Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 88 (всего у книги 91 страниц)

Policy Modeling Wizard) с л у ж и т Для э м у л я ц и и п р и м е н е н и я г р у п п о в о й

политики, а не для создания отчетов о р е а л ь н о м п р и м е н е н и и .

Б. Правильный Мастер результатов г р у п п о в о й п о л и т и к и ( G r o u p Policy

Results Wizard) можно использовать д л я с о з д а н и я отчетов о п р и м е н е н и и

групповой политики в у д а л е н н о й с и с т е м е .

B. Неправильный Утилита Gpupdate.exe с л у ж и т д л я о б н о в л е н и я п о л и -

тики вручную.

Г. Правильный Утилиту Gpresult.exe м о ж н о и с п о л ь з о в а т ь с п е р е к л ю ч а -

телем / в для удаленного сбора и н ф о р м а ц и и RSoP.

Д. Неправильный Утилита Msconfig.exe п р и м е н я е т с я д л я сбора системной

информации и управления з а п у с к о м с и с т е м ы .

2. Правильный ответ: А.

A. Правильный Утилита Gpresult.exe создает отчет RSoP, где у к а з а н о при-

менение объекта G P O . П а р а м е т р ы п о л и т и к и э к р а н н о й з а с т а в к и отно-

сятся к конфигурации п о л ь з о в а т е л я . П о э т о м у н е о б х о д и м о з а п у с т и т ь

команду Gpresult.exe д л я п о л ь з о в а т е л е й .

Б. Н е п р а в и л ь н ы й Д л я к о м а н д ы Gpresult.exe не с у щ е с т в у е т п а р а м е т р а

-computer.

B. Неправильный П а р а м е т р ы э к р а н н о й з а с т а в к и о т н о с я т с я к к о н ф и г у -

рации пользователя, а не компьютера.

Г. Н е п р а в и л ь н ы й Утилита Gpupdate.exe и с п о л ь з у е т с я д л я о б н о в л е н и я

политики, а не для создания отчетов о п р и м е н е н и и п о л и т и к и .

Глава 6. Ответы на вопросы сценария

Сценарий. Реализация групповой политики

1. Параметры, уп равляю щие рабочей средой п о л ь з о в а т е л я , н а х о д я т с я в у з л е

Конфигурация пользователя ( U s e r C o n f i g u r a t i o n ) . -

2. Привяжите объект G P O к подразделению, в к л ю ч а ю щ е м у у ч е б н ы е к о м п ь ю -

теры. Если связать G P O с подразделением, в к л ю ч а ю щ и м п о л ь з о в а т е л е й ,

U I O S T B I

Э Т О

п а р а м е т р ы G P O б у д у т п р и м е н я т ь с я к п о л ь з о в а т е л я м на всех компьютерах

N o r t h w i n d T r a d e r s .

3. Н е о б х о д и м о в к л ю ч и т ь р е ж и м обработки з а м ы к а н и я политики. Если связать

о б ъ е к т G P O с п о д р а з д е л е н и е м , в к о т о р о е в х о д я т учебные компьютеры,

и в к л ю ч и т ь р е ж и м о б р а б о т к и з а м ы к а н и я , к компьютерам в учебных ауди-

т о р и я х б у д у т п р и м е н я т ь с я п а р а м е т р ы в узле К о н ф и г у р а ц и я пользователя

( U s e r C o n f i g u r a t i o n ) о б ъ е к т а G P O .

4. О б р а б о т к у з а м ы к а н и я п о л и т и к и необходимо включить в режиме замены.

В э т о м р е ж и м е и г н о р и р у ю т с я п о л ь з о в а т е л ь с к и е параметры в объекте G P O ,

п р и м е н я е м о м к п о л ь з о в а т е л ю . Б у д у т действовать только пользовательские

п а р а м е т р ы о б ъ е к т о в G P O , п р и м е н я е м ы х к компьютеру.

5. К о м п ь ю т е р ы у ч е б н о й а у д и т о р и и н е о б х о д и м о и с к л ю ч и т ь из области дейс-

т в и я о б ъ е к т а G P O с. п а р а м е т р а м и э к р а н н о й заставки. Это можно сделать

д в у м я с п о с о б а м и . Вы м о ж е т е б л о к и р о в а т ь наследование в подразделении,

содержащем– к о м п ь ю т е р ы из у ч е б н о й аудитории. В качестве альтернативы

м о ж н о и с п о л ь з о в а т ь ф и л ь т р ы г р у п п безопасности .в объекте G P O домена.

С о з д а й т е группу, с о д е р ж а щ у ю к о м п ь ю т е р ы из учебной аудитории, и запре-

т и т е д л я э т о й г р у п п ы п р и м е н е н и е групповой политики ( D e n y Apply Group

P o l i c y ) о б ъ е к т а G P O э к р а н н о й заставки.

