|
Руководство по безопасности Windows ® 7 Набор средств по управлению соответствием требованиям безопасности
|
| bet | 17/91 | | Sana | 18.02.2022 | | Hajmi | 1.32 Mb. | | #15622 | | Turi | Руководство |
Для структуры подразделений, описанной выше, требуется как минимум 4 объекта GPO, представляющие такие параметры:
параметры политики домена;
параметры политики для подразделения пользователей Windows 7;
параметры политики для подразделения настольных ПК;
параметры политики для подразделения переносных ПК.
На следующем рисунке показанная ранее структура подразделений дополнена связями между ними и объектами GPO.
Рисунок 1.3 Пример структуры подразделений и объектов GPO для компьютеров под управлением Windows 7
В примере на рисунке 1.3 переносные компьютеры входят в подразделение «Переносные компьютеры». В первую очередь в ним применяется их собственная локальная политика безопасности. Поскольку в нашем примере только один сайт, на уровне сайтов объектов GPO нет, так что следующей применяемой политикой становится доменный объект GPO. Наконец, последним применяется объект GPO «Политика переносного ПК».
Примечание Объект Политика настольного ПК не применяется к переносным компьютерам, потому что он не привязан к какому-либо подразделению в иерархии, дочерним звеном которого являлось бы подразделение «Переносные ПК».
Чтобы разобраться с порядком старшинства, рассмотрим пример, в котором параметр Allow logon through Remote Desktop Services (разрешить вход в систему через службы удаленного рабочего стола) необходимо применить к следующим подразделениям и группам пользователей:
подразделение компьютеров с Windows 7 – группа Администраторы;
подразделение переносных ПК – группы Пользователи удаленного рабочего стола и Администраторы.
В этом случае пользователь, чья учетная запись входит в группу Пользователи удаленного рабочего стола, может подключиться к переносному ПК с помощью удаленного рабочего стола, поскольку подразделение переносных ПК является дочерним по отношению к подразделению «Компьютеры с Windows 7», а параметры дочернего подразделения имеют больший приоритет.
Если в объекте GPO для подразделения «Компьютеры с Windows 7» включить параметр политики No Override (не перекрывать), подключиться с помощью удаленного рабочего стола к переносному компьютеру смогут только участники группы Администраторы. Это происходит потому, что параметр No Override не позволяет дочернему подразделению переопределить политику, назначенную ранее.
К этому руководству прилагаются следующие сжатые файлы с расширением ZIP:
Windows7 GPOs.zip
Windows7_BitLocker GPOs.zip
В этих файлах содержатся резервные копии объектов GPO, с помощью которых в консоли GPMC можно быстро создать все необходимые объекты с рекомендуемыми настройками. Чтобы установить консоль GPMC, загрузите Средства удаленного администрирования сервера для Windows 7 с центра загрузок Майкрософт.
|
| |
