Δικτύου
Έξυπνη τηλεόραση
Λύσεις
Android
Μόντεμ
Συσκευές
Προγράμματα

Ο διαχειριστής του συστήματος έχει απαγορεύσει τη χρήση των αποθηκευμένων διαπιστευτηρίων. Να επιτρέπεται η αποθήκευση διαπιστευτηρίων κατά τη σύνδεση μέσω του RDP

Όταν συνδέεστε σε μια απομακρυσμένη επιφάνεια εργασίας μέσω του RDP, μπορείτε να αποθηκεύσετε διαπιστευτήρια για να μην τα εισάγετε κάθε φορά. Αλλά υπάρχει μια λεπτότητα. Επομένως, εάν συνδεθείτε από έναν υπολογιστή που βρίσκεται σε έναν τομέα σε έναν υπολογιστή σε μια ομάδα εργασίας, δεν θα μπορείτε να χρησιμοποιήσετε τα αποθηκευμένα δεδομένα και θα λάβετε ένα μήνυμα παρόμοιο με το ακόλουθο:

"Ο διαχειριστής του συστήματος έχει απαγορεύσει τη χρήση αποθηκευμένων διαπιστευτηρίων για σύνδεση στον απομακρυσμένο υπολογιστή, καθώς η αυθεντικότητά του δεν έχει πλήρως επαληθευτεί. Εισαγάγετε νέα διαπιστευτήρια. "

Το γεγονός είναι ότι η εξοικονόμηση διαπιστευτηρίων κατά τη σύνδεση με έναν απομακρυσμένο υπολογιστή απαγορεύεται από τις προεπιλεγμένες πολιτικές τομέα. Ωστόσο, αυτή η κατάσταση μπορεί να αλλάξει.

Στον υπολογιστή από τον οποίο συνδέεστε, κάντε κλικ στην επιλογή Win + R   και εισάγετε την εντολή   gpedit.mscστη συνέχεια, κάντε κλικ στο κουμπί OK. Επιπλέον, ίσως χρειαστεί να καταχωρίσετε τον κωδικό πρόσβασης διαχειριστή ή να τον επιβεβαιώσετε, ανάλογα με το.

Στο ανοιχτό παράθυρο του τοπικού επεξεργαστή πολιτικής ομάδας, μεταβείτε στην ενότητα Administrative Templates -\u003e System -\u003e Passing Credentials. Ενδιαφερόμαστε για την πολιτική Να επιτρέπεται η μεταβίβαση αποθηκευμένων διαπιστευτηρίων με έλεγχο ταυτότητας διακομιστή "μόνο NTLM" (στην αγγλική έκδοση του Allow Delegating Saved Credentials με πιστοποίηση ταυτότητας διακομιστή μόνο για NTLM).


Ενεργοποιήστε την πολιτική και κάντε κλικ στο κουμπί Εμφάνιση για να προσθέσετε στη λίστα τους διακομιστές στους οποίους πρόκειται να συνδεθούμε.


Υπάρχουν διάφοροι τρόποι για να συμπληρώσετε τη λίστα. Για παράδειγμα:

TERMSRV / remote_pc - επιτρέπουν την αποθήκευση των διαπιστευτηρίων για έναν συγκεκριμένο υπολογιστή.
   TERMSRV / * Contoso.com - επιτρέπουμε την αποθήκευση δεδομένων για όλους τους υπολογιστές στον τομέα contoso.com.
   TERMSRV / * - επιτρέπουν την αποθήκευση δεδομένων για όλους τους υπολογιστές χωρίς εξαίρεση.

Προσοχή:   χρησιμοποιήστε κεφαλαία γράμματα στο TERMSRV, όπως στο παράδειγμα. Εάν οριστεί ένας συγκεκριμένος υπολογιστής, η τιμή remote_pc πρέπει ταιριάζει ακριβώς   με το όνομα που έχει εισαχθεί στο πεδίο "Υπολογιστής" της απομακρυσμένης επιφάνειας εργασίας.


Συμπληρώστε τη λίστα, κάντε κλικ στο κουμπί OK και κλείστε τον επεξεργαστή πολιτικής ομάδας. Ανοίξτε την κονσόλα εντολών και ενημερώστε τις πολιτικές με την εντολή gpupdate / δύναμη. Όλα, μπορείτε να συνδεθείτε.

Και πολλά άλλα. Χρησιμοποιώντας τις πολιτικές τοπικής ομάδας, επιτρέπεται η αποθήκευση διαπιστευτηρίων μόνο σε έναν συγκεκριμένο υπολογιστή. Για διάφορους υπολογιστές, θα ήταν καλύτερο να δημιουργηθεί μια ξεχωριστή ΟΠ στον τομέα και να συνδεθεί η αντίστοιχη πολιτική τομέα με αυτήν.