Глава 7. Ответы на вопросы занятий

Занятие 1

1. Правильные ответы: А, Б, В и Г.

A . П р а в и л ь н ы й Л о к а л ь н а я у ч е т н а я запись Администратор (Administra-

t o r ) по у м о л ч а н и ю в х о д и т в группу Администраторы (Administrators).

Е е н е л ь з я у д а л и т ь .

Б. П р а в и л ь н ы й Группа А д м и н и с т р а т о р ы домена ( D o m a i n Admins) до-

б а в л я е т с я в г р у п п у А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) в процессе при-

с о е д и н е н и я к о м п ь ю т е р а к домену. П а р а м е т р ы п о л и т и к и Ч л е н групп

( M e m b e r O f ) д о б а в л я ю т у к а з а н н ы е г р у п п ы в группу Администраторы

и не у д а л я ю т с у щ е с т в у ю щ и х членов.

B. П р а в и л ь н ы й Группа П о д д е р ж к а С и д н е й добавляется в группу Адми-

н и с т р а т о р ы ( A d m i n i s t r a t o r s ) объектом групповой политики Поддержка

С и д н е й . П а р а м е т р ы п о л и т и к и Ч л е н групп ( M e m b e r Of) добавляют ука-

з а н н ы е г р у п п ы в г р у п п у А д м и н и с т р а т о р ы и не удаляют существующих

ч л е н о в .

Г. П р а в и л ь н ы й Группа С п р а в к а д о б а в л я е т с я в группу Администраторы

( A d m i n i s t r a t o r s ) о б ъ е к т о м групповой политики Корпоративная справка.

П а р а м е т р ы п о л и т и к и Ч л е н г р у п п ( M e m b e r O f ) добавляют указанные

г р у п п ы в г р у п п у А д м и н и с т р а т о р ы , не у д а л я я существующих членов.

Д. Н е п р а в и л ь н ы й Группа П о л ь з о в а т е л и удаленного рабочего стола (Re-

m o t e D e s k t o p Users) по у м о л ч а н и ю не входит в состав группы Админис-

т р а т о р ы ( A d m i n i s t r a t o r s ) и не д о б а в л я е т с я в группу администраторов

о б ъ е к т а м и G P O .

3 0 з а к . 3 3 9 9

Ответы

П р а в и л ь н ы е о т в е т ы : А и В.

A . П р а в и л ь н ы й Л о к а л ь н а я у ч е т н а я з а п и с ь А д м и н и с т р а т о р ( A d m i n i s t r a -

tor) по у м о л ч а н и ю в х о д и т в г р у п п у А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) .

Ее нельзя удалить.

Б . Н е п р а в и л ь н ы й Группа А д м и н и с т р а т о р ы д о м е и а ( D o m a i n A d m i n s )

д о б а в л я е т с я в г р у п п у А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) п р н п р и с о -

единении компьютера к домену, но о н а у д а л я е т с я о б ъ е к т о м г р у п п о в о й

политики Поддержка Сидней, к о т о р ы й н а з н а ч а е т п о л н о м о ч н о е ч л е н с т в о

в группе.

B. Правильный Группа П о д д е р ж к а С и д н е й д о б а в л я е т с я в г р у п п у А д м и -

нистраторы ( A d m i n i s t r a t o r s ) о б ъ е к т о м г р у п п о в о й п о л и т и к и П о д д е р ж к а

Сидней.

Г. Н е п р а в и л ь н ы й Группу С п р а в к а в г р у п п у А д м и н и с т р а т о р ы ( A d m i n i -

strators) включает объект г р у п п о в о й п о л и т и к и К о р п о р а т и в н а я с п р а в -

ка, н о приоритет о б ъ е к т а G P O П о д д е р ж к а С и д н е й в ы ш е , п о с к о л ь к у

о н связан с подразделением, с о д е р ж а щ и м к о м п ь ю т е р D E S K T O P 2 3 4 .

Поэтому полномочным будет ч л е н с т в о , у к а з а н н о е в п а р а м е т р е Ч л е н ы

этой группы ( M e m b e r s O f T h i s G r o u p ) о б ъ е к т а г р у п п о в о й п о л и т и к и

Поддержка Сидней.

Д . Н е п р а в и л ь н ы й Группа П о л ь з о в а т е л и у д а л е н н о г о р а б о ч е г о с т о л а ( R e -

mote Desktop Users) по у м о л ч а н и ю не в х о д и т в г р у п п у А д м и н и с т р а т о р ы

(Administrators) и не д о б а в л я е т с я в э т у г р у п п у о б ъ е к т а м и G P O .

Правильные о т в е т ы : А, В и Г.

