Politica de securitate locală

atribuie politica privind drepturile de utilizare

După cum sa menționat mai sus, în scopul drepturilor consumatorilor există o politică de 44 de securitate. În continuare, veți găsi o politici de optsprezece de securitate, care sunt responsabile pentru atribuirea de drepturi diferite pentru utilizatori sau grupuri din organizație.

  1. Copierea de rezervă a fișierelor și directoarelor. Cu această politică, puteți specifica utilizatorii care sau grupuri pentru efectuarea operațiunilor de backup de fișiere, directoare, chei de registry și alte obiecte care urmează să fie arhivate. Această politică oferă acces la următoarele rezoluții:
    • Traverse Folder / Executare fișier
    • Folder Conținut / Citire date
    • citește atribute
    • Citiți atributele extinse
    • permisiuni de citire

Pe stații de lucru și servere de date privilegii acordate grupurilor de „administratori“ și „Operatorii de rezervă“. și controlere de domeniu - „Operatori Backup“ și „Operatorii Server“.

  • Paginile de blocare în memorie. Folosind această politică de securitate, puteți specifica utilizatorii sau grupurile specifice cărora li se permite să folosească procesul pentru a salva datele din memoria fizică pentru a preveni descărcarea de date în memorie virtuală pe disc.

    În mod implicit, atât pe stațiile de lucru și servere, nici unul din grup nu au permisiunea.

  • Restaurare fișiere și directoare. Această politică vă permite să specificați utilizatori și grupuri care pot efectua recuperarea de fișiere și foldere, ocolind fișierele blocate, directoare, cheile de registry și alte obiecte aflate în versiunile fișier arhivă.

    Pe stații de lucru și servere de date privilegii acordate grupurilor de „administratori“ și „Operatorii de rezervă“. și controlere de domeniu - „Operatori Backup“ și „Operatorii Server“.

    În mod implicit, atât pe desktop și pe controlerele de domeniu, aceste privilegii acordate grupurilor „Administratorii“ și „Operatorii de rezervă“.

    În mod implicit, atât pe stațiile de lucru și servere, nici unul din grup nu au permisiunea.

  • Efectuarea de volume sarcinilor de întreținere. Cu această politică, puteți specifica utilizatorii sau grupurile în care participanții pot efectua operațiuni destinate să servească volume. Utilizatorii care au astfel de privilegii, au dreptul de a citi și a modifica datele solicitate după descoperirea de fișiere suplimentare, acestea pot naviga, de asemenea, discurile și adăugați fișiere în memoria ocupată de alte date.

    În mod implicit, aceste drepturi au numai administratorii și stațiile de lucru controlere de domeniu.

  • Adăugați stații de lucru în domeniu. Această politică este responsabilă pentru a permite utilizatorilor sau grupuri pentru a adăuga calculatoare în domeniu Active Directory. Un utilizator cu aceste privilegii pot adăuga domeniul la zece calculatoare.

    În mod implicit, toți utilizatorii autentificați pe un controler de domeniu poate adăuga până la zece calculatoare.

  • Accesul la Manager de acreditări în numele mandatarului apelantului. Manager de acreditări - o componentă care este proiectat pentru a stoca datele de conectare, cum ar fi nume de utilizator și parole utilizate pentru a conecta la site-uri sau alte computere din rețea. Această politică este utilizată de către Credential Manager în timpul de backup și recuperare, și nu este de dorit să se ofere utilizatorilor.

    În mod implicit, atât pe stațiile de lucru și servere, nici unul din grup nu au permisiunea.

  • Accesați acest computer din rețea. Această politică de securitate este responsabil pentru a permite conectarea la un computer în rețea pentru utilizatori sau grupuri specificate.

    Pe stații de lucru și servere de date privilegii acordate grupurilor de „administratori“ și „Operatorii de rezervă“. „Utilizatori“ și „Toate“. Pe controlerele de domeniu - „Administratori“. „Aprobat“. „Enterprise Domain Controller“ și „Toate“.

  • Opriți sistemul. Folosind această setare de politică, puteți face o listă de utilizatori care au dreptul de a folosi comanda „shutdown“ după o conectare de succes.

    Pe datele sunt privilegii „Administratorii“ stații de lucru și servere pentru grupuri. „Operatorii de rezervă“ și „Utilizatori“ (numai la stațiile de lucru), și controlere de domeniu - „Administratori“. „Operatorii de rezervă“. „Operatorii server“ și „Operatorii Print“.

  • Încărcarea și descărcarea de drivere de dispozitiv. Cu ajutorul politicii actuale, puteți specifica utilizatorii care vor fi acordat dreptul de a încărca dinamic și descărca drivere de dispozitiv în modul kernel, iar această politică nu se aplică PnP-dispozitiv.

    Pe datele sunt privilegii „Administratorii“ stații de lucru și servere pentru grupuri. „Administratorii“ și „Operatorii Print“ - și pe controlerele de domeniu.