Σήμερα, υπάρχουν εκατοντάδες και ίσως χιλιάδες λογαριασμοί διαχειριστή στο δίκτυο. Έχετε τον έλεγχο όλων αυτών των λογαριασμών και ξέρετε τι μπορούν να κάνουν;

Γιατί πρέπει να ελέγχω τους λογαριασμούς διαχειριστή;

Εάν είστε διαχειριστής δίκτυο των Windowsκαι μια τέτοια πλειοψηφία, τότε η προσοχή σας θα πρέπει να κατευθύνεται προς την εταιρική επιχείρηση Active Directory. Με όλες αυτές τις ανησυχίες σχετικά με την ασφάλεια των ελεγκτών τομέα, των διακομιστών, των υπηρεσιών, των εφαρμογών και της σύνδεσης στο Διαδίκτυο, μένει λίγος χρόνος για να διασφαλιστεί ότι λογαριασμούς   οι διαχειριστές ελέγχονται σωστά.

Οι λόγοι για τους οποίους πρέπει να ελέγξετε αυτούς τους λογαριασμούς, μια τεράστια ποικιλία. Πρώτον, χιλιάδες ή μεγάλοι τέτοιου είδους λογαριασμοί ενδέχεται να υπάρχουν σε μεγάλα ή μεσαία δίκτυα, οπότε υπάρχει μεγάλη πιθανότητα ότι αυτοί οι λογαριασμοί μπορούν να ξεφύγουν από τον έλεγχο. Δεύτερον, οι περισσότερες εταιρείες επιτρέπουν στους απλούς χρήστες να έχουν πρόσβαση σε έναν τοπικό λογαριασμό διαχειριστή, ο οποίος μπορεί να προκαλέσει προβλήματα. Τρίτον, ο αρχικός λογαριασμός διαχειριστή πρέπει να χειρίζεται με προσοχή, επομένως ο περιορισμός των προνομίων είναι ένα εξαιρετικό προληπτικό μέτρο.

Πόσα λογαριασμούς διαχειριστή έχετε;

Για να απαντήσετε σε αυτήν την ερώτηση, πρέπει να κάνετε κάποιο υπολογισμό (όπως θα έλεγε ο Jethro Bodine). Δεδομένου ότι κάθε υπολογιστής με Windows έχει λογαριασμό τοπικού διαχειριστή, τότε θα ξεκινήσουμε από εδώ. Αυτοί οι υπολογιστές περιλαμβάνουν τα Windows NT, 2000, XP και Vista. Βεβαιωθείτε ότι έχετε ενεργοποιήσει όλους τους υπολογιστές-πελάτες που χρησιμοποιούν οι διαχειριστές, οι προγραμματιστές, οι υπάλληλοι και ακόμη και στο δωμάτιο διακομιστή ή στις συσκευές εφαρμογών. Αν έχετε περίπτερα, υπολογιστές δοκιμής, συγκεντρωτικούς σταθμούς εργασίας κ.λπ., τότε πρέπει επίσης να συμπεριλάβετε όλους τους υπολογιστές μας. Δεν χρειάζεται να διαβάζετε ακόμα λογαριασμούς χρηστών, επειδή ο αριθμός των συσκευών ενδέχεται να μην αντιστοιχεί στον αριθμό των χρηστών.

Τώρα πρέπει να εξετάσετε τον αριθμό των διακομιστών που έχετε. Δεν είναι ακόμη απαραίτητο να συμπεριληφθούν οι ελεγκτές τομέα σε αυτήν τη λίστα. Από όλους τους διακομιστές σας, πρέπει να επιλέξετε διακομιστές που εκτελούν τις ακόλουθες εργασίες: αποθήκευση δεδομένων, διακομιστή για εκτύπωση, διακομιστή εφαρμογών, mail server, διακομιστή γραφείου, κ.λπ. Κάθε ένας από αυτούς τους διακομιστές διαθέτει ένα τοπικό SAM και ως εκ τούτου έχει έναν τοπικό λογαριασμό διαχειριστή. Αυτός ο λογαριασμός μπορεί να μην χρησιμοποιείται πολύ συχνά, αλλά αυτό μπορεί να είναι ένας ακόμα πιο σημαντικός λόγος για τον οποίο είναι απαραίτητο να ελέγχετε τα δικαιώματά του.

Τέλος, θα πρέπει να εξετάσετε ελεγκτές τομέα. Εδώ έχετε έναν πολύ σημαντικό λογαριασμό διαχειριστή - έναν λογαριασμό που ελέγχει την υπηρεσία καταλόγου Active Directory. Αυτός ο λογαριασμός διαχειριστή όχι μόνο ελέγχει την υπηρεσία καταλόγου Active Directory, αλλά ελέγχει επίσης τον ριζικό τομέα καθώς και τον εταιρικό διαχειριστή. Εάν έχετε περισσότερους από έναν τομείς, τότε πρέπει να έχετε έναν λογαριασμό διαχειριστή για κάθε τομέα. Ο αντίστοιχος λογαριασμός διαχειριστή ισχύει μόνο στον τομέα στον οποίο βρίσκεται, αλλά εξακολουθεί να είναι ένας πολύ σημαντικός λογαριασμός.

