|
Различные политики безопасности на контроллере домена - какая переопределяет какую
Доброе время суток. На КД имеются следующие оснастки для управления политиками безопасности:
1) Локальные параметры безопасности (пуск-выполнить- secpol.msc) 2) Редактор объектов групповой политики (пуск-выполнить-gpedit.msc) 3) Политика безопасности домена (Пуск-выполнить-Политика безопасност домена) 4) Политика безопасности контроллера домена (пуск-выполнить-политика безопасности контроллера домена) 5)Default domain policy (пуск-выполнить-dsa.msc-правый клик на имени домена - свойства - групповая политика - Default domain policy 6)Default domain controllers policy (пуск-выполнить-dsa.msc-правый клик на Domain Controllers - свойства - групповая политика - Default domain controllers policy). Вопросы: 1)Какая политика переопределяет какую при воздействии на КД 2)Какая политика переопределяет какую при воздействии на членов домена (естественно исключаются N 4,6) 3)В чем различия между всеми этими политиками (почему не создано Политика безопасности домена (1), контроллера домена (2), - зачем сделано так много политик, с одинаковыми пунктами - получается что область действия этих пунктов разная (конкретно в этом вопросе я не беру во внимание разницу между 4 (6) и 3(5), она очевидна)? |
__sa__nya, помоему мы уже обсуждали политики и ты участвовал в обсуждении. непомню просто в какой теме.
политики применяются в порядке L,S,D,OU т.е. сначала локальная(1), потом политика сайта(если таковая есть), потом политики домена(3), потом политики безопасности Организационной еденицы(OU). также обрати внимание что для одного обьекта в АД можно создать несколько политик, они все появляються в списке на вкладке груповая политика в свойствах обьекта. на этой вкладке также имеються кнопки "вверх" и "вниз" и поверь они там неспроста. если политик несколько то применятся они будут именно в том порядке в каком расположены на этой вкладке. порядок меняется передвижением политик вышеуказанными кнопками. теперь расмотрим разницу между "политика безопасности домена" и "политика безопасности контроллера домена". их должно быть две т.к. первая распространяется на все станции и сервера кроме ДС. вторая только на сервера являющиеся ДС. согласись политика ДС должна отличаться от доменной большей строгостью. например к ДС нельзя подлючиться через службу удалённого доступа обычному пользователю, в то время как доменная политика разрешает удалённые подключения. и это правильно т.к. обычным пользователям на ДС делать нечего. я понимаю что это не всегда так но так быть должно. также ДС обмениваясь между собой информацией должны её шифровать и\или подписывать, в то время как обычным станциям это некчему(я про обмен между собой). 5,6 и 3,4 это одно и тоже! просто забираешся ты в них через разные места. ответы 1 - для ДС последней применится политика ОУ(АД-пользователи и компьютеры - твой домен - Domain Contrallers) 2 - для членов домена таже ситуёвина. предпоследней примениться политика безопасности домена, последней политика ОУ в котором они будут находиться, если ОУ нет применение политик закончится. 3 - по поводу этого вопроса, я думаю выше всё изложено. з.ы. так на всякий случай !крайне не рекомендуется редактирование политик по-умолчанию! если тебе нужно что то переопределить и\или добавить создавай новые политики и только так. это поможет в дальнейшем избежать неприятных ситуаций.) |
Цитата:
Цитата:
|
а тут можно было понять как-то иначе?
ага, дополнение.) параметры в политиках имеют некоторые фиксированные значения типа "включить","отключить","не определено". надеюсь понятно что при наложении политик изменения начальных значений происходит в любом случае кроме "не определено". параметр с таким значением игнорируется. и значение параметра не меняется. т.е. если в доменной политике указанно "запретить пользователям установку дров принтера = отключён" а в политике ОУ тот же параметр "не определено" то результирующим будет "отключён"! з.ы. в консоле ММС есть оснастка "результирующая политика" с помощью которой можно просматривать действующие значения политик на любой станции. |
Не понимаю, почему не работают следующие настройки. Делаю так:
- для компов домена хочу иметь учетную админскую запись Localadmin. Под этим именем заходить на локальные компы, если нужен админский доступ. Для этого открываю Политика безопасности домена, далее Параметры безопасности - Локальные политики - Параметры безопасности. Далее Учетные записи: Переименование учетной записи Администратора ставлю Localadmin. Ставил включено на Учетные записи: состояние учетной записи "администратор". -для контроллера домена делал тоже самое в Политика безопасности контроллера домена , только в Учетные записи: Переименование учетной записи Администратора указал Domenadmin. Под этим логином я должен заходить на контроллер домена и никуда более. Как я понимаю, должно быть так: при вводе логина Localadmin на компе домена, я попадаю на него с админскими правами. При вводе Localadmin на контроллере домена вход не должен быть осуществлен. А при вводе на контроллере домена Domenadmin я вхожу на контроллер как администратор. Но вот это не получается. При вводе на контроллере домена Domenadmin пишет, что логин\пароль не тот. А вот когда я ввожу на контроллере домена Localadmin, то попадаю на контроллер. Не могу понять, почему не работает так, как я думаю. Или же есть какие то подводные камни, растолкуйте. |
Цитата:
(Не посмотрел на время поста)))) |
monkkey, нет правильно! .) это только политика пароля задаётся в одном месте и для всех. политика поролей это не "например" это исключение. более таких примеров нет. ну или, конечно же, я незнаю.)
Burbulator2, monkkey, правильно сказал Цитата:
|
Цитата:
Цитата:
Цитата:
Да, пока КД у меня на виртуалке. Но это же не должно влиять на работу КД, ведь VmWare все что надо, эмулирует. |
Все, нашел решение. Оно тут. Получается, что GPO для контроллера домена в части этих политик берет настройки из GPO, привязанного к корню домена.
|
| Время: 14:33. |
Время: 14:33.
© OSzone.net 2001-