[ Pobierz całość w formacie PDF ]
.Administratorzy sieci (cz³onkowie grupy Ddomain Aadministrators) mog¹ równie¿u¿yæ Edytora listy Listy kontroli Kontroli dostêpu (ACL Editor) Dostêpu (ACLEditor) do okreœlenia grup administracyjnych, których cz³onkowie mog¹modyfikowaæ zasady (policies) w obiektach zasad grupowych (GPOs).Administratorsieci mo¿e zdefiniowaæ grupy administratorów, na przyk³adnp., administratorówzypublikowania (publishing administrators), z prawami okreœlonymi w jednostceadministracyjnej Wydawcy (PpPublishers), i nadaæ im prawo odczytu- – zapisu(read -– write access) do wybranych obiektów zasad grupy (GPO).Pozwala toadministratorowi sieci na przekazanie kontroli nad zasadami tych obiektów zasadgrupy (GPOs).Nadanie prawa odczytu -– zapisu, dotycz¹cego obiektu zasad grupy(GPO), pozwala administratorom na kontrolowanie wszystkich jego elementów.Edytor listy Listy kontroli Kontroli dostêpu Dostêpu (ACL EditoreEditor) mo¿nauruchomiæ tak¿e za pomoc¹ mened¿era przystawki Lokacje i us³ugi Us³ugi ActiveDirectory (Active Directory SsSites and SsServices) konsoli MMC, klikaj¹cprawym klawiszem myszki obiekt lokacji (site object), klikaj¹c i w³¹czaj¹copcjê W³aœciwoœci (PpProperties), a nastêpnie wybieraj¹c zak³adkêBezpieczeñstwo (SsSecurity).Przed rozpoczêciem kolejnej procedury utwórz nale¿y utworzyæ w jednostceadministracyjnej Nadrzêdna (pPParent) globaln¹ Globaln¹ grupê Grupêzabezpieczeñ Zabezpieczeñ (GgGlobal SsSecurity groupGroup) pod nazw¹MZarz¹dzanie (mManagement).Mo¿na oczywiœcie u¿yæ dowolnej grupy z dowolnejjednostki organizacyjnej i odpowiednio dostosowaæ poni¿sz¹ procedurê:.Otwórz stronê Zasady grupowe Grupowe wWW³aœciwoœci (Group Policy PpProperties)jednostki organizacyjnej o nazwie Nadrzêdna (PpParent), lub innej jednostkiorganizacyjnej, wybranej na danym komputerze.Kliknij prawym klawiszem myszki obiekt zasad grupowych (GPO) o nazwieObowi¹zkowy (MmMandatory), lub inny wybrany przez siebie obiekt zasad grupowych(GPO).Kliknij opcjê W³aœciwoœci (Properties), a nastêpnie wybierz zak³adkêBezpieczeñstwo (Security).Uwaga: Chocia¿ nie jest to czêœci¹ niniejszej procedury, w tym miejscu mo¿nazbadaæ opcje Zaawansowane, naciskaj¹c przycisk Zaawansowane (aAAdvanced).Nale¿y zwróciæ uwagê, ¿e mo¿na za ich pomoc¹ zastosowaæ uprawnienia dotycz¹ceobiektu zasad grupy (GPO), skonfigurowane dla dowolnej grupy, dola obiektówpodrzêdnych i do wielu innych obiektów wybranych z listy rozwijalnej Zastosujdo (Apply onto), która pojawi siê po naciœniêciu przycisku WwWidok/EeEdycja(VvView/EeEdit).Nale¿y Powinno siê równie¿ zwróciæ uwagê, ¿e mo¿naskonfigurowaæ inspekcjê (auditing) dla dowolnej grupy „lun" u¿ytkownika orazinspekcjê korzystania z uprawnieñ dla danego obiektu zasad grupy (GPO).Naciœnij przycisk Dodaj (AddaAdd).Wybierz z listy grupê Zarz¹dzanie (mManagement) Management, lub inn¹ grupê,któr¹ u¿ywasz.Naciœnij Dodaj (AaAdd), a nastêpnie naciœnij OK.Zaznacz grupê Zarz¹dzanie (mManagement) Management, lub t¹, któr¹ u¿ywasz izobacz uprawnienia.Domyœlnie tylko uprawnienie odczytu (Rread) ACE jestustanowione jako Zezwalaj (Aallow).Oznacza to, ¿e do cz³onków grupyZarz¹dzanie (mManagement) Management nie stosuje siê tego obiektu zasad grupy(GPO), chyba ¿e s¹ cz³onkami innej grupy, która ma nadane uprawnienieStosowanie zasad Zasad grupy Grupy (Apply Group Policy).Jednak grupaZarz¹dzanie (mManagement) Management domyœlnie jest cz³onkiem grupyAuthenticated UsersZatwierdzeni uU¿ytkownicy (aAuthenicated uUsers), która manadane uprawnienie Stosowanie zasad grupy (Apply Group Policy).Teraz dowszystkich cz³onków grupy zZatwierdzeni uU¿ytkownicy (aAuthenicated uUsers)Authenticated Users stosuje siê dany obiekt zasad grupowych (GPO), bez wzglêduna to, ¿e dodano do listy grupê Zarz¹dzanie.Management.Oprócz uprawnienia Stosowanie zasad Zasad grupy Grupy (Apply Group Policy) dlagrupy Zarz¹dzanie (mManagement) Management zaznacz pole wyboru Zezwalaj(AaAllow) i wyczyœæ to pole wyboru dla grupy Zatwierdzeni uU¿ytkownicy(aAuthenicated uUsers).Authenticated Users.Dany Oobiekt zasad grupy (GPO)jest skonfigurowany tak, by dotyczy³ tylko cz³onków grupy Zarz¹dzanie(mManagement).Management.Na rysunku 3.17.przedstawiono zrzuty ekranów dlatych operacji.Zamknij konsolê naciskaj¹c dwukrotnie OK.OTRZE¯ENIE! Przy korzystaniu z opcji Odmów (DdDeny) nale¿y zachowaæ szczególn¹ostro¿noœæ.Dla ka¿dej grupy wybór tej opcji Odmów (Deny) ma pierwszeñstwo,nawet jeœli u¿ytkownik lub komputer, dziêki cz³onkostwu w innej grupie, maustawione Zezwalaj (AaAllow).Wskazówka: Te same opcje mo¿na zastosowaæ w przypadku skryptów logowania,przygotowanych zgodnie z poprzedni¹ procedur¹.Mo¿na skrypt skonfigurowaæ w tensposób, by by³ uruchamiany tylko dla cz³onków konkretnej grupy lub dlawszystkich, za wyj¹tkiem cz³onków okreœlonej grupy.Filtrowanie grup zabezpieczeñ (security group filtering) ma dwie funkcje.Pierwsza¹ to jest zmiana grupy, na któr¹ oddzia³uje dany obiekt zasad grupy(GPO).Druga — to przekazanie modyfikowania zawartoœci obiektu zasad grupowych(GPO) poprzez nadanie uprawnienia FPe³nej kKontroli (fFull CcControl)ograniczonej grupie administratorów.Dzia³anie to jest zalecane, poniewa¿zmniejszaZaleca siê to, poniewa¿ minimalizuje to szansê na to, by równoczeœnierównoczesne dokonywanie ³o zmian przez kilku administratorów
[ Pobierz całość w formacie PDF ]