A . Правильный Л о к а л ь н а я у ч е т н а я з а п и с ь А д м и н и с т р а т о р ( A d m i n i s t r a -

tor) по у м о л ч а н и ю в х о д и т в г р у п п у А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) .

Ее нельзя удалить.

Б . Н е п р а в и л ь н ы й Группа А д м и н и с т р а т о р ы д о м е и а ( D o m a i n A d m i n s )

д о б а в л я е т с я в г р у п п у А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) п р и п р и с о -

единении компьютера к домену, но о н а у д а л я е т с я о б ъ е к т о м г р у п п о в о й

политики Корпоративная справка, к о т о р ы й у к а з ы в а е т ч л е н с т в о в г р у п п е

администраторов с п о м о щ ь ю п а р а м е т р а Ч л е н ы э т о й г р у п п ы ( M e m b e r s

Of This Group).

B. П р а в и л ь н ы й Группа П о д д е р ж к а С и д н е й д о б а в л я е т с я в г р у п п у А д м и -

нистраторы ( A d m i n i s t r a t o r s ) о б ъ е к т о м г р у п п о в о й п о л и т и к и П о д д е р ж к а

Сидней. П о с к о л ь к у п р и о р и т е т о б ъ е к т а G P O П о д д е р ж к а С и д н е й в ы ш е ,

чем объекта К о р п о р а т и в н а я с п р а в к а , о б ъ е к т П о д д е р ж к а С и д н е й п р и -

меняется к к о м п ь ю т е р у D E S K T O P 2 3 4 п о с л е К о р п о р а т и в н о й с п р а в к и .

Поэтому в г р у п п у а д м и н и с т р а т о р о в д о б а в л я ю т с я ч л е н ы , у к а з а н н ы е

в объекте г р у п п о в о й п о л и т и к и П о д д е р ж к а С и д н е й .

Г. П р а в и л ь н ы й Группа С п р а в к а н а з н а ч а е т с я ч л е н о м г р у п п ы А д м и н и с т -

раторы ( A d m i n i s t r a t o r s ) о б ъ е к т о м г р у п п о в о й п о л и т и к и К о р п о р а т и в н а я

справка. В п р о ц е с с е п р и м е н е н и я э т о г о о б ъ е к т а G P O у д а л я ю т с я все

остальные ч л е н ы г р у п п ы А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) , з а и с к л ю -

чением самой учетной з а п и с и А д м и н и с т р а т о р ( A d m i n i s t r a t o r ) .

Д. Н е п р а в и л ь н ы й Группа П о л ь з о в а т е л и удаленного рабочего стола (Re-

m o t e D e s k t o p U s e r s ) по у м о л ч а н и ю не входит в группу Администраторы

( A d m i n i s t r a t o r s ) и не д о б а в л я е т с я в эту группу объектами G P O .

Занятие 2

1 . П р а в и л ь н ы й о т в е т : Б .

A . Н е п р а в и л ь н ы й Л о к а л ь н а я п о л и т и к а б е з о п а с н о с т и (Local Security

P o l i c y ) п о з в о л я е т к о н ф и г у р и р о в а т ь п а р а м е т р ы на одном сервере.

Б. П р а в и л ь н ы й И н с т р у м е н т А н а л и з и настройка безопасности (Security

C o n f i g u r a t i o n A n d Analysis) м о ж н о использовать д л я сравнения конфи-

г у р а ц и и т е с т о в о й с р е д ы с ш а б л о н о м , к о р р е к т и р о в к и несоответствий

и э к с п о р т а п о л у ч е н н ы х п а р а м е т р о в в шаблон безопасности. Затем этот

ш а б л о н б е з о п а с н о с т и м о ж н о и м п о р т и р о в а т ь в объект G P O .

B . Н е п р а в и л ь н ы й М а с т е р н а с т р о й к и безопасности (Security Configura-

t i o n W i z a r d ) н е у п р а в л я е т п р а в а м и пользователей.

Г. Н е п р а в и л ь н ы й С п о м о щ ь ю оснастки Ш а б л о н ы безопасности (Security

T e m p l a t e s ) м о ж н о с о з д а т ь ш а б л о н безопасности, но нельзя экспортиро-

в а т ь п а р а м е т р ы с е р в е р а в тестовой среде. Лучше всего использовать для

этого и н с т р у м е н т А н а л и з и настройка безопасности (Security Configura-

t i o n A n d Analysis).

2 . П р а в и л ь н ы й о т в е т : В .

A . Н е п р а в и л ь н ы й Л о к а л ь н а я п о л и т и к а безопасности (Local Security

P o l i c y ) п о з в о л я е т к о н ф и г у р и р о в а т ь параметры на одном сервере.

