информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Сетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Я делал, но это немного не то, что тебе надо... 03.04.03 22:07  Число просмотров: 1043
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
Я подкладывал свой самодельный шаблон безопасности и через скрипт выполнял его на целевой машине. Молчал я чтоб избежать вопросов по скрипту и шаблону, по тому что сейчас у меня нет ни шаблона, не скрипта..., и не будет в ближайшие 1,5 месяца, а может и вообще не будет.
Уверен, можно и не через %опу, но проверить пока не могу, а ты спрашивал про опыт применения...
Можешь сам копнуть в направлении шаблонов и скрипта для их применения
<sysadmin>
народ, расскажите как пользоваться групповой политикой, нужно конкретно 28.03.03 18:21  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Файловая система
при добовлении в нее различных папок
интересует на какие объекты она распостраняется?
на объекты, входящие в этот контейнер(кот. принадлежит гр. пол.)??
какие объекты?? пользователи или компьютеры?? или вообще и то и другое??
заранее спасибо...
что конкретно нужно ? 28.03.03 21:57  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> Конфигурация компьютера/Конфигурация
> Windows/Параметры безопасности/Файловая система

> при добовлении в нее различных папок

Каких папок ? Ты имеешь в виду OU ?

> интересует на какие объекты она распостраняется?

На вложенные в OU, OU - это основная единица для применения OGP.

> на объекты, входящие в этот контейнер(кот. принадлежит гр.
> пол.)??

Да, но все зависит от того как они применяются, они могут наследоваться, сбрасываться, принудительно применяться.
По приоритету обработки они располагаются вот так :
Local security policy
Domain policy
OU policy
...
OU policy (for the OU that the machine is contained in)

> какие объекты?? пользователи или компьютеры?? или вообще и
> то и другое??

в GPO есть соотв. разделы: User и Machine, к какому разделу прицепишь, к такому и применяться будут
Собственно в ссылке есть по ним инфа, посмотри там рядом про машинные и пользовательские политики.
во второй ссылке скачай grouppolwp.doc и читай.

Вот какие они бывают
скачай grouppolwp.doc
что конкретно нужно ? 28.03.03 22:16  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
> > Конфигурация компьютера/Конфигурация
> > Windows/Параметры безопасности/Файловая система
>

> > при добовлении в нее различных папок
>
> Каких папок ? Ты имеешь в виду OU ?
ntfs, диска
> > интересует на какие объекты она распостраняется?
>
> На вложенные в OU, OU - это основная единица для применения
> OGP.
>
> > на объекты, входящие в этот контейнер(кот. принадлежит
> гр.
> > пол.)??
>
> Да, но все зависит от того как они применяются, они могут
> наследоваться, сбрасываться, принудительно применяться.
> По приоритету обработки они располагаются вот так :
> Local security policy
> Domain policy
> OU policy
> ...

и чтобы политика заработала надо переопределить - сделать политику домена не перекрываемой от локальной ???

> OU policy (for the OU that the machine is contained in)
>
> > какие объекты?? пользователи или компьютеры?? или
> вообще и
> > то и другое??
>
> в GPO есть соотв. разделы: User и Machine, к какому разделу
> прицепишь, к такому и применяться будут
> Собственно в ссылке есть по ним инфа, посмотри там рядом
> про машинные и пользовательские политики.
> во второй ссылке скачай grouppolwp.doc и читай.
т.е. ежели я хочу раскидать права доступа на машинах в домене, то в этот контейнер надо переместить эти самые машины???
что конкретно нужно ? 28.03.03 23:00  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> > > Конфигурация компьютера/Конфигурация
> > > Windows/Параметры безопасности/Файловая система
> >

> > > при добовлении в нее различных папок
> >
> > Каких папок ? Ты имеешь в виду OU ?
> ntfs, диска

Это надо делать в контексте безопасности самой папки, хотя можно и так, но если групповое наследование прав плохо продумано - хлебнешь лиха.
Хотя результирующие разрешения на реестр проще выставлять через GPO самому или импортировав шаблон безопасности. Смотри раздел "Setting Access Permission for Files and Folders" в линке.

> и чтобы политика заработала надо переопределить - сделать
> политику домена не перекрываемой от локальной ???

или на оборот, есть масса софта для анализа результирующих политик, fazam2000 или подключаемая оснастка mmc Security Configuration and Analyzer.
Вообще всё зависит от организации, структуры каталога, требований к безопасности и т.д. надо комбинировать запрет, наследование и принудиловку.

