У попередніх статтях, присвячених локальним політикам безпеки, ви дізналися про принципи роботи політик облікових записів і політик аудиту. Володіючи набутими знаннями, ви можете значно убезпечити облікові дані ваших користувачів і відстежувати спроби несанкціонованого доступу. Варто врахувати, що користувачі не володіють достатньою базою знань щодо забезпечення безпеки і навіть у звичайного користувача може бути досить привілеїв для нанесення шкоди своїй системі і навіть комп'ютерів у вашій интрасети. Уникнути подібних проблем допомагають локальні політики безпеки призначення прав користувача, про що, власне, і піде мова в даній статті. За допомогою політик призначення прав користувача ви можете самі визначити, для яких користувачів або груп користувачів будуть надані різні права і привілеї. Оперуючи даними політиками, ви можете не хвилюватися за те, що користувачі будуть виконувати дії, які їм робити не годиться. Для призначення прав доступні 44 безпекової політики, про застосування яких далі піде мова.
Політики призначення прав користувачів
Як говорилося вище, для призначення прав користувачів існує 44 політики безпеки. Далі ви зможете ознайомитися з вісімнадцятьма політиками безпеки, які відповідають за призначення різних прав для користувачів або груп вашої організації.
- Архівація файлів та каталогів. За допомогою даної політики ви можете вказати осіб чи груп, призначені для виконання операцій резервного копіювання файлів, каталогів, розділів реєстру та інших об'єктів, які підлягають архівації. Дана політика надає доступ для наступних дозволів:
- Огляд папок / Виконання файлів
- Вміст папки / Читання даних
- читання атрибутів
- Читання розширених атрибутів
- читання дозволів
«Адміністратори» і «Оператори архівації», А на контролерах домену - «Оператори архівації» і «Оператори сервера».
На робочих станціях і серверах дані привілеї надаються групам «Адміністратори» і «Оператори архівації», А на контролерах домену - «Оператори архівації» і «Оператори сервера».
За замовчуванням, як на робочих станціях, так і на контролерах домену, дані привілеї надаються групам «Адміністратори» і «Оператори архівації».
За замовчуванням, як на робочих станціях, так і на серверах, ні в однієї групи немає на це дозволів.
За замовчуванням, такими правами володіють тільки адміністратори робочих станцій і контролерів домену.
За замовчуванням, всі користувачі, які пройшли перевірку автентичності, на контролерах домену можуть додавати до десяти комп'ютерів.
За замовчуванням, як на робочих станціях, так і на серверах, ні в однієї групи немає на це дозволів.
На робочих станціях і серверах дані привілеї надаються групам «Адміністратори» і «Оператори архівації», «Користувачі» і "Усе". На контролерах домену - «Адміністратори», «Перевірені користувачі», «Контролери домену підприємства» і "Усе".
На робочих станціях і серверах дані привілеї надаються групам «Адміністратори», «Оператори архівації» і «Користувачі» (Тільки на робочих станціях), а на контролерах домену - «Адміністратори», «Оператори архівації», «Оператори сервера» і «Оператори друку».
На робочих станціях і серверах дані привілеї надаються групам «Адміністратори», А на контролерах домену - «Адміністратори» і «Оператори друку».
За замовчуванням, як на робочих станціях, так і на контролерах домену, дані привілеї надаються облікових записів «Мережева служба» і «Локальна служба».
За замовчуванням, як на робочих станціях, так і на серверах, всім дозволено входити в систему як клієнтові віддалених робочих столів.
За замовчуванням всім користувачам дозволено вхід в систему.
За замовчуванням нікому не дозволено змінювати мітки об'єктів.
На робочих станціях і контролерах домену, за замовчуванням дані привілеї надаються групам «Адміністратори».
На робочих станціях і серверах дані привілеї