Защита группы локальных администраторов на каждом компьютере

Published on Февраль 4, 2009 by   ·   Комментариев нет

Введение

Если ваша компания схожа с большинством остальных компаний, значит ваши пользователи работают под учетными записями локальных администраторов на своих компьютерах. Существуют решения, способные избавить от такой необходимости, а именно такое направление должны выбрать все компании. Когда пользователи работают от имени учетных записей локальных администраторов, ИТ персонал не контролирует этих пользователей или их компьютеры. Чтобы вы могли защитить группы локальных администраторов на всех компьютерах, вам нужен мощный инструмент. Обычно существует три различных задачи, которые необходимо выполнить для защиты этих групп. Эти задачи мы рассмотрим в данной статье. Windows Server 2008 и Windows Vista SP1 (с установленным RSAT) обладает новыми удивительными органами управления, которые позволяют произвести эти настройки очень быстро!

Задача 1 – удаление доменной учетной записи пользователя

Изначальная задача по защите группы локальных администраторов состоит в том, чтобы убедиться, что ни один пользователь больше не принадлежит к этой группе. Это проще сказать, чем сделать, так как большинство компаний настроили пользовательские учетные записи домена на принадлежность к этой группе во время установки пользовательского компьютера.

Представьте ситуацию, в которой вам удалось решить проблему принадлежности пользователей к группе локальных администраторов, и теперь вам нужно удалить доменные пользовательские учетные записи из группы локальных администраторов на каждом компьютере в вашей среде. У вас есть всего 10,000 настольных компьютеров, лэптопов и удаленных пользователей, поэтому перед вами стоит небольшая задача (ну, да, как бы ни так!).

Если вы создадите сценарий для выполнения этой задачи, вам нужно, чтобы пользователи вышли из системы и затем вошли обратно. Вряд ли такое возможно даже на половине машин, поэтому вам нужен другой вариант.

В качестве идеального решения вы можете использовать локальную группу ‘ привилегии политики групп, чтобы выполнить это задание в течение полутора часов применения. Чтобы выполнить эту работу, вам просто нужно отредактировать объект политики групп (GPO) и настроить следующую политику: конфигурация пользователя \привилегии \настройки панели управления \локальные пользователи и группы \новый \локальная группа, в результате чего у вас откроется диалоговое окно свойств новой локальной группы, как показано на рисунке 1.

Добавить пользователя в группу локальных администраторов

Рисунок 1: Локальная группа GPP, позволяющая вам контролировать принадлежность к локальной группе администраторов

После того, как вы откроете это окно свойств, просто выберите кнопку «Удалить текущего пользователя». Это удалить все пользовательские учетные записи, которые находятся в пределах управления GPO, содержащего этот параметр. Этот параметр вступит в силу во время следующего фонового обновления групповой политики, что займет менее 90 минут.

Задача 2 – Добавление доменных и локальных администраторов

Следующей фазой вашей защиты группы локальных администраторов будет обеспечение того, чтобы глобальная группа доменных администраторов (Domain Admins) и учетная запись локального администратора были добавлены в группу локальных администраторов на каждом компьютере.

Многие пытались сделать это, используя политику ограниченных групп, которая была в групповой политике Windows Active Directory Group Policy. Проблема этого решения заключается в том, что политика ограниченных групп является политикой ‘удаления и замены’, а не политикой ‘дополнения’. Таким образом, когда вы настраиваете политику на выполнение этой задачи, вы стираете содержимое группы локальных администраторов, заменяя его только этими двумя учетными записями.

Используя политику локальных пользователей и групп, которая была описана в задаче 1, вы не только не можете удалить работающего пользователя, но вы можете добавить две ключевые учетные записи, которые обеспечат соответствующий набор административных привилегий на каждом компьютере, как показано на рисунке 2.

Защита группы локальных администраторов скрипт

Рисунок 2: Добавление учетных записей в группу локальных администраторов – это просто

Задача 3 – Удаление определенных учетных записей

Последняя стадия защиты группы локальных администраторов заключается в том, чтобы включить только нужные учетные записи в эту группу. Во многих случаях были группы из доменов, добавленные в группу локальных администраторов для выполнения определенных задач, завершения проекта или осуществления обслуживания. Если эти группы больше не нужны в группе локальных администраторов, вы можете просто удалить их с помощью новой политики локальных пользователей и групп.

Подобно тому, как вы добавляли две новые учетные записи в задаче 2, вы можете добавлять учетные записи (которые нужно удалить) в политику. Для этого просто выберите опцию ‘Удалить из этой группы’, когда добавите учтенные записи в политику, как показано на рисунке 3.

Как добавить в группу локального администратора?

Рисунок 3: Удаление определенных пользователей или групп из группы локальных администраторов возможно

Теперь у вас есть полный контроль над принадлежностью к группе локальных администраторов и даже возможность удаления учетной записи пользователя или группы, которая не должна входить в группу локальных администраторов.

Получение инструмента и правила

Я уже неоднократно говорил об использовании привилегий групповой политики, которые включены в Windows Server 2008 и Vista. Для того чтобы вы смогли воспользоваться этими параметрами, вам нужно иметь что-то из нижеперечисленного в своей сети:

  • Сервер Windows Server 2008
  • Windows Vista SP1, с установленным комплектом инструментов Remote Server Administrative Toolset

Обе этих ОС идут с новой улучшенной консолью управления групповой политикой и редактором управления групповой политики.

Параметры, включенные в новые привилегии групповой политики, можно применять к следующим ОС:

  • Windows XP SP2 и выше
  • Windows Server 2003 SP1 и выше
  • Windows Vista SP1 и выше
  • Windows Server 2008 и выше

Извините, к Windows 2000 не применяется!

Для дополнительной информации о привилегиях групповой политики и RSAT перейдите по следующим ссылкам:

  • Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista
  • Group Policy Preferences Frequently Asked Questions (FAQ)
  • Microsoft Remote Server Administration Tools for Windows Vista (KB941314)

Резюме

На 100% верно то, что ИТ персонал не имеет контроля над компьютером там, где пользователь обладает привилегиями локального администратора. Всем компаниям необходимо вернуть контроль над компьютерами, а также защитить группу локальных администраторов. Эти шаги теперь возможно благодаря привилегиям групповой политики, которые включены в Windows Server 2008 и Vista. Вы можете вернуть контроль над компьютером и группой локальных администраторов всего за несколько кликов. Параметры вступят в силу в течение полутора часа на всех машинах, принадлежащих к домену и сети. Пользователям при этом не требуется выходить из системы и входить обратно, параметры политики просто применяются!

Источник www.windowsecurity.com


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]