Б. Н е п р а в и л ь н ы й И н с т р у м е н т Анализ и настройка безопасности (Security

C o n f i g u r a t i o n And Analysis) позволяет создавать шаблоны безопасности,

к о т о р ы е м о ж н о и м п о р т и р о в а т ь в объект G P O , однако это средство не

и с п о л ь з у е т р о л е в о й п р и н ц и п . Л у ч ш е всего использовать Мастер на-

с т р о й к и б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n Wizard).

B . П р а в и л ь н ы й М а с т е р н а с т р о й к и б е з о п а с н о с т и ( S e c u r i t y Configura-

t i o n W i z a r d ) создает п о л и т и к и безопасности на основе ролей, которые

у п р а в л я ю т с л у ж б а м и , п р а в и л а м и брандмауэра и политиками аудита,

а т а к ж е о п р е д е л е н н ы м и п а р а м е т р а м и реестра.

Г. Н е п р а в и л ь н ы й С п о м о щ ь ю оснастки Ш а б л о н ы безопасности (Security

T e m p l a t e s ) м о ж н о с о з д а в а т ь ш а б л о н ы безопасности и импортировать

их в о б ъ е к т G P O , но этот и н с т р у м е н т не использует ролевой принцип.

Л у ч ш е всего п р и м е н я т ь м а с т е р настройки безопасности.

3. П р а в и л ь н ы е о т п е т ы : А и Г.

A. П р а в и л ь н ы й К о м а н д а Scwcmd.exe /transform создает объект G P O ,

в к л ю ч а ю щ и й п а р а м е т р ы в у к а з а н н о й п о л и т и к е безопасности.

Б. Н е п р а в и л ь н ы й Вам не н у ж н о создавать объект G P O , так как команда

Scwcmd.exe а в т о м а т и ч е с к и в ы п о л н я е т это.

B. Н е п р а в и л ь н ы й Не н у ж н о и м п о р т и р о в а т ь в объект G P O параметры

п о л и т и к и б е з о п а с н о с т и . О д н а к о вы можете в G P O импортировать па-

р а м е т р ы и з ш а б л о н а безопасности.

I 9 0 8

Ответы

Г. Правильный С о з д а н н ы й объект G P O н е о б х о д и м о с в я з а т ь с соответс-

твующим узлом, д о м е н о м и л и п о д р а з д е л е н и е м п е р е д п р и м е н е н и е м его

параметров к компьютерам в этом к о н т е й н е р е .

Занятие 3

1. Правильные ответы: Б и Г.

A. Неправильный Ц е л ь состоит в р а з в е р т ы в а н и и п р и л о ж е н и я д л я ком-

пьютеров, а не пользователей. П о э т о м у п р о г р а м м н ы й пакет н у ж н о со-

здать не в узле К о н ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r C o n f i g u r a t i o n ) .

Б . Правильный Ч т о б ы р а з в е р н у т ь п р и л о ж е н и е д л я к о м п ь ю т е р о в , про-

граммный пакет необходимо создать в у з л е К о н ф и г у р а ц и я компьютера

(Computer Configuration) объекта G P O .

B. Неправильный Р а с ш и р е н и е д л я у с т а н о в к и п р и л о ж е н и я не п р и м е н я е т

параметры, обнаружив медленное п о д к л ю ч е н и е . П о с к о л ь к у п р и л о ж е н и е

развертывается д л я к о м п ь ю т е р о в , а не д л я п о л ь з о в а т е л е й , н а с т р о й к а

скорости подключения в узле К о н ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r C o n -

figuration) не изменит скорость п о д к л ю ч е н и я 500 к б и т / с по у м о л ч а н и ю

в узле Конфигурация к о м п ь ю т е р а ( C o m p u t e r C o n f i g u r a t i o n ) . С к о р о с т ь

подключения и з ф и л и а л а м е н ь ш е 500 к б и т / с , п о э т о м у п р и л о ж е н и е н е

будет установлено на к о м п ь ю т е р а х в э т о м ф и л и а л е .

Г. Правильный Р а с ш и р е н и е д л я у с т а н о в к и п р и л о ж е н и я не п р и м е н я е т

параметры, о б н а р у ж и в м е д л е н н о е п о д к л ю ч е н и е . И з м е н и в п о р о г о в о е

значение медленного п о д к л ю ч е н и я на 256 к б и т / с , вы г а р а н т и р у е т е , что

клиенты в ф и л и а л е со с к о р о с т ь ю п о д к л ю ч е н и я 364 к б и т / с о п р е д е л я т

подключение как быстрое и п р и л о ж е н и е будет у с т а н о в л е н о . н а компью-

терах филиала.

Д . Неправильный Р а с ш и р е н и е д л я у с т а н о в к и п р и л о ж е н и я н е п р и м е н я е т

параметры, обнаружив медленное п о д к л ю ч е н и е . С к о р о с т ь п о д к л ю ч е н и я

из филиала менее 1000 к б и т / с , п о э т о м у п р и л о ж е н и е не будет установ-

лено на компьютерах ф и л и а л а .