Περιορισμός εισόδου

Δεν υπάρχουν πολλές δυνατότητες για φυσικό περιορισμό των δικαιωμάτων σύνδεσης για αυτούς τους λογαριασμούς διαχειριστή. Ωστόσο, οι λογαριασμοί αυτοί δεν πρέπει να χρησιμοποιούνται καθημερινά. Ως εκ τούτου, είναι απαραίτητο να ληφθούν ορισμένα μέτρα για τον περιορισμό της χρήσης τους. Η προφανής επιλογή είναι να περιορίσετε τον αριθμό των χρηστών που γνωρίζουν τους κωδικούς πρόσβασης για αυτούς τους λογαριασμούς. Για λογαριασμούς διαχειριστή που σχετίζονται με την υπηρεσία καταλόγου Active Directory, θα ήταν ωραίο να αναπτύξουμε μια διαδικασία για την ανάθεση κωδικών πρόσβασης όταν κανένας χρήστης δεν γνωρίζει ολόκληρο τον κωδικό πρόσβασης. Αυτό μπορεί να γίνει εύκολα όταν δύο διαφορετικοί διαχειριστές εισάγουν ένα μέρος του κωδικού πρόσβασης και, στη συνέχεια, τεκμηριώνουν αυτό το μέρος. Εάν ο λογαριασμός αυτός είναι πάντα απαραίτητος, τότε πρέπει να πάρετε και τα δύο μέρη του κωδικού πρόσβασης. Μια άλλη επιλογή είναι να χρησιμοποιήσετε ένα πρόγραμμα για να δημιουργήσετε αυτόματα έναν κωδικό πρόσβασης που σας επιτρέπει να δημιουργήσετε έναν σύνθετο κωδικό πρόσβασης.

Περιορισμός της πρόσβασης σε λογαριασμό τοπικού διαχειριστή

Ανεξάρτητα από το αν επιτρέπετε στους απλούς χρήστες να έχουν πρόσβαση στο σταθμό εργασίας τους ή όχι, πρέπει να περιορίσετε την πρόσβασή τους στο λογαριασμό τοπικού διαχειριστή. Δύο εύκολοι τρόποι για αυτό, συνίστανται στην αλλαγή του ονόματος του λογαριασμού τοπικού διαχειριστή και στην αλλαγή του κωδικού πρόσβασης για αυτόν. Υπάρχουν αντικείμενα πολιτικής ομάδας για καθεμία από αυτές τις ρυθμίσεις. Η πρώτη παράμετρος βρίσκεται στην καρτέλα Ρυθμίσεις Windows | Ρυθμίσεις ασφαλείας | Τοπικές πολιτικές | Επιλογές ασφαλείας, όπως φαίνεται στο σχήμα 1. Η πολιτική που πρέπει να διαμορφώσετε ονομάζεται Λογαριασμοί: Μετονομασία λογαριασμού διαχειριστή.

Σχήμα 1: Πολιτική αλλαγής ονόματος λογαριασμού τοπικού διαχειριστή

Η δεύτερη πολιτική που πρέπει να διαμορφώσετε είναι μέρος μιας νέας οικογένειας ρυθμίσεων πολιτικής (οικογένεια ρυθμίσεων πολιτικής), η οποία θα εμφανιστεί το 2007. Αυτή η πολιτική αποτελεί μέρος του πακέτου που ονομάζεται "Suite PolicyMaker" και βρίσκεται στη "Ρυθμίσεις υπολογιστή" | και ομάδες, όπως φαίνεται στο σχήμα 2.

Σχήμα 2: Πολιτική επαναφοράς κωδικού πρόσβασης για τους λογαριασμούς διαχειριστή του τοπικού λογαριασμού διαχειριστή

Σημείωση: Αυτή η πολιτική δεν απαγορεύει σε έναν τακτικό χρήστη να παρακολουθεί συνεχώς αυτόν τον λογαριασμό, δεδομένου ότι ο μόνος τρόπος για να το κάνετε αυτό είναι να καταργήσετε τον κανονικό χρήστη από την ομάδα διαχειριστών.

Περιορισμός πρόσβασης δικτύου

Όπως όλοι γνωρίζουν (αλλά δεν θυμάται όλοι), ο λογαριασμός διαχειριστή δεν πρέπει να χρησιμοποιείται σε καθημερινή βάση. Για το λόγο αυτό, δεν χρειάζεται να διαμορφώσετε το δίκτυο για να επιτρέψετε την πρόσβαση στο δίκτυο στο πλαίσιο αυτού του λογαριασμού. Ένας καλός τρόπος για να περιορίσετε τα δικαιώματα αυτού του λογαριασμού είναι να αποτρέψετε την πρόσβαση του λογαριασμού διαχειριστή σε διακομιστές και ελεγκτές τομέα στο δίκτυο. Αυτό μπορεί να γίνει εύκολα με τη διαμόρφωση GPO. Αυτή η ρύθμιση GPO βρίσκεται στην επιλογή Ρυθμίσεις υπολογιστή | Ρυθμίσεις Windows | Ρυθμίσεις ασφαλείας | Τοπικές πολιτικές | Εκχώρηση δικαιωμάτων χρήστη, όπως φαίνεται στο σχήμα 3. Η πολιτική που πρέπει να διαμορφώσετε ονομάζεται Άρνηση πρόσβασης σε αυτόν τον υπολογιστή από το δίκτυο .

