Добрый день всем

Помогите разобраться чайнику с ГПО

Имею: Windows Server 2008 R2, Режим работы домена и леса - 2008.

- Достались настроенные default domain policy и default domain controller policy.
- При помощи dcgpofix восстановил настроенные дефолтные политки на стандартные дефолтные политики
- Теперь дефолтные политики не трогаю, а если надо применить что-нибудь новое, то создаю отдельные политики и применяю их

Вопрос №1: правильна ли такая схема?

- Большинство политик я применяю на уровне домена, к определенным группам пользователей, однако, хочу также применить кое какие политики для КД, в частности "параметры безопасности". Согласно этой статье (http://support.microsoft.com/kb/259576/ru) (предназначенной для 2000 и 2003), если я применяю ГПО на уровне домена, то к КД должны примениться лишь строго определенный небольшой набор политик безопасности.

Вопросы №2.
В связи с этим у меня возникают следующие вопросы:

1. как тогда применить политики так, чтобы КД принял необходимые настройки?
2. Есть ли подобный список принимаемых КД политик для Win 2008 R2?

Я сделал так: gpmc.msc есть OU "Domain Controllers". Для этого контейнера создал политику "Безопасность КД" и связал его с этим OU. Фильтр содержит "прошедшие проверку". Применятся ли таким образом политики безопасности для КД? Если нет, то как правильно?

- При помощи dcgpofix восстановил настроенные дефолтные политки на стандартные дефолтные политики »
установите где-нибудь виртуальный тестовый контроллер домена. посмотрите на политики по умолчанию... сравните с вашими, восстановленными...

Я сделал так: gpmc.msc есть OU "Domain Controllers". Для этого контейнера создал политику "Безопасность КД" и связал его с этим OU. Фильтр содержит "прошедшие проверку". Применятся ли таким образом политики безопасности для КД? Если нет, то как правильно? »
всё правильно сделали.

всё правильно сделали. »

Так, а не нужно для этой моей политики еще указывать фильтр для машин КД?

Я имею ввиду, что вот сейчас эта политика привязана к OU Domain Controllers, она применяется для "прошедших проверку". Но, ведь прошедшие проверку - это учетные записи.

А я настраиваю безопасность в разделе конфигурация компьютера, - значит, где то должно быть указано, к каким компьютерам я применяю эту политику? Значит, надо явно указать действие политик на машины-КД?

Или я чего то неправильно понимаю?

Так, а не нужно для этой моей политики еще указывать фильтр для машин КД? »
если она применена к:
OU "Domain Controllers". Для этого контейнера »
то там кроме контроллера домена никого нет, а он входит в группу Авторизованные пользователи.
Но, ведь прошедшие проверку - это учетные записи »
посмотрите фильтр для политики "Default Domain Controllers Policy"
Авторизованные пользователи - это все, кто прошли проверку. Если контроллер домена не пройдёт проверку - у вас ничего не будет работать.

восстановленные политики ещё не сравнивали?

восстановленные политики ещё не сравнивали? »

установите где-нибудь виртуальный тестовый контроллер домена. посмотрите на политики по умолчанию »

Пока еще нет, сейчас сравню

С прошедшими проверку все понятно, спасибо большое! Это и учетки и компьютеры. Политики применятся ТОЛЬКО для моих двух КД, потому что GPO привязана к контейнеру, где только два эти КД и присутствуют.

восстановленные политики ещё не сравнивали?

Да, вроде одинаковые

У меня есть еще вопрос, может подскажите...

Хочу запретить КД и доменным машинам использовать NTLMv1/LM, так, чтобы они давали отлуп, если в сети появлялась бы машина, которая бы проводила аутентификацию по ntlm v1 или LM.

Установил следующие политики и соответствующие значения:

- Сетевая безопасность: уровень проверки подлинности LAN Manager - Отправлять только NTLMv2 ответ, отказывать LM и NTLM

- Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) - Требовать 128-битовое шифрование

- Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) - Требовать сеансовую безопасность на базе NTLMv2

Ребутнул КД, политики применились - в RSoP'е это видно, но все равно пускает по ntlm v1 не доменную машину (это видно в логе).

GPO: Безопасность - КД
Политика: @wsecedit.dll,-59059
Параметр: MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Параметры компьютера: 5

Аналогично и для обычной доменной машины - я все равно могу войти по ntlmv1 и ничего у меня не отбрасывается.

Тогда я вообще запретил траффик ntlm. Аналогично - политики применились, но я могу ходить с НЕдоменной машины на доменные и КД через ntlm v1:

Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x2447d2
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -

Сведения о сети:
Имя рабочей станции: MR_BRIGHTSIDE
Сетевой адрес источника: 192.168.0.133
Порт источника: 62940

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V1
Длина ключа: 128

Да, вроде одинаковые »
странно... у меня добавились политики от 2003 домена...

Хочу запретить КД и доменным машинам использовать NTLMv1/LM »
http://technet.microsoft.com/en-us/library/dd560653(WS.10).aspx

но если я не ошибаюсь NTLMv1 отключен по умолчанию в 7\2008R2

но если я не ошибаюсь NTLMv1 отключен по умолчанию в 7\2008R2 »

у меня авторизация проходит по ntlm v1

сейчас проделаю шаги из инструкции и посмотрим!

Спасибо за помощь!

Не могу понять

отключил, ребутнул КД

На один войти не могу, пишет, что запрос не поддерживается:

http://img3.tempfile.ru/11058/16f062b464/dce15c7d1e2cc7e0f1b4e996.jpg

Сделал то же самое на рабочих КД. На одном все верно отработало и не пускает, на второй пускает... При этом, я не вижу никаких записей в логах по поводу того, какой протокол аутентификации был использован...