скачай grouppolwp.doc и читай.
> т.е. ежели я хочу раскидать права доступа на машинах в
> домене, то в этот контейнер надо переместить эти самые
> машины???

Да. И не только права доступа, а ещё и выполняемые скрипты, intellimirror, разрешения на доступ к веткам реестра и т.д..
Не забывай про групповое наследование прав
Вобщем принцип такой:
The most common way of implementing authorization is with role-based access control (RBAC). Role-based access control means that a group of people with the same job function should have the same systems access
, если напортачишь - при каждой перезагрузке будет опять беда - хоть исправляй хоть - нет
А если на контроллере лопухнешься - может понадобиться перестановка.

Security Administration Operations Guide
неужели так никто и не делал??? 03.04.03 21:48  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
Я делал, но это немного не то, что тебе надо... 03.04.03 22:07  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
Я подкладывал свой самодельный шаблон безопасности и через скрипт выполнял его на целевой машине. Молчал я чтоб избежать вопросов по скрипту и шаблону, по тому что сейчас у меня нет ни шаблона, не скрипта..., и не будет в ближайшие 1,5 месяца, а может и вообще не будет.
Уверен, можно и не через %опу, но проверить пока не могу, а ты спрашивал про опыт применения...
Можешь сам копнуть в направлении шаблонов и скрипта для их применения
Я делал, но это немного не то, что тебе надо... 03.04.03 22:39  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
> Я подкладывал свой самодельный шаблон безопасности и через
> скрипт выполнял его на целевой машине. Молчал я чтоб
> избежать вопросов по скрипту и шаблону, по тому что сейчас
> у меня нет ни шаблона, не скрипта..., и не будет в
> ближайшие 1,5 месяца, а может и вообще не будет.
> Уверен, можно и не через %опу, но проверить пока не могу, а
> ты спрашивал про опыт применения...
> Можешь сам копнуть в направлении шаблонов и скрипта для их
> применения
я с шаблонами тож возился, но как ты сказал хотелось не через %опу
можт какие мысли еще подкинешь чтобы без %опы??
Я делал, но это немного не то, что тебе надо... 04.04.03 22:33  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> я с шаблонами тож возился, но как ты сказал хотелось не
> через %опу
> можт какие мысли еще подкинешь чтобы без %опы??
Мысли вот какие: процедура все равно разовая, т.е. не будешь не ты клиенту принудительно ACL асставлять при логоне на всех разделах, на все объекты ;-)), так вот:
Один раз - всё таки можно при добавлении новой тачки прогнать её через OU "New Machine", на котором в скрипте будет
secedit /configure /scppath MyTemplate_path /areas FILESTORE /overwrite[/sadpath sadpath] /log MyLog_path /quiet

---
это по вкусу:
/sadpath sadpath is the path to database that Secedit will use to configure the system (with addition of information in scppath if a scppath is specified.) If sadpath is not specified, then a default database is used. The default database is %windir%\security\database\secedit.sdb for administrators or %userprofile%\secedit.sdb for users. If sadpath is a new database, the scppath must be specified.
А потом зарядить его-же (secedit), но с generate.

Или пиши свой софт:
Extending the Group Policy Functionality
It is possible to extend the current functionality of the Group Policy snap-in by creating administrative template files (.adm), or by authoring a Group Policy extension snap-in.
For information on creating Group Policy extension snap-ins, see the Group Policy documentation in the Microsoft Platform SDK at http://msdn.microsoft.com/downloads/sdks/platform/platform.asp.

Но я не стал бы с безопасностью файловой системы возиться через групповые политики. Не говоря о файловой системе у M$ даже при отображении ACL объектов АД глюк на глюке сидит и глюком погоняет :-(:

The ACL editor contains another anomaly: When you use the window in Figure 2 to remove a permission from a user who has Full Control (e.g., clear the Allow check box next to Delete User Objects), the system creates a horde of single-permission entries for the user and displays them in the Permission Entries list. Even two such special permissions assignments will fill up the Permission Entries list so that you can no longer find a specific permission assignment. The ACL editor's poor design has had a direct impact on our efforts to manage permissions in our growing OU structure. Because of this problem and other anomalies, we avoid complicated security editing of AD ACLs unless absolutely necessary.

Это из "Beyond the Active Directory Delegation of Control Wizard", почитай и эту статью или картинки посмотри ;-).



может я уже давал такой линк но посмотри как буржуи сами делают
а есть ли у кого реальный опыть использования такой политики ? (имеется ввиду File System) 31.03.03 18:12  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach