Создание объекта групповой политики
1. В дереве консоли управления групповой политикой (GPMC) правой кнопкой мыши щелкните Объекты групповой политики в лесу и домене, в которых нужно создать объект групповой политики.
2. Нажмите кнопку Создать.
3. В диалоговом окне Новый объект групповой политики укажите имя для нового объекта групповой политики и нажмите кнопку ОК.
Изменение объекта групповой политики
1. В дереве консоли дважды щелкните узел Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики.
2. Правой кнопкой мыши щелкните GPO и выберите команду Изменить.
3. В дереве консоли измените параметры должным образом.
15. Шаблоны безопасности, назначение. Примеры шаблонов. Инструменты управления политиками безопасности.
аблоны безопасности (security template) позволяют централизованно управлять параметрами безопасности на рабочих станциях и серверах. Они используются для применения к отдельным компьютерам заданных наборов параметров групповой политики, связанных с безопасностью. Эти наборы затрагивают, в основном, следующие политики:
• Политики учетных записей Безопасность паролей, блокировка учетных записей и Kerberos.
• Локальные политики Аудит, назначение прав пользователей и другие параметры безопасности.
• Политики журнала событий Безопасность журнала событий.
• Политики групп с ограниченным доступомАдминистрирование членства в локальных группах.
|
|
|
• Политики системных служб Безопасность и режим запуска локальных служб.
• Политики файловой системы Безопасность путей к файлам и папкам локальной файловой системы.
• Политики реестра Значения параметров реестра, связанных с безопасностью.
ConfiguratiomWindows Settings\Security Settings. В шаблоны не включены некоторые параметры безопасности, относящиеся, например, к беспроводным сетям, параметрам открытого ключа, ограничениям программ и безопасности IP.
Приступая к работе с шаблонами безопасности, выясните, сможете ли вы воспользоваться в качестве отправной точки существующим шаблоном. Стандартные шаблоны находятся в папке %SystemRoot%\Security\ Templates. Доступ к ним вы получите с помощью оснастки Шаблоны безопасности (Security Templates).
Оснастка также позволяет создавать новые шаблоны. В ней доступны, в частности, следующие стандартные шаблоны:
• dc security Стандартные параметры безопасности для контроллеров домена.
• setup securityСтандартные параметры безопасности для рядовых серверов.
• securedcОграниченные параметры безопасности для контроллеров домена.
• securewsОграниченные параметры безопасности для рабочих станций.
• hisecdc Строжайшие параметры безопасности для контроллеров домена.
|
|
|
• hisecws Строжайшие параметры безопасности для рабочих станций.
Применить шаблоны в оснастке Шаблоны безопасности (Security Templates) нельзя, Для этого предназначена оснастка Анализ и настройка безопасности (Security Configuration and Analysis). Она же позволяет провести сравнение параметров шаблона с параметрами, установленными в данный момент на компьютере. В результате анализа будут отмечены области, в которых текущие значения не совпадают со значениями параметров из шаблона. Это полезно, поскольку позволяет установить, например, изменились ли параметры безопасности после применения шаблона.
Кроме того, существуют хорошие инструменты, которые расширяют групповую политику, позволяя выполнять изначально недоступные задачи. Обладателям инструментария управления, желающим получить еще большую отдачу от групповой политики, стоит обратить внимание на следующие решения:
· Avecto Privilege Guard (www.avecto.com);
· BeyondTrust Privilege Manager (www.beyondtrust.com);
· FullArmor Policy Porta
16. Контроллеры доменов, функции и назначение. Роли контроллеров в схеме Active Directory. Репликация данных между контроллерами доменов. Протоколы репликации.
Контроллер домена в компьютерных сетях построенных на Microsoft Server — сервер, контролирующий область компьютерной сети (домен).
|
|
|
Запускает службы Active Directory, в частности Центр распространения ключей Kerberos (Kerberos Key Distribution Center, KDC).
С программной точки зрения, на большинстве Unix-подобных систем в качестве контроллера домена выступает пакет прикладных программ Samba.
Контроллеры домена, работающие под управлением Windows Server 2003, хранят данные каталога и управляют взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге. Контроллеры домена создаются при использовании мастера установки Active Directory.
В Windows NT Server контроллер домена для надёжности создается в связке с основным контроллером домена, резервный контроллер домена. В Windows 2000 и Windows Server 2003 все равны.
Репликация ( replication) — это есть механизм синхронизации или скажем по другому - механизм устранения различий между двумя копиями данных а в нашем случае базы данных Active Directory. А как мы уже знаем, что Active Directory по сути это база данных. Репликация — это процесс, под которым понимается копирование данных из одного источника на множество других и наоборот. То есть это что, то наподобие сообщающихся сосудов, где уровень жидкости всегда стремится быть одинаковым . Вот и у нас все копии Active Directory стремятся быть одинаковыми, и если в одной произошли изменения (допустим ввели нового пользователя) то эти изменения должны быть переданы и в другие Active Directory для того что бы данные были одинаковы во всех базах данных Active Directory. Процесс передачи этих изменений между контроллерами домена (а мы уже знаем, что контролер домена это такой компьютер на котором установлен Windows 2003 и поднято такая фишка как Active Directory смотри тут) называется репликацией.
|
|
|
Репликация внутри сайта
В пределах сайта Active Directory автоматически создает топологию репликации между контроллерами одного домена с использованием кольцевой структуры. Топология определяет путь передачи обновлений каталога между контроллерами домена до тех пор, пока обновления не будут переданы на все контроллеры домена.
Кольцевая структура обеспечивает существование минимум двух путей репликации от одного контроллера домена до другого, и если один контроллер домена временно становится недоступен, то репликация на остальные контроллеры домена все равно продолжится.
При внутрисайтовой репликации трафик репликации передается в несжатом формате. Это объясняется тем, что контроллеры домена, принадлежащие одному сайту, как предполагается, связаны каналами с высокой пропускной способностью. Помимо того, что данные не сжимаются, используется механизм репликации, основанный на уведомлении об изменениях. Значит, если в данные домена вносятся изменения, эти изменения быстро реплицируются на все контроллеры домена.
Репликация между сайтами
Для обеспечения репликации между узлами нужно представить сетевые соединения в виде связей сайтов. Active Directory использует информацию о сетевых соединениях для создания объектов-соединений, что обеспечивает эффективную репликацию и отказоустойчивость.
Необходимо предоставить информацию о применяемом для репликации протоколе, стоимости связи сайтов, о времени доступности связи и о том, как часто она будет использоваться. Исходя из этого Active Directory определит, как связать сайты для репликации.
При межсайтовой репликации все данные передаются в сжатом виде. Причина в том, что трафик, вероятно, передается по более медленным WAN-каналам (см. рис. 10.1) в сравнении с соединениями локальной сети, используемыми при внутрисайтовой репликации.
Рис. 10.1.Межсайтовая репликация
Однако при этом увеличивается нагрузка на серверы, поскольку, помимо прочих операций по обработке, им приходится упаковывать/распаковывать данные. Кроме того, репликация выполняется по расписанию в момент времени, лучше всего подходящий для данной организации.
Дата добавления: 2018-02-28; просмотров: 419; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!