Εικόνα 3: Πολιτική για την αποτροπή πρόσβασης διαχειριστή από υπολογιστή σε δίκτυο

Άλλες ρυθμίσεις

Μπορείτε επίσης να περιορίσετε την πρόσβαση για λογαριασμό διαχειριστή εντός εταιρείας. Άλλα παραδείγματα όπου μπορείτε να περιορίσετε την πρόσβαση:

  • Μην χρησιμοποιείτε το λογαριασμό διαχειριστή ως λογαριασμό υπηρεσίας.
  • Απαγόρευση πρόσβασης σε υπηρεσίες τερματικών σε διακομιστές και ελεγκτές τομέα
  • Αποτρέψτε τους διαχειριστές να συνδεθούν ως υπηρεσία σε διακομιστές και ελεγκτές τομέα
  • Απενεργοποιήστε τη σύνδεση λογαριασμού διαχειριστή ως εργασία παρτίδας

Αυτές οι ρυθμίσεις περιορίζουν μόνο την επίδραση του λογαριασμού διαχειριστή σε υπολογιστές του δικτύου. Αυτές οι ρυθμίσεις δεν εμποδίζουν ένα χρήστη με δικαιώματα διαχειριστή να ρυθμίσει τις παραμέτρους αυτής της πρόσβασης. Σε αυτήν την περίπτωση, πρέπει να ρυθμίσετε τις παραμέτρους ελέγχου για να ρυθμίσετε τις παραμέτρους ενός λογαριασμού διαχειριστή, καθώς και να ελέγξετε πότε χρησιμοποιήθηκε αυτός ο λογαριασμός για να συνδεθείτε και να χρησιμοποιήσετε δικαιώματα χρήστη. Και πάλι, αυτές οι ρυθμίσεις μπορούν να γίνουν χρησιμοποιώντας το GPO. Μπορείτε να βρείτε αυτές τις ρυθμίσεις στη ρύθμιση Ρυθμίσεις των Windows | Ρυθμίσεις ασφαλείας | Τοπικές πολιτικές | Πολιτική ελέγχου, όπως φαίνεται στο σχήμα 4.


Σχήμα 4: Πολιτική για τη δημιουργία ενός ελέγχου για τη διαχείριση και τη χρήση ενός λογαριασμού

Περίληψη του

Ο λογαριασμός διαχειριστή είναι ο σημαντικότερος λογαριασμός που υπάρχει στον κόσμο λειτουργίας. Σύστημα Windows   λειτουργικό σύστημα. Αυτός ο λογαριασμός είναι τόσο ισχυρός ώστε να μην χρησιμοποιείται μέχρι να προκύψει πραγματική ανάγκη, όπως η αποκατάσταση έκτακτης ανάγκης ή η αρχική ρύθμιση. Για να περιορίσετε την εμβέλεια αυτού του λογαριασμού, μπορείτε να το κάνετε προηγμένες ρυθμίσεις   για την προστασία του λογαριασμού σας και την πρόσβαση σε αυτόν. Οι πολιτικές ομάδας είναι ο μηχανισμός που χρησιμοποιείται για τη διανομή αυτών των μειωμένων δικαιωμάτων σε όλους τους υπολογιστές για τους οποίους πρέπει να περιορίσετε τα δικαιώματα διαχειριστή. Μετά από αυτές τις ρυθμίσεις, θα παρακολουθείται όχι μόνο ο λογαριασμός του διαχειριστή, αλλά θα είναι επίσης δυνατό να εντοπιστούν οι προσπάθειες απόκρυψης στο δίκτυό σας με αυτόν τον λογαριασμό.