  • Înlocuirea unui jeton de nivel de proces. Folosind această politică de securitate, puteți restricționa utilizatorul sau grupul de la utilizarea API-CreateProcessAsUser funcții la un serviciu poate porni o altă funcție, proces sau serviciu. Merită atenția asupra faptului că o astfel de cerere ca „Scheduler“ pentru activitatea sa folosește privilegii de date.

    În mod implicit, atât pe desktop și pe controlerele de domeniu, aceste privilegii sunt furnizate de către contul „Serviciul de rețea“ și „Serviciul local“.

    În mod implicit, atât pe stațiile de lucru și servere, toate sunt lăsate să vă autentificați ca un client desktop la distanță.

  • Schimbarea obiectelor de etichete. Datorită acestei politici de atribuire a drepturilor, puteți permite utilizatorilor specificat sau grupuri pentru a modifica eticheta de integritate a obiectelor altor utilizatori, cum ar fi fișiere, chei de registry, sau procese.

    În mod implicit, nimeni nu are voie să schimbe etichetele de obiecte.

  • Modificarea setărilor producătorului mediului. Folosind această politică de securitate, puteți specifica utilizatorii sau grupurile care vor fi disponibile capacitatea de a citi variabilele de mediu hardware. Variabilele de mediu hardware - parametrii ei sunt oameni stocate în memoria calculatorului non-volatilă, a cărei arhitectură este diferită de x86.

    Pe stațiile de lucru și controlere de domeniu, privilegiile date implicite acordate grupurilor de „administratori“.

    Pe stații de lucru și servere de date privilegii acordate grupurilor de „administratori“ și „Serviciul local“. și controlere de domeniu. - „Administratori“ „Operatorii server“ și „Serviciul local“.

  • Schimbarea fusului orar. Cu ajutorul politicii de securitate actuale, puteți specifica utilizatorii sau grupurile care li se permite să schimbe fusul orar al computerului pentru a afișa ora locală, care este suma timpului sistemului și fusul orar al computerului offset.

    Pe stațiile de lucru și controlere, privilegiile date de domeniu implicit acordat grupurilor de „administratori“ și „Utilizatori“.

    Politica de aplicare a drepturilor de utilizare Alocare

    În acest exemplu, voi explica modul în care puteți atribui drepturi la un grup în organizația dvs. pe un controler de domeniu. Urmați acești pași:

    1. Deschideți snap-in „Management Group Policy“ și selectați containerul în care politica va fi legat de drepturi de utilizator cesiona, de exemplu, „Grupul“;
    2. Faceți clic dreapta pe container și din meniul contextual, selectați „Creați un GPO în acest domeniu, și conectați-l ....“ În caseta de dialog „Politica de grup obiect nou“ „debuggeri grupul de drepturi“ de tip și faceți clic pe „OK“;
    3. Evidențiați GPO nou creat, faceți clic pe butonul din dreapta al mouse-ului si din meniul contextual, selectați comanda „Edit“. așa cum se arată în imagine:

    Politica de securitate locală

    Fig. 1. Schimbarea GPO nou creat

  • Deschideți proprietățile politicii de „Debugging“. Cu această politică, utilizatorii vor putea depana componentele sistemului, care oferă acces deplin la componentele sistemului de operare. În „setările politicii de securitate“ caseta de validare pe opțiunea „Definiți aceste setări de politică“ și faceți clic pe „Adăugați un utilizator sau un grup.“ așa cum se arată mai jos:

    Politica de securitate locală

    Fig. 3. Modificați setările pentru politica de „Debugging“

  • click pe butonul „Browse“ în caseta de dialog „Adăugați utilizator sau grup“. În „Enter numele obiectelor selectate“, introduceți numele grupului (în acest caz - „Debuggere“) și faceți clic pe „Verificare nume“.

    Politica de securitate locală

    Fig. 4. Selectați un grup, care se va aplica această politică

    Dacă nu vă amintiți numele grupului, faceți clic pe butonul „Advanced“ și de căutare utilizând interogarea de căutare;

    Fig. 5. Pentru a schimba domeniul de aplicare al acțiunilor de politică de grup

  • Pe computerele utilizatorilor, care aparțin grupului «Debuggers» inițiază politicile de grup de actualizare folosind echipa gpupdate.

    • concluzie

    În acest articol, am continuat să studieze politicile de securitate, și anume, a aflat despre atribuirea politicilor privind drepturile utilizatorilor. Prin intermediul unor politici de atribuire a drepturilor de utilizator, puteți defini pentru care utilizatorii sau grupurile de utilizatori vor fi prevăzute cu diferite drepturi și privilegii. Descris în detaliu 18 al politicii de securitate 44. În exemplul dat în articol veți găsi, de asemenea, despre modul în care se pot aplica aceste politici în organizație. În următorul articol vă va învăța politicile care guvernează jurnalele de evenimente.

    articole similare

    Pagina anterioară

    Pagina următoare