Некоторые групповые политики Windows 2003

Almas 2011 M10 6
5035
4
4
0

Групповые политики полезный инструмент системного администратора. В этой записке собраны групповые политики, которые будут полезны при базовой настройке. Все решения были взяты с форумов  и...

Групповые политики - полезный инструмент системного администратора. В этой записке собраны групповые политики, которые будут полезны при базовой настройке. Все решения были взяты с форумов  и других источников.

Запрешаем использование съемных носителей

Создаем файл со следующим содержимым:

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameCD_READ_ONLY
KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"
EXPLAIN !!explaintextCD_READ_ONLY
PART !!labeltextCD_READ_ONLY DROPDOWNLIST REQUIRED

VALUENAME "WriteProtect"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 0 DEFAULT
NAME !!Enabled VALUE NUMERIC 1
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Собственные установки для съемных носителей"
categoryname="Блокировка СД УСБ Флоп"
policynameusb="Закрываем USB"
policynamecd="Закрываем CD-ROM"
policynameflpy="Закрываем Floppy"
policynamels120="Disable High Capacity Floppy"
policynameCD_READ_ONLY="Закрываем для записи CD & USB"
explaintextusb="Закрытие компьютерных USB портов путем отключения usbstor.sys драйвера"
explaintextcd="Закрытие компьютерного CD-ROM привода путем отключения cdrom.sys драйвера"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
explaintextCD_READ_ONLY="Закр для записи СД и Флеш через ветвь реестра"
labeltextusb="Закрытие USB портов"
labeltextcd="Закрытие CD-ROM привода"
labeltextflpy="Закрытие Floppy дисковода"
labeltextls120="Disable High Capacity Floppy Drive"
labeltextCD_READ_ONLY="Запрет записи дисков и флешек"
Enabled="Закрыть"
Disabled="Открыть"

Назовем файл RESTRICT_DEV.ADM

Закиним его в папку C:\WINDOWS\INF\

Получится так C:\WINDOWS\INF\RESTRICT_DEV.ADM

Так как данная политика действует только на объекты "компьютеры" нам нужно создать OU куда мы будем помещать компьютеры с заблокированными съемными носителями, например: COMPUTERS->DISABLED_USB_PC

и ENABLED_USB_PC

Далее щелкаем этот OU и выводим свойства. В свойствах щелкаем вкладку "Group Policies", а потом "New".

Вводим имя новой политики "RestrictUSBDevices" и нажимаем "Edit".

Находим ветку "Administrative Templates", нажимаем правой кнопкой и выбираем "Add/Remove Templates".

Здесь добавляем наш шаблон c:\Windows\inf\RESTRICT_DEV.ADM

 

Появится надпись "Собственные установки для съемных носителей". Шелакем ее правой кнопкой мыши, и выбираем View->Filtering. Снимаем галки на:

1. Only show configured settings

2. Only show policy settings that can be fully managed

 

Далее запрещаем выставляя в положение "Enabled"

Повторите все к ENABLED_USB_PC  - OU, только действие поставьте "Disabled", чтобы к компьютеров были USB.

Теперь закиньте компьютеры в DISABLED_USB_PC, перезагрузите компьютеры к которые в этом OU два раза и проверьте исчезли ли иконки CD-ROM, засуньте флешку ...

Понижаем роли 'локальных администраторов" до "пользователей", а также разрешаем модифицировать папку "Program files"для юзеров с правами "пользователи"

Ограничиваем локальных администраторов

1. Создаем OU   - "Computers_AI"
2. Создаем группу - "G_Local_Admins"
3. Открываем оснастку Групповые Политики
для подразделения - Computers_AI
4. Создаем объект GPO контейнер: Restrictions_1
5. Открываем редактор GPO для Restrictions_1
Нажимаем изменить.
Нужно изменить всего два параметра.
6. Оба параметра находятся в одном разделе: "Конфигурация компьютера ->Конфигурация Windows->Параметры безопасности"
7. Первый параметр "Группы с ограниченным доступом", нажимаем правой кнопкой и добавляем группу "Добавить группу", выбираем "Администраторы", "Администраторы домена",  пользователя "Администратора" и самое главное группу "G_Local_Admins"
В группу "G_Local_Admins" будут входить все пользователи которым нужен доступ на уровне локальных администраторов
 

После применения политики на компьютерах где эта политика из группы "Администраторов" вылетят все пользователи, не внесенные в политику. Даже если добавить пользователя с правами администратора минуя эту политику, добавленный пользователь вылетит из группы локальных администраторов данного компьютера.

Разрешаем модифицировать папку "Program files"
8. В связи с использованием политики в пункте 7, нам необходимо дать группе "Пользователи" разрешение "Изменить" на папку "Program Files". В параметре политик "Файловая система" нажимаем правой кнопкой мыши, выбираем "добавить файл", указываем на папку "Program Files" и устанавливаем параметры:
1. Группа "Пользоваетли" - Убираем "Полный доступ", остальное включаем.
2. "Создатьель-Владелец", "System" и "Administrator" - дать "Полный доступ"
 

9. Проверить работоспособность политики на рабочих машинах

10. Также не которым программам требуется доступ к определенным веткам реестра, как правило надо выяснить что нужно и открыть доступ к этим веткам реестра

-
Применение политики к нужной группе GPO
Щелкаем нужный OU -> Properties (свойства) -> Вкладка Group Policiy -> Group object -> Properties -> Вкладка Security - > Authentificated Users -> Убрать галку Apply Group Policy
После этого, добавить нужную группу с правами Read и Apply Group Policy
-
Распространие софта через GPO
Вообще делается просто - заводится шара на общий доступ, туда кладется msi пакет и в групповых политиках Конф.программ/Установка программ создается пакет для распространения.
-
Запрет на запуск любых программ кроме указанных
Default Domain Policy
Конфигурация пользователя\Административные шаблоны\Система
- выполнять только разрешенные приложения
- не запускать указанные приложения
-
GPO: Блокировать рабочую станцию при простое
1. если ты хочешь не завершая сеанс заблокировать машину по истечении определенного времени:
user configuration\Административные шаблоны\панель управления\экран\
там:
1. Активизировать экранные заставки
2. таймаут заставки
3. Защита заставки паролем.

2. если надо завершать сеанс по истечении определенного времени:

Конфигурация компьютера\Конф. Windows\параметры безопасности\параметры безопасности\
там:
1. Длительность простоя перед отключением сеанса
2. Автоотключение сеанса

-

Оцените пост

4

Комментарии

0
Уважаемый, расскажите что означает "OU" (я мало знаком со специфичными терминами AD).
За статью спасибо.
0
Написать я могу, но поймете ли?

Лучше почитать книги или посмотреть видео курсы выложенные в Интернете.

А вообще по теме, Active Directory - это каталог со всеми ресурсами локальной сети, тоесть там хранится информация о компьютерах, принтерах, учтеных записей и т.д.
Простыми словами это "папка", в этой папке подпапки с хранящимеся в них объектах - компьютеры, принтеры и т.д.
Вот эти папки, грубо говоря являются "OU" = "Организационными еденицами"
Они могут содержать по аналогии с папками вложенные "OU".

Мы не применяем "Групповую политику" только к одному объекту. Будь то учетная запись или компьютер.
А закрепляем ее к "OU" - папке, которая содержить кучу таких объектов как компьютеры или учетки.

Извините если коряво написал.
Показать комментарии