Σε προηγούμενα άρθρα σχετικά με τις πολιτικές τοπικής ασφάλειας, μάθατε για τις αρχές των πολιτικών λογαριασμού και των πολιτικών ελέγχου. Διαθέτοντας τις αποκτηθείσες γνώσεις, μπορείτε να προστατεύσετε σημαντικά τα διαπιστευτήρια των χρηστών σας και να παρακολουθήσετε προσπάθειες μη εξουσιοδοτημένης πρόσβασης. Αξίζει να θεωρηθεί ότι οι χρήστες δεν έχουν επαρκή βάση γνώσεων για την ασφάλεια και ότι ακόμη και ένας κανονικός χρήστης μπορεί να έχει αρκετά προνόμια για να βλάψει το σύστημά του και ακόμη και τους υπολογιστές στο intranet. Για να αποφύγετε τέτοια προβλήματα, βοηθούν τις πολιτικές ασφάλειας τοπικών δικαιωμάτων εκχώρησης δικαιωμάτων, οι οποίες, στην πραγματικότητα, θα συζητηθούν σε αυτό το άρθρο. Χρησιμοποιώντας τις πολιτικές εκχώρησης δικαιωμάτων χρήστη, μπορείτε να καθορίσετε για ποιους χρήστες ή ομάδες χρηστών θα χορηγούνται διάφορα δικαιώματα και προνόμια. Με αυτές τις πολιτικές, δεν μπορείτε να ανησυχείτε για το γεγονός ότι οι χρήστες θα εκτελέσουν ενέργειες που δεν πρέπει να κάνουν. Για την εκχώρηση δικαιωμάτων, είναι διαθέσιμες 44 πολιτικές ασφάλειας, η εφαρμογή των οποίων θα συζητηθεί αργότερα.

Πολιτικές εκχώρησης δικαιωμάτων χρήστη

Όπως αναφέρθηκε παραπάνω, υπάρχουν 44 πολιτικές ασφαλείας για την εκχώρηση δικαιωμάτων χρήστη. Στη συνέχεια, μπορείτε να εξοικειωθείτε με δεκαοχτώ πολιτικές ασφαλείας που είναι υπεύθυνες για την εκχώρηση διαφόρων δικαιωμάτων σε χρήστες ή ομάδες στον οργανισμό σας.

  1. Αρχειοθέτηση αρχείων και καταλόγων. Με αυτήν την πολιτική, μπορείτε να καθορίσετε χρήστες ή ομάδες για να εκτελέσετε λειτουργίες. backup   αρχεία, καταλόγους, κλειδιά μητρώου και άλλα αντικείμενα που υπόκεινται σε αρχειοθέτηση. Αυτή η πολιτική παρέχει πρόσβαση για τα ακόλουθα δικαιώματα:
    • Αναζήτηση φακέλων / Εκτέλεση αρχείων
    • Περιεχόμενο φακέλου / ανάγνωση δεδομένων
    • Ανάγνωση χαρακτηριστικών
    • Ανάγνωση διευρυμένων ιδιοτήτων
    • Δικαιώματα ανάγνωσης

    2. Σε σταθμούς εργασίας και διακομιστές, τα δικαιώματα αυτά παρέχονται σε ομάδες. "Διαχειριστές"   και "Backup Operators", και σε ελεγκτές τομέα - "Backup Operators"   και "Διαχειριστές διακομιστών".