2. Правильные ответы: А и Г.

A. Правильный Вам н у ж н о р а з в е р н у т ь п р и л о ж е н и е д л я п о л ь з о в а т е л е й ,

поэтому программный пакет н е о б х о д и м о с о з д а т ь в у з л е К о н ф и г у р а ц и я

пользователя (User Configuration) объекта G P O . З а т е м этот объект G P O

следует применить т о л ь к о к п о л ь з о в а т е л я м о т д е л а п р о д а ж . П о с к о л ь к у

все пользователи в к л ю ч е н ы в одно п о д р а з д е л е н и е , н е о б х о д и м о создать

группу безопасности д л я ф и л ь т р а ц и и о б ъ е к т а G P O .

Б . Н е п р а в и л ь н ы й О б л а с т ь д е й с т в и я о б ъ е к т а G P O н а з н а ч е н а н е к о р -

ректно. В подразделении П р о д а ж и к а ж д о г о у з л а с у щ е с т в у ю т т о л ь к о

пользователи. В стандартном р е ж и м е о б р а б о т к и г р у п п о в о й п о л и т и к и

компьютеры не будут обрабатывать п а р а м е т р ы в у з л е К о н ф и г у р а ц и я

пользователя (User C o n f i g u r a t i o n ) .

B. Неправильный П р и л о ж е н и е н е о б х о д и м о р а з в е р н у т ь д л я пользовате-

лей. Политики в узле К о н ф и г у р а ц и я компьютеров ( C o m p u t e r Configura-

tion) применяются только к к о м п ь ю т е р а м . П о с к о л ь к у в группе продаж

нет компьютеров, эта п о л и т и к а п р и м е н я т ь с я не будет.

Ответы 9 0 9

Г. П р а в и л ь н ы й Е с л и компьютер отконфигурировать и режиме обработки

з а м ы к а н и я п о л и т и к и , к нему будут п р и м е н я т ь с я параметры политик в

у з л е К о н ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r Configuration) объектов G P O ,

в область д е й с т в и я которых подпадает этот компьютер. Объект G P O при-

в я з а н к п о д р а з д е л е н и ю Продажи. П р и использовании режима обработки

з а м ы к а н и я п о л и т и к и п р о г р а м м н ы й пакет в узле Конфигурация поль-

з о в а т е л я ( U s e r C o n f i g u r a t i o n ) будет устанавливаться н а компьютерах.

3. П р а в и л ь н ы е о т в е т ы : А, В, Г и Д.

A. П р а в и л ь н ы й О б ъ е к т G P O д л я развертывания программы должен при-

м е н я т ь с я ко всем п о л ь з о в а т е л я м в четырех филиалах. Хотя объект G P O

м о ж н о с в я з а т ь с к а ж д ы м из четырех выбранных филиалов, это не было

п р е д л о ж е н о .

Б. Н е п р а в и л ь н ы й П р е ж д е чем з а п у с к а т ь приложение, его следует пол-

н о с т ь ю у с т а н о в и т ь . П р и п у б л и к а ц и и п р и л о ж е н и я пользователь дол-

ж е н у с т а н о в и т ь его с п о м о щ ь ю инструмента Программы и компоненты

( P r o g r a m s And F e a t u r e s ) на п а н е л и у п р а в л е н и я Windows Server 2008

и W i n d o w s V i s t a , и л и Установка и удаление программ ( A d d / R e m o v e

P r o g r a m s ) н а п а н е л и у п р а в л е н и я W i n d o w s ХР.

B. П р а в и л ь н ы й Ч т о б ы п р и л о ж е н и е было полностью установлено перед

его о т к р ы т и е м п о л ь з о в а т е л е м , необходимо выбрать опцию Устанавли-

в а т ь э т о п р и л о ж е н и е п р и входе в систему (Install This Application At

L o g o n ) . В п р о т и в н о м с л у ч а е п р и л о ж е н и е будет установлено при его

п е р в о м з а п у с к е п о л ь з о в а т е л е м и л и открытии файла типа, связанного

с э т и м п р и л о ж е н и е м .

Г. П р а в и л ь н ы й Теневая группа включает пользователей на основе такой

х а р а к т е р и с т и к и , к а к подразделение, в котором существует учетная за-

п и с ь п о л ь з о в а т е л я . П о с к о л ь к у объект G P O привязан к подразделению

С л у ж а щ и е , его н е о б х о д и м о фильтровать с помощью группы безопас-

н о с т и , в к л ю ч а ю щ е й п о л ь з о в а т е л е й в четырех филиалах.

Д. П р а в и л ь н ы й Ч т о б ы п р и л о ж е н и е было полностью установлено перед I

его п е р в ы м з а п у с к о м пользователем, необходимо назначить установку

п р и л о ж е н и я .

Е. Н е п р а в и л ь н ы й О п ц и я Обязательное обновление для уже установлен-

н ы х п р и л о ж е н и й (Required Upgrade For Existing Packages) используется

т о л ь к о в с ц е н а р и я х о б н о в л е н и я .

Занятие 4

1. П р а в и л ь н ы й о т в е т : Г.

A. Н е п р а в и л ь н ы й Аудит с о б ы т и й входа с л у ж и т д л я захвата данных ло-

кального интерактивного и сетевого входа на рабочие станции и серверы.

Б. Н е п р а в и л ь н ы й Аудит доступа к службе каталогов используется для

м о н и т о р и н г а и з м е н е н и й объектов и атрибутов в Active Directory.

B. Н е п р а в и л ь н ы й Аудит и с п о л ь з о в а н и я привилегий связан с выполне-

н и е м п р о г р а м м и з а в е р ш е н и е м их работы.

Ответы

Г . П р а в и л ь н ы й Аудит с о б ы т и й в х о д а у ч е т н о й з а п и с и с о з д а е т с о б ы т и я

п р и п о п ы т к а х п о л ь з о в а т е л я в о й т и с п о м о щ ь ю у ч е т н о й з а п и с и п о л ь з о -

вателя д о м е н а на л ю б о й к о м п ь ю т е р в д о м е н е .

Д . Неправильный Аудит у п р а в л е н и я у ч е т н ы м и з а п и с я м и с о з д а е т с о б ы -

тия, с в я з а н н ы е с созданием, у д а л е н и е м и м о д и ф и к а ц и е й п о л ь з о в а т е л е й ,

компьютеров и групп в A c t i v e D i r e c t o r y .

Правильный ответ: Б.

A . Н е п р а в и л ь н ы й Аудит у п р а в л е н и я у ч е т н ы м и з а п и с я м и с о з д а е т с о б ы -

тия, с в я з а н н ы е с созданием, у д а л е н и е м и м о д и ф и к а ц и е й п о л ь з о в а т е л е й ,

компьютеров и групп в A c t i v e D i r e c t o r y , но он не о т о б р а ж а е т п р е д ы д у -

щие и и з м е н е н н ы е з н а ч е н и я а т р и б у т о в .

Б. Правильный С п о м о щ ь ю к о м а н д ы Auditpol.exe м о ж н о в к л ю ч и т ь а у д и т

изменений с л у ж б ы каталогов, к о т о р ы й з а п и с ы в а е т с в е д е н и я о б и з м е н е -

ниях, внесенных в а т р и б у т ы , к а к о п р е д е л е н о в с п и с к а х S A C L о б ъ е к т о в

Active Directory. В з а п и с и ж у р н а л а с о б ы т и й в к л ю ч а ю т с я п р е д ы д у щ и е

и и з м е н е н н ы е з н а ч е н и я а т р и б у т о в .

B. Неправильный Аудит и с п о л ь з о в а н и я п р и в и л е г и й с в я з а н с в ы п о л н е -

нием программ и з а в е р ш е н и е м их р а б о т ы .

Г. Н е п р а в и л ь н ы й Аудит д о с т у п а к с л у ж б е к а т а л о г о в о т с л е ж и в а е т и з -

менения о б ъ е к т о в и а т р и б у т о в в A c t i v e D i r e c t o r y , но не р е г и с т р и р у е т

п р е д ы д у щ и е и и з м е н е н н ы е з н а ч е н и я а т р и б у т о в .

Правильные ответы: Д , Е , Ж .

A . Н е п р а в и л ь н ы й В ы о т к о н ф и г у р и р о в а л и р а з р е ш е н и я с з а п р е т о м д о -

ступа д л я к о н с у л ь т а н т о в . П о э т о м у а у д и т у с п е ш н ы х п о п ы т о к д о с т у п а

вестись не будет.

Б . Н е п р а в и л ь н ы й С о б ы т и я д о с т у п а к ф а й л о в о й с и с т е м е б у д у т р е г и с т -

р и р о в а т ь с я на ф а й л о в ы х с е р в е р а х , а не к о н т р о л л е р а х д о м е н а .

B . Н е п р а в и л ь н ы й П о л и т и к а а у д и т а д о с т у п а к с л у ж б е к а т а л о г о в с в я з а н а

с и з м е н е н и я м и о б ъ е к т о в в A c t i v e D i r e c t o r y , а не с п а п к о й в д и с к о в о й

подсистеме.

Г. Н е п р а в и л ь н ы й П а р а м е т р п о л и т и к и а у д и т а д о л ж е н п р и м е н я т ь с я к ф а й -

л о в ы м серверам, а не к о н т р о л л е р а м д о м е н а .

