Гранулированные политики паролей или PSO в действии

Одна из актуальных тем во многих организациях – это обеспечение своих пользователей безопасными паролями, с чем у большинства пользователей огромные проблемы. Ведь никому не хочется генерировать сложные пароли, несмотря на то, что в компаниях может быть информация, к которой будут пытаться получить доступ злоумышленники, а такого пароля как 111, 123, qwerty и т.п. казалось бы, более чем достаточно. А если пользовательские учетные записи взломают и будут украдены какие-то данные, скорее всего, виноватым окажется ИТ-подразделение, так как не было внедрено должных средств по обеспечению безопасности.

Во избежание таких неприятностей, в операционных системах Windows присутствуют неплохо себя зарекомендовавшие политики паролей, которые отчасти помогают справиться с небезопасными пользовательскими паролями. Однако, у этих политик есть существенное ограничение.

Больше

Темы, разрешение экрана, PowerShell и GPO

Буквально на днях мне в Windows Live Messenger задали, как мне показалось, довольно интересный вопрос. Полностью цитировать вопрос не буду, а передам вам саму суть.

В компании есть около 300 компьютеров, на которых, естественно, разное расширение экрана. У компании есть оригинальное лого, которое должно красоваться в качестве фонового изображения рабочего стола пользователей, причем, невзирая на разрешение экрана, выглядеть оно должно одинаково. То есть, под каждое расширение экрана сделана отдельная картинка. Помимо этого, под каждое разрешение экрана компанией была разработана не просто отдельная картинка, а тема под Windows 7.

А вопрос был следующим: каким образом можно на основании разрешения экрана при помощи функциональных возможностей групповой политики установить пользователю именно ту тему, которая была создана специально для экрана этого пользователя.

Естественно, одними лишь средствами групповой политики выполнять эту задачу нецелесообразно. Почему так? Ведь можно создать объект групповой политики, который меняет пользовательскую тему, а при помощи фильтрации WMI искать компьютеры с подходящим разрешением экрана. Такой вариант, в принципе, подойдет. Однако, представьте себе, сколько вам понадобится создать объектов групповой политики?

Отвечу просто, много. Поэтому следует прибегнуть к такому мощнейшему инструменту, как PowerShell, чему, по большому счету, и посвящена в основном эта статья. Но, обо всем по порядку…

Больше

Конфигурация узлов сеансов удаленных рабочих столов и групповая политика. Часть 2

Пост переехал. Новый адрес: http://gpo-planet.com/?p=3184

Конфигурация узлов сеансов удаленных рабочих столов и групповая политика. Часть 1

Пост переехал. Новый адрес: http://gpo-planet.com/?p=3152

Прелести технологии AppLocker. Часть 2

Из предыдущей статьи настоящего цикла вы узнали о том, что представляет собой технология AppLocker, узнали о ключевых отличиях, по отношению к политикам ограниченного использования программ, а также о том, каким образом можно создать правила AppLocker, используемые по умолчанию. Безо всякого сомнения, всего этого недостаточно для того, чтобы указать пользователям запреты на использование того или иного приложения.

Почему так? Тут все просто. Действия, о которых вы узнали из предыдущей статьи данного цикла, только позволяют разрешить пользователям запускать любые приложения, которые находятся в нескольких расположениях по умолчанию. То есть, пользователи смогут запускать любые файлы, которые находятся в папке с файлами операционной системы, то есть, %SystemRoot%, а также в папках Program Files. Другими словами, если где-то у пользователя будет жить исполняемый файл, пользователи его не смогут запустить. В принципе, это уже неплохо. Но ведь то, что было выполнено ранее, еще не является пределом всех мечтаний и практически каждому системному администратору может понадобиться создавать какие-то дополнительные, более гибкие правила, запрещающие пользователям лезть туда, куда им не нужно. В этой статье вы узнаете о том, какие можно создавать правила для AppLocker.

Больше

Установка принтеров на компьютеры пользователей средствами групповой политики. Часть 1

Посте переехал. Новый адрес: http://gpo-planet.com/?p=2759

Работа с предпочтениями групповой политики: настройка региональных стандартов, а также настройка формата денежных единиц, чисел времени и даты

К одним из наиболее редко настраиваемых задач в операционных системах Windows можно отнести настройку региональных стандартов, а именно язык пользователя, а также форматов времени, даты, денежных единиц и чисел. Чаще всего язык пользователя настраивается во время самой установки операционной системы, а вот остальные региональные параметры, помимо языка для отображения текста в программах, не поддерживающих Юникод, практически никогда не настраиваются. Соответственно, если вам нужно будет указать, скажем, денежную единицу или формат времени, отличный от установленного по умолчанию, вам придется заходить в диалоговое окно «Настройка формата» на каждом пользовательском компьютере и менять эти настройки вручную.

Как вы знаете, технология групповых политик поддерживает огромный функционал, предназначенный для централизованного развертывания и управления настройками пользователей и компьютеров в организации. А предпочтения групповой политики, которые были разработаны в дополнение к групповым политикам, позволяют выполнять различные настройки параметров компьютеров и пользователей без их принудительного использования.

Больше

Работа с предпочтениями групповой политики: настройка меню «Пуск» для пользователей

Пост переехал. Новый адрес: http://gpo-planet.com/?p=2615

Все что вы хотели знать о мастерах операций, но боялись спросить

Большинство системных администраторов в своей корпоративной среде для обеспечения системы идентификации и доступа своих пользователей к ресурсам предприятия используют доменные службы Active Directory, которые смело можно назвать сердцем всей инфраструктуры предприятия. Как многие из вас знают, структура доменных служб в организациях может включать в себя как один, так и несколько лесов (набор доменов, включающих описание сетевой конфигурации и единственный экземпляр каталога), в зависимости от таких факторов как ограничение области доверительных отношений, полное разделение сетевых данных, получение административной изоляции. В свою очередь, каждый большой лес для упрощения администрирования и репликации данных должен разделяться на домены. В каждом домене для управления доменными службами и выполнения таких задач как проверка подлинности, запуск службы «Центр распределения ключей Kerberos» и управления доступом используются контроллеры домена. А для управления сетевым трафиком между офисами разрабатываются сайты.

Больше

История об управлении правами папок, размещённых на файловом сервере

Несколько недель назад мне в чате социальной сети Facebook задали довольно интересный вопрос по реализации нестандартных прав на папки, расположенные на сетевом ресурсе. Была поставлена следующая задача: есть файловый сервер с установленной службой распределённой файловой системы. На этом сервере создано пространство имён «FS» и внутри этого пространства имён предоставлен доступ к одной папке, скажем, папке с названием «Full Access», к которой у всех пользователей есть права на чтение и изменение. Внутри этой папки есть вторая вложенная папка, скажем, «Restricted Data», в которую пользователи из глобальной группы «Аудиторы» могут сохранять свои документы, но просматривать и редактировать все сохранённые в эту папку файлы должны только те пользователи, которые входят в группу «Управление», а также пользователи с административными правами.

Больше