЕЧАНИЕ Ответы

Ответы на зти вопросы с пояснениями, почему тот или иной вариант ответа является

правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.

1. Домен contoso.com содержит объект групповой п о л и т и к и Корпоративная

справка, связанный с подразделением К л и е н т ы , а т а к ж е объект группо-

вой политики Поддержка Сидней, с в я з а н н ы й с д о ч е р й и м подразделением

Сидней в подразделении Клиенты. О б ъ е к т G P O К о р п о р а т и в н а я справка

включает политику групп с ограниченным доступом д л я группы C O N T O -

S O C n p a B K a , которая указывает, что эта группа я в л я е т с я членом группы

Занятие 1

Делегирование и поддержка компьютеров 3Q-)

А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) . О б ъ е к т G P O П о д д е р ж к а Сидней т а к ж е

включает п о л и т и к у г р у п п с о г р а н и ч е н н ы м доступом, которая указывает, что

эта г р у п п а я в л я е т с я ч л е н о м г р у п п ы А д м и н и с т р а т о р ы . Компьютер с именем

D E S K T O P 2 3 4 п р и с о е д и н я е т с я к д о м е н у в п о д р а з д е л е н и и Сидней. Какая

и з с л е д у ю щ и х у ч е т н ы х з а п и с е й б у д е т ч л е н о м г р у п п ы А д м и н и с т р а т о р ы

( A d m i n i s t r a t o r s ) н а к о м п ь ю т е р е D E S K T O P 2 3 4 ? ( У к а ж и т е все варианты.)

A. А д м и н и с т р а т о р ( A d m i n i s t r a t o r ) . ,

Б . А д м и н и с т р а т о р ы д о м е н а ( D o m a i n A d m i n s ) .

B. П о д д е р ж к а С и д н е й . *

Г . С п р а в к а . . . . .

Д . П о л ь з о в а т е л и у д а л е н н о г о р а б о ч е г о с т о л а ( R e m o t e D e s k t o p Users).

2 . Д о м е н c o n t o s o . c o m с о д е р ж и т о б ъ е к т G P O К о р п о р а т и в н а я справка, связан-

н ы й с п о д р а з д е л е н и е ^ К л и е н т ы , а . т а к ж е о б ъ е к т G P O П о д д е р ж к а Сидней,

с в я з а н н ы й с д о ч е р н и м п о д р а з д е л е н и е м С и д н е й в п о д р а з д е л е н и и Клиенты.

О б ъ е к т G P O К о р п о р а т и в н а я с п р а в к а в к л ю ч а е т п о л и т и к у групп с огра-

н и ч е н н ы м д о с т у п о м д л я г р у п п ы А д м и н и с т р а т о р ы (Administrators), где в

п а р а м е т р а Ч л е н ы э т о й » г р у п п ы ( M e m b e r s O f T h i s G r o u p ) у к а з а н а группа

C O N T O S O C n p a B K a . О б ъ е к т G P O П о д д е р ж к а С и д н е й т а к ж е включает

п о л и т и к у г р у п п с о г р а н и ч е н н ы м д о с т у п о м д л я г р у п п ы Администраторы,

где у к а з а н о , ч т о у ч а с т н и к о м э т о й г р у п п ы д о л ж н а б ы т ь г р у п п а C O N T O S O

П о д д е р ж к а С и д н е й . В п о д р а з д е л е н и и С и д н е й к д о м е н у п р и с о е д и н я е т с я

к о м п ь ю т е р D E S K T O P 2 3 4 . К а к а я и з с л е д у ю щ и х у ч е т н ы х з а п и с е й будет

ч л е н о м г р у п п ы А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) н а к о м п ь ю т е р е D E S K -

Т О Р 2 3 4 ? ( У к а ж и т е в с е в а р и а н т ы . )

A . А д м и н и с т р а т о р ( A d m i n i s t r a t o r ) .

Б . А д м и н и с т р а т о р ы д о м е н а ( D o m a i n A d m i n s ) .

B. П о д д е р ж к а С и д н е й .

Г. С п р а в к а .

Д . П о л ь з о в а т е л и у д а л е н н о г о р а б о ч е г о с т о л а ( R e m o t e D e s k t o p Users).

3 . Д о м е н c o n t o s o . c o m с о д е р ж и т о б ъ е к т G P O К о р п о р а т и в н а я справка, связан-

н ы й с п о д р а з д е л е н и е м К л и е н т ы , а т а к ж е о б ъ е к т G P O П о д д е р ж к а Сидней,

с в я з а н н ы й с д о ч е р н и м п о д р а з д е л е н и е м С и д н е й в п о д р а з д е л е н и и Клиенты.

О б ъ е к т G P O К о р п о р а т и в н а я с п р а в к а в к л ю ч а е т п о л и т и к у групп с огра-

н и ч е н н ы м д о с т у п о м д л я г р у п п ы А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) , где в

п а р а м е т р е Ч л е н ы э т о й г р у п п ы ( M e m b e r s O f T h i s G r o u p ) у к а з а н а группа

C O N T O S O C n p a B K a . О б ъ е к т G P O П о д д е р ж к а С и д н е й в к л ю ч а е т политику

групп с о г р а н и ч е н н ы м д о с т у п о м д л я г р у п п ы С О Ы Т 0 5 0 П о д д е р ж к а Сид-

ней, где у к а з а н о , ч т о э т а г р у п п а я в л я е т с я ч л е н о м г р у п п ы Администраторы

( A d m i n i s t r a t o r s ) . В п о д р а з д е л е н и и С и д н е й к д о м е н у п р и с о е д и н я е т с я ком-

пьютер D E S K T O P 2 3 4 . К а к а я и з с л е д у ю щ и х у ч е т н ы х з а п и с е й будет членом

группы А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) н а к о м п ь ю т е р е D E S K T O P 2 3 4 ?

(Укажите все в а р и а н т ы . )

А. А д м и н и с т р а т о р ( A d m i n i s t r a t o r ) .

Б. А д м и н и с т р а т о р ы домена (Domain Admins).

'304 Параметры групповой политики

Глава 7

В. Поддержка Сидней. *

Г. Справка.

Д. Пользователи удаленного рабочего стола ( R e m o t e D e s k t o p Users).

Занятие 2. Управление параметрами безопасности

Безопасность является изначальной областью задач администраторов Windows.

Система Windows Server 2008 содержит м н о г о ч и с л е н н ы е параметры, которые

влияют на запуск служб, открытие портов, р а з р е ш е н и я передачи входящих и

исходящих сетевых пакетов, права и разрешения доступа пользователей, а так-

же аудит активности в системе. Существует огромное количество параметров,

которыми можно управлять, но, к сожалению, у н и в е р с а л ь н о й ф о р м у л ы д л я

применения идеальной конфигурации сервера нет. С о о т в е т с т в у ю щ а я конфи-

гурация безопасности сервера зависит от в ы п о л н я е м ы х им ролей, операцион-

ных систем в среде и политик безопасности, которые сами по себе зависят от

нормативов, принятых вне организации.

Поэтому требуется определить и о т к о н ф и г у р и р о в а т ь п а р а м е т р ы безопас-

ности, необходимые для серверов организации, и*. подготовит*ьоя к управле-

нию этими параметрами путем централизации и о п т и м и з а ц и и к о н ф и г у р а ц и и

безопасности. В Windows Server 2008 предусмотрено н е с к о л ь к о механизмов,

с помощью которых конфигурируются параметры.безопасности-в одной или


    Ваша оценка произведения:

Популярные книги за неделю