|
Подсказки для групповых политик
Добрый день всем
Помогите разобраться чайнику с ГПО Имею: Windows Server 2008 R2, Режим работы домена и леса - 2008. - Достались настроенные default domain policy и default domain controller policy. - При помощи dcgpofix восстановил настроенные дефолтные политки на стандартные дефолтные политики - Теперь дефолтные политики не трогаю, а если надо применить что-нибудь новое, то создаю отдельные политики и применяю их Вопрос №1: правильна ли такая схема? - Большинство политик я применяю на уровне домена, к определенным группам пользователей, однако, хочу также применить кое какие политики для КД, в частности "параметры безопасности". Согласно этой статье (предназначенной для 2000 и 2003), если я применяю ГПО на уровне домена, то к КД должны примениться лишь строго определенный небольшой набор политик безопасности. Вопросы №2. В связи с этим у меня возникают следующие вопросы: 1. как тогда применить политики так, чтобы КД принял необходимые настройки? 2. Есть ли подобный список принимаемых КД политик для Win 2008 R2? Я сделал так: gpmc.msc есть OU "Domain Controllers". Для этого контейнера создал политику "Безопасность КД" и связал его с этим OU. Фильтр содержит "прошедшие проверку". Применятся ли таким образом политики безопасности для КД? Если нет, то как правильно? |
Цитата:
Цитата:
|
Цитата:
Я имею ввиду, что вот сейчас эта политика привязана к OU Domain Controllers, она применяется для "прошедших проверку". Но, ведь прошедшие проверку - это учетные записи. А я настраиваю безопасность в разделе конфигурация компьютера, - значит, где то должно быть указано, к каким компьютерам я применяю эту политику? Значит, надо явно указать действие политик на машины-КД? Или я чего то неправильно понимаю? |
Цитата:
Цитата:
Цитата:
Авторизованные пользователи - это все, кто прошли проверку. Если контроллер домена не пройдёт проверку - у вас ничего не будет работать. восстановленные политики ещё не сравнивали? |
Цитата:
Цитата:
С прошедшими проверку все понятно, спасибо большое! Это и учетки и компьютеры. Политики применятся ТОЛЬКО для моих двух КД, потому что GPO привязана к контейнеру, где только два эти КД и присутствуют. |
Цитата:
У меня есть еще вопрос, может подскажите... Хочу запретить КД и доменным машинам использовать NTLMv1/LM, так, чтобы они давали отлуп, если в сети появлялась бы машина, которая бы проводила аутентификацию по ntlm v1 или LM. Установил следующие политики и соответствующие значения: - Сетевая безопасность: уровень проверки подлинности LAN Manager - Отправлять только NTLMv2 ответ, отказывать LM и NTLM - Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) - Требовать 128-битовое шифрование - Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) - Требовать сеансовую безопасность на базе NTLMv2 Ребутнул КД, политики применились - в RSoP'е это видно, но все равно пускает по ntlm v1 не доменную машину (это видно в логе). Код:
GPO: Безопасность - КДТогда я вообще запретил траффик ntlm. Аналогично - политики применились, но я могу ходить с НЕдоменной машины на доменные и КД через ntlm v1: Код:
Вход с учетной записью выполнен успешно. |
Цитата:
Цитата:
но если я не ошибаюсь NTLMv1 отключен по умолчанию в 7\2008R2 |
Цитата:
сейчас проделаю шаги из инструкции и посмотрим! Спасибо за помощь! |
Не могу понять
отключил, ребутнул КД На один войти не могу, пишет, что запрос не поддерживается:  Сделал то же самое на рабочих КД. На одном все верно отработало и не пускает, на второй пускает... При этом, я не вижу никаких записей в логах по поводу того, какой протокол аутентификации был использован... |
| Время: 13:10. |
Время: 13:10.
© OSzone.net 2001-