|
Структура параметров безопасности
|
bet | 14/91 | Sana | 18.02.2022 | Hajmi | 1,32 Mb. | | #15622 | Turi | Руководство |
Структура параметров безопасности, предлагаемая в настоящей главе, представляет собой начальную точку для сценариев, рассматриваемых далее, а также рекомендации по устранению проблем. В оставшихся разделах главы рассматривается базовая структура безопасности:
структура подразделений политик безопасности;
структура объектов GPO политик безопасности.
Структура безопасности, рассматриваемая в этой главе, основана на подразделениях (OU). Подразделение — это контейнер в рамках домена на основе AD DS. Подразделение может включать в себя пользователей, группы, компьютеры и другие подразделения. Если одно подразделение содержит в себе другие, оно является родительским. Подразделение, содержащееся в родительском, называется дочерним.
К подразделениям можно привязать объекты GPO, и тогда параметры из этих объектов будут применены к пользователям и компьютерам, содержащимся в этом подразделении и его дочерних подразделениях. В целях администрирования можно делегировать административные полномочия каждому из подразделений.
Подразделения позволяют эффективно устанавливать административные границы, группируя пользователей и компьютеры.
Важно Пользователей и компьютеры рекомендуется относить к разным подразделениям, поскольку некоторые параметры безопасности применимы только к пользователям, а некоторые — только к компьютерам.
Контроль над одним или несколькими подразделениями можно делегировать с помощью мастера делегирования в оснастке «Active Directory — пользователи и компьютеры» консоли управления (MMC). В разделе «Дополнительные сведения» в конце этой главы приведены ссылки на документацию по делегированию полномочий.
Одна из ключевых задач при проектировании подразделений — обеспечить фундамент для беспрепятственного внедрения групповых политик, которые должны применяться ко всем компьютерам в AD DS. Благодаря этому обеспечивается соответствие всех компьютеров требуемым стандартам. Кроме того, структура подразделений должна позволять без труда указывать параметры безопасности для отдельных типов пользователей. Например, разработчикам может потребоваться уровень доступа, не нужный обычным пользователям, а у пользователей переносных ПК могут быть иные требования к безопасности, чем у пользователей настольных компьютеров.
На следующем рисунке приведена простая структура подразделений, достаточная для целей этой главы. Эта структура принадлежит конфигурации EC и может не соответствовать требованиям конкретной среды.
|
| |