  2. Κλείδωμα σελίδων στη μνήμη. Χρησιμοποιώντας αυτήν την πολιτική ασφαλείας, μπορείτε να καθορίσετε συγκεκριμένους χρήστες ή ομάδες που επιτρέπεται να χρησιμοποιούν διαδικασίες για την αποθήκευση δεδομένων στη φυσική μνήμη, προκειμένου να αποφευχθεί η απόρριψη δεδομένων σε εικονική μνήμη στο δίσκο. Από προεπιλογή, και οι δύο σταθμοί εργασίας και οι διακομιστές δεν διαθέτουν δεν υπάρχει καμία άδεια γι 'αυτό.
  3. Ανάκτηση αρχείων και καταλόγων. Η πολιτική αυτή σας επιτρέπει να ορίσετε τους χρήστες και τις ομάδες που μπορεί να εκτελέσει την ανάκτηση των αρχείων και φακέλων, παρακάμπτοντας τα μπλοκάρει αρχεία, καταλόγους, τα κλειδιά μητρώου και άλλα αντικείμενα που βρίσκονται στις αρχειοθετημένες εκδόσεις faylov.Na προνόμια σταθμούς εργασίας και servers δεδομένα που χορηγούνται σε ομάδες "Διαχειριστές"   και "Backup Operators", και σε ελεγκτές τομέα - "Backup Operators"   και "Διαχειριστές διακομιστών".
  4. Συνδεθείτε ως εργασία παρτίδας. Όταν δημιουργείτε μια εργασία χρησιμοποιώντας τον προγραμματιστή εργασιών, το λειτουργικό σύστημα καταγράφει το χρήστη στο σύστημα ως χρήστης με σύνδεση κατά παρτίδες. Αυτή η πολιτική επιτρέπει σε μια ομάδα ή έναν συγκεκριμένο χρήστη να συνδεθεί χρησιμοποιώντας αυτήν τη μέθοδο. Από προεπιλογή, τόσο σε σταθμούς εργασίας όσο και σε ελεγκτές τομέα, τα δικαιώματα αυτά παρέχονται σε ομάδες "Διαχειριστές"   και "Backup Operators".
  5. Συνδεθείτε ως υπηρεσία. Ορισμένες υπηρεσίες συστήματος συνδεθείτε λειτουργικό σύστημα   υπό διαφορετικούς λογαριασμούς. Για παράδειγμα, η υπηρεσία "Ήχος των Windows"   τρέχει κάτω από το λογαριασμό "Τοπική υπηρεσία"υπηρεσίας Τηλεφωνία   χρησιμοποιεί ένα λογαριασμό "Υπηρεσία δικτύου". Αυτή η πολιτική ασφαλείας καθορίζει ποιοι λογαριασμοί υπηρεσιών μπορούν να καταχωρίσουν μια διαδικασία ως υπηρεσία. Από προεπιλογή, και οι δύο σταθμοί εργασίας και οι διακομιστές δεν έχουν δικαιώματα για αυτήν την ομάδα.
  6. Εκτελέστε εργασίες συντήρησης όγκου. Χρησιμοποιώντας αυτήν την πολιτική, μπορείτε να καθορίσετε χρήστες ή ομάδες των οποίων τα μέλη μπορούν να εκτελέσουν λειτουργίες που έχουν σχεδιαστεί για τη διατήρηση τόμων. Οι χρήστες που έχουν τέτοια προνόμια, έχουν το δικαίωμα να διαβάσει και να τροποποιήσει τα ζητούμενα στοιχεία, μετά την ανακάλυψη των πρόσθετων αρχείων, μπορούν επίσης να περιηγηθείτε στα δίσκους και να προσθέσετε αρχεία στη μνήμη που χρησιμοποιείται από άλλες προεπιλογή dannymi.Po, αυτά τα δικαιώματα έχουν οι διαχειριστές μόνο σταθμούς εργασίας και τους ελεγκτές τομέα.
  7. Προσθήκη σταθμών εργασίας στον τομέα. Αυτή η πολιτική είναι υπεύθυνη για να επιτρέπεται στους χρήστες ή τις ομάδες να προσθέτουν υπολογιστές σε έναν τομέα Active Directory. Ένας χρήστης με αυτά τα δικαιώματα μπορεί να προσθέσει μέχρι δέκα υπολογιστές σε έναν τομέα. Από προεπιλογή, όλοι οι χρήστες που είναι πιστοποιημένοι σε έναν ελεγκτή τομέα μπορούν να προσθέσουν μέχρι δέκα υπολογιστές.
  8. Πρόσβαση στον διαχειριστή διαπιστευτηρίων εξ ονόματος αξιόπιστου καλούντος. Το Credential Manager είναι ένα στοιχείο που αποθηκεύει διαπιστευτήρια, όπως ονόματα χρηστών και κωδικούς πρόσβασης, που χρησιμοποιούνται για σύνδεση σε ιστότοπους ή άλλους υπολογιστές σε ένα δίκτυο. Αυτή η πολιτική χρησιμοποιείται από τον διαχειριστή διαπιστευτηρίων κατά τη δημιουργία αντιγράφων ασφαλείας και την αποκατάσταση και δεν είναι σκόπιμο να παρέχεται στους χρήστες. Από προεπιλογή, και οι δύο σταθμοί εργασίας και οι διακομιστές δεν έχουν δικαιώματα για αυτήν την ομάδα.
  9. Πρόσβαση στον υπολογιστή από το δίκτυο. Αυτή η πολιτική ασφαλείας είναι υπεύθυνη για να επιτρέψει στους συγκεκριμένους χρήστες ή ομάδες να συνδεθούν στον υπολογιστή μέσω του δικτύου.Στο σταθμό εργασίας και τους διακομιστές, τα δικαιώματα αυτά παρέχονται σε ομάδες "Διαχειριστές"   και "Backup Operators", "Χρήστες"   και "Όλα". Σε ελεγκτές τομέα - "Διαχειριστές", "Επαληθευμένοι χρήστες", "Ελεγκτές τομέα επιχειρησιακών εφαρμογών"   και "Όλα".