Д . П р а в и л ь н ы й Н а ф а й л о в ы х с е р в е р а х н е о б х о д и м о в к л ю ч и т ь а у д и т до-

ступа к объектам. О б ъ е к т г р у п п о в о й п о л и т и к и К о н ф и г у р а ц и я с е р в е р а

п р и м е н я е т с я к о всем ф а й л о в ы м с е р в е р а м .

Е. П р а в и л ь н ы й С о б ы т и я д о с т у п а к ф а й л о в о й с и с т е м е р е г и с т р и р у ю т с я

в ж у р н а л е Б е з о п а с н о с т ь ( S e c u r i t y ) к а ж д о г о ф а й л о в о г о с е р в е р а .

Ж . П р а в и л ь н ы й Э л е м е н т ы а у д и т а н е о б х о д и м о о т к о н ф и г у р и р о в а т ь в п а п -

к е К о н ф и д е н ц и а л ь н ы е д а н н ы е . О ш и б к и а у д и т а п о л н о г о д о с т у п а ( F u l l

C o n t r o l ) с о з д а ю т с о б ы т и я а у д и т а д л я о ш и б к и л ю б о г о т и п а д о с т у п а .

Ответы 9-| •[

Глава 7. Ответы на вопросы сценариев

Сценарий 1. Установка программного обеспечения

с помощью групповой политики

1. П а к е т д л я п р и л о ж е н и я н е о б х о д и м о с о з д а т ь в узле К о н ф и г у р а ц и я ком-

п ь ю т е р а ( C o m p u t e r C o n f i g u r a t i o n ) , чтобы п р и л о ж е н и е устанавливалось на

к о м п ь ю т е р а х в м о б и л ь н о м о т д е л е продаж. Если пакет создать в узле Кон-

ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r C o n f i g u r a t i o n ) , приложение будет связано

с п о л ь з о в а т е л я м и и будет у с т а н о в л е н о на всех компьютерах, куда входят

п о л ь з о в а т е л и , в к л ю ч а я к о м п ь ю т е р ы в конференц-зале.

2. П о с к о л ь к у п а к е т д л я п р и л о ж е н и я создается в узле Конфигурация компью-

т е р а ( C o m p u t e r C o n f i g u r a t i o n ) , о п ц и я п у б л и к а ц и и будет недоступна. Бу-

д у т д о с т у п н ы л и ш ь о п ц и и Н а з н а ч е н н ы й (Assign) и Особый (Advanced).

Д л я с в я з и т р а н с ф о р м а ц и и с п а к е т о м следует выбрать особый тип развер-

т ы в а н и я .

3. О б ъ е к т G P O р а з в е р т ы в а е т п р и л о ж е н и е в узле Конфигурация компьютера

( C o m p u t e r C o n f i g u r a t i o n ) , п о э т о м у в область действия G P O необходимо

в к л ю ч и т ь к о м п ь ю т е р ы . О б ъ е к т G P O м о ж н о связать с доменом или под-

р а з д е л е н и е м К л и е н т ы , в к о т о р о м находятся все клиентские компьютеры.

О б ъ е к т G P O н у ж н о ф и л ь т р о в а т ь д л я п р и м е н е н и я только к компьютерам

в м о б и л ь н о м о т д е л е п р о д а ж . Д л я этого следует создать глобальную груп-

пу б е з о п а с н о с т и , в к л ю ч а ю щ у ю все компьютеры, а затем с помощью этой

г р у п п ы ф и л ь т р о в а т ь G P O . В ы т а к ж е д о л ж н ы удалить группу Прошедшие

п р о в е р к у ( A u t h e n t i c a t e d Users), к о т о р о й по умолчанию назначено разре-

ш е н и е П р и м е н я т ь г р у п п о в у ю п о л и т и к у (Apply Group Policy).

Сценарий 2. Настройка безопасности

1. Д о б а в ь т е э л е м е н т а у д и т а н е у д а ч н ы х п о п ы т о к доступа группы Все (Every-

o n e ) к п а п к е на у р о в н е П о л н ы й доступ (Full Control), включающий все

о с т а л ь н ы е у р о в н и доступа. Второй элемент аудита должен выполнять аудит

у д а ч н ы х п о п ы т о к доступа группы Администраторы (Administrators) к папке

на у р о в н е П о л н ы й д о с т у п д л я сбора д а н н ы х о действиях на всех уровнях

д о с т у п а .

2. П о л и т и к и о г р а н и ч е н и я групп п о з в о л я ю т управлять членством в группах.

П а р а м е т р п о л и т и к и о г р а н и ч е н и я д л я группы Администраторы (Adminis-

t r a t o r s ) д о л ж е н у к а з ы в а т ь в качестве членов этой группы вашу учетную

з а п и с ь и у ч е т н у ю з а п и с ь вице-президента по кадрам. Речь идет о параметре

п о л и т и к и Ч л е н ы э т о й г р у п п ы ( M e m b e r s ) . О н перечисляет полномочных

д е й с т в и т е л ь н ы х членов у к а з а н н о й группы. Учетную запись Администратор

( A d m i n i s t r a t o r ) н е л ь з я удалить из группы Администраторы (Administrators).

3. Н е о б х о д и м о в к л ю ч и т ь политики аудита доступа к объектам и использования

п р и в и л е г и й . Аудит доступа к объектам следует определить для регистрации

I 9 1 2 Ответы

событий успеха и отказа, п о с к о л ь к у э л е м е н т ы а у д и т а в п а п к е Ж а л о в а н и е

регистрируют успех и отказ в доступе. Аудит и с п о л ь з о в а н и я п р и в и л е г и й

необходимо определить д л я аудита успеха, чтобы з а п и с ы в а т ь с о б ы т и я сме-

ны владельца папки членом г р у п п ы А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) .

4. Д л я управления конфигурацией из семи с е р в е р о в м о ж н о и с п о л ь з о в а т ь шаб-

лоны безопасности, которые создаются в о д н о й с и с т е м е с п о м о щ ь ю оснастки

Шаблоны безопасности (Security Templates), и м п о р т и р о в а т ь в базу данных,

а затем применить к серверам п о с р е д с т в о м о с н а с т к и А н а л и з и н а с т р о й к а

безопасности (Security C o n f i g u r a t i o n And Analysis).

5. Параметры п о л и т и к и в о б ъ е к т а х г р у п п о в о й п о л и т и к и A c t i v e D i r e c t o r y

могут заменить ваши п а р а м е т р ы б е з о п а с н о с т и , п о с к о л ь к у о б ъ е к т ы G P O

домена заменяют к о н ф и г у р а ц и ю л о к а л ь н ы х о б ъ е к т о в G P O . С п о м о щ ь ю

отчетов R S o P ( R e s u l t a n t Set of Policy) м о ж н о о с у щ е с т в л я т ь м о н и т о р и н г

конфигурации сервера, в ы я в л я я п а р а м е т р ы в о б ъ е к т а х G P O д о м е н а , кон-

фликтующих с требуемой к о н ф и г у р а ц и е й . С п о м о щ ь ю о с н а с т к и А н а л и з и

настройка безопасности (Security C o n f i g u r a t i o n And Analysis) м о ж н о т а к ж е

сравнивать к о н ф и г у р а ц и ю сервера с ш а б л о н о м б е з о п а с н о с т и .

Глава 8. Ответы на вопросы занятий

Занятие 1

1. Правильные ответы: В, Г и Д.

A . Н е п р а в и л ь н ы й П о л и т и к и п а р о л е й в о б ъ е к т е г р у п п о в о й п о л и т и к и

Default Domain Policy о п р е д е л я ю т п о л и т и к и д л я всех п о л ь з о в а т е л е й

в домене, а не т о л ь к о д л я п о д р а з д е л е н и я Service A c c o u n t s .

Б. Н е п р а в и л ь н ы й О б ъ е к т ы P S O м о ж н о с в я з а т ь с г р у п п а м и и п о л ь з о в а -

телями, но нельзя с в я з а т ь с п о д р а з д е л е н и я м и .

B. Правильный О б ъ е к т ы P S O м о ж н о с в я з а т ь с г р у п п а м и . П о э т о м у необ-

ходимо создать группу, в к л ю ч а ю щ у ю п о д р а з д е л е н и е Service A c c o u n t s .

Г. Правильный Объект P S O н е о б х о д и м о п р и м е н и т ь к г р у п п е Service Ac-

counts. В противном случае п а р а м е т р ы в P S O не б у д у т п р и м е н я т ь с я .

Д. Правильный О б ъ е к т ы P S O м о ж н о с в я з а т ь с г р у п п а м и . П о э т о м у необ-

ходимо создать группу, в к л ю ч а ю щ у ю п о д р а з д е л е н и е Service Accounts.

2. Правильный ответ: Г.

A. Н е п р а в и л ь н ы й П а р а м е т р п о л и т и к и П р о д о л ж и т е л ь н о с т ь б л о к и р о в к и

учетной записи ( A c c o u n t Lockout D u r a t i o n ) з а д а е т с я в м и н у т а х . Этот

параметр блокирует у ч е т н у ю з а п и с ь на 100 м и н , п о с л е чего о н а авто-

матически разбл ок ируе т ся .

Б . Н е п р а в и л ь н ы й П а р а м е т р п о л и т и к и П р о д о л ж и т е л ь н о с т ь б л о к и р о в к и

учетной записи ( A c c o u n t L o c k o u t D u r a t i o n ) з а д а е т с я в м и н у т а х . Этот