  10. Τερματίστε το σύστημα. Χρησιμοποιώντας αυτήν τη ρύθμιση πολιτικής, μπορείτε να δημιουργήσετε μια λίστα χρηστών που είναι εξουσιοδοτημένοι να χρησιμοποιούν την εντολή. "Ολοκλήρωση της εργασίας"   μετά την επιτυχή σύνδεση. Σε σταθμούς εργασίας και διακομιστές, αυτά τα δικαιώματα χορηγούνται σε ομάδες "Διαχειριστές", "Backup Operators"   και "Χρήστες"   (μόνο σε σταθμούς εργασίας) και σε ελεγκτές τομέα - "Διαχειριστές", "Backup Operators", "Διαχειριστές διακομιστών"   και "Εκτυπωτές".
  11. Φόρτωση και εκφόρτωση προγραμμάτων οδήγησης συσκευών. Με τη βοήθεια της τρέχουσας πολιτικής, μπορείτε να καθορίσετε τους χρήστες που θα χορηγηθεί το δικαίωμα δυναμικά τη φόρτωση και εκφόρτωση των προγραμμάτων οδήγησης συσκευών σε λειτουργία πυρήνα, και αυτή η πολιτική δεν ισχύει για τις PnP-ustroystva.Na σταθμούς εργασίας και servers προνόμια δεδομένα που χορηγούνται σε ομάδες "Διαχειριστές", και σε ελεγκτές τομέα - "Διαχειριστές"   και "Εκτυπωτές".
  12. Αντικατάσταση δείκτη στάθμης διεργασίας. Χρησιμοποιώντας αυτήν την πολιτική ασφαλείας, μπορείτε να περιορίσετε τους χρήστες ή μια ομάδα από τη χρήση της λειτουργίας API CreateProcessAsUser, έτσι ώστε μια υπηρεσία να μπορεί να ξεκινήσει άλλη λειτουργία, διαδικασία ή υπηρεσία. Αξίζει να δοθεί προσοχή στο γεγονός ότι μια τέτοια αίτηση ως "Χρονοδιάγραμμα εργασιών"   για την εργασία τους χρησιμοποιεί αυτά τα δικαιώματα. Από προεπιλογή, τόσο σε σταθμούς εργασίας όσο και σε ελεγκτές τομέα, τα δικαιώματα αυτά παρέχονται στους λογαριασμούς "Υπηρεσία δικτύου"   και "Τοπική υπηρεσία".
  13. Απαγορεύεται η σύνδεση στο σύστημα μέσω απομακρυσμένων επιτραπέζιων υπολογιστών. Με αυτήν την πολιτική ασφαλείας, μπορείτε να περιορίσετε τους χρήστες ή τις ομάδες από το να συνδεθείτε ως πελάτης απομακρυσμένης επιφάνειας εργασίας. Από προεπιλογή, τόσο σε σταθμούς εργασίας όσο και σε διακομιστές, όλοι επιτρέπεται να συνδεθούν ως πελάτης απομακρυσμένης επιφάνειας εργασίας.
  14. Άρνηση τοπικής σύνδεσης. Αυτή η πολιτική εμποδίζει τους μεμονωμένους χρήστες ή τις ομάδες να συνδεθούν στο σύστημα. Από προεπιλογή, επιτρέπεται σε όλους τους χρήστες να συνδεθούν.
  15. Αλλαγή ετικέτας αντικειμένου. Χάρη σε αυτήν την πολιτική εκχώρησης δικαιωμάτων, μπορείτε να επιτρέπετε σε συγκεκριμένους χρήστες ή ομάδες να αλλάξουν τις ετικέτες ακεραιότητας αντικειμένων άλλων χρηστών, όπως αρχεία, κλειδιά μητρώου ή διεργασίες. Από προεπιλογή, κανείς δεν επιτρέπεται να αλλάζει ετικέτες αντικειμένων.
  16. Αλλαγή του περιβάλλοντος του κατασκευαστή. Χρησιμοποιώντας αυτήν την πολιτική ασφάλειας, μπορείτε να καθορίσετε χρήστες ή ομάδες που θα μπορούν να διαβάζουν μεταβλητές του περιβάλλοντος υλικού. Οι μεταβλητές περιβάλλοντος υλικού είναι παράμετροι που είναι αποθηκευμένες σε μη πτητική μνήμη υπολογιστών των οποίων η αρχιτεκτονική είναι διαφορετική από το x86. Στα στάδια εργασίας και τους ελεγκτές τομέα εξ ορισμού, τα δικαιώματα αυτά παρέχονται σε ομάδες "Διαχειριστές".
  17. Αλλαγή χρόνου συστήματος. Αυτή η πολιτική είναι υπεύθυνη για την αλλαγή του χρόνου του συστήματος. Παρέχοντας αυτό το δικαίωμα σε χρήστες ή ομάδες, εκτός από το να μπορείτε να αλλάξετε την ημερομηνία και την ώρα του εσωτερικού ρολογιού, θα τους επιτρέψετε να αλλάξουν την αντίστοιχη ώρα των παρακολουθούμενων συμβάντων στο συμπληρωματικό πρόγραμμα "Πρόγραμμα προβολής συμβάντων"Σε σταθμούς εργασίας και διακομιστές, αυτά τα δικαιώματα χορηγούνται σε ομάδες. "Διαχειριστές"   και "Τοπική υπηρεσία", και σε ελεγκτές τομέα - "Διαχειριστές", "Διαχειριστές διακομιστών"   και "Τοπική υπηρεσία".
  18. Αλλαγή ζώνης ώρας. Με τη βοήθεια της τρέχουσας πολιτικής ασφαλείας, μπορείτε να καθορίσετε ποιοι χρήστες ή ομάδες έχουν τη δυνατότητα να αλλάξετε τη ζώνη ώρας του υπολογιστή σας για να εμφανιστεί η τοπική ώρα, η οποία είναι το άθροισμα του υπολογιστή και το ρολόι offset poyasa.Na σταθμούς εργασίας και τους ελεγκτές, οι προεπιλεγμένες προνόμια χρονικά δεδομένα του συστήματος τομέα που χορηγούνται σε ομάδες "Διαχειριστές"   και "Χρήστες".

Εφαρμογή πολιτικών εκχώρησης δικαιωμάτων χρήστη

Σε αυτό το παράδειγμα, θα σας πω πώς μπορείτε να εκχωρήσετε δικαιώματα σε μια από τις ομάδες του οργανισμού σας σε έναν ελεγκτή τομέα. Κάνετε τα εξής:



Συμπέρασμα

Σε αυτό το άρθρο, συνεχίσαμε να μελετάμε τις πολιτικές ασφαλείας, δηλαδή, μάθαμε για τις πολιτικές για την εκχώρηση δικαιωμάτων χρήστη. Χρησιμοποιώντας τις πολιτικές εκχώρησης δικαιωμάτων χρήστη, μπορείτε να καθορίσετε για ποιους χρήστες ή ομάδες χρηστών θα χορηγούνται διάφορα δικαιώματα και προνόμια. Περιγράφονται λεπτομερώς 18 από 44 πολιτικές ασφάλειας. Στο παράδειγμα στο άρθρο, μάθατε επίσης πώς να εφαρμόζετε αυτές τις πολιτικές σε έναν οργανισμό. Στο επόμενο άρθρο, θα μάθετε τις πολιτικές που διαχειρίζονται τα αρχεία καταγραφής συμβάντων.

  Εκτύπωση
Επίσης ενδιαφέρουσα:
Δημιουργήστε έναν λογαριασμό στο τηλέφωνο
Τι είναι σημαντικό να πουλήσει. Διαβάστε το ίδιο. Τι επηρεάζει την επιλογή ενός προϊόντος για ένα ηλεκτρονικό κατάστημα
Το 1c δεν λειτουργεί με σφάλμα στον πελάτη
Συνιστούμε να διαβάσετε:
Τι να κάνετε εάν το Android δεν ενεργοποιηθεί
07.10.2018
Τι να κάνετε εάν το Android δεν ενεργοποιηθεί
Ονομασία επίλυσης διαφορών
07.10.2018
Ονομασία επίλυσης διαφορών
Τι είναι πραγματικά ικανό το PS4 Pro;
06.10.2018
Τι είναι πραγματικά ικανό το PS4 Pro;
Συνέχιση του θέματος:
Πώς να αναβοσβήξετε κινεζικά δισκία
Smartphone
Πώς να αναβοσβήξετε κινεζικά δισκία

Τα δισκία είναι τόσο σταθερά εδραιωμένα στην καθημερινή ζωή ενός σύγχρονου ανθρώπου που έχει πάψει να είναι κάτι που αυτόματα κατατάσσει τον ιδιοκτήτη του ως ελίτ, όπως αυτό ...

×
Νέα άρθρα
/
Δημοφιλή
Σύνδεση του πληκτρολογίου οθόνης στα Windows
06.10.2018
Σύνδεση του πληκτρολογίου οθόνης στα Windows
Windows
Συσκευή σύνδεσης γαλαξίας Samsung
05.10.2018
Συσκευή σύνδεσης γαλαξίας Samsung
Apple
Δεν υπάρχει εικόνα στην τηλεόραση
05.10.2018
Δεν υπάρχει εικόνα στην τηλεόραση
Έξυπνη τηλεόραση
Πώς να αυξήσετε τον χρόνο αποθήκευσης στην cache 1c
05.10.2018
Πώς να αυξήσετε τον χρόνο αποθήκευσης στην cache 1c
Λύσεις
Γιατί μειώνεται το διαδίκτυο;
05.10.2018
Γιατί μειώνεται το διαδίκτυο;
Δικτύου
Πώς να εγκαταστήσετε το εικονίδιο αλληλογραφίας στην επιφάνεια εργασίας
04.10.2018
Πώς να εγκαταστήσετε το εικονίδιο αλληλογραφίας στην επιφάνεια εργασίας
Windows
Πώς να φτιάξετε ένα στιγμιότυπο οθόνης στο iPhone και να το επεξεργαστείτε: Συμβουλές για χρήστες
Πώς να φτιάξετε ένα στιγμιότυπο οθόνης στο iPhone και να το επεξεργαστείτε: Συμβουλές για χρήστες
Αυτόματη αναβοσβήνει Arduino Pro Mini
Αυτόματη αναβοσβήνει Arduino Pro Mini
Πώς να αφαιρέσετε εφαρμογές συστήματος Android χωρίς ROOT
Πώς να αφαιρέσετε εφαρμογές συστήματος Android χωρίς ROOT
Android και τοπικό δίκτυο Windows - πώς να συνδεθείτε
Android και τοπικό δίκτυο Windows - πώς να συνδεθείτε
Διανομές Linux για διακομιστές
Διανομές Linux για διακομιστές
Τι είναι το Ethernet και πώς λειτουργεί
Τι είναι το Ethernet και πώς λειτουργεί
          © comuedu.ru 2018. Ιστοσελίδα για τον εξοπλισμό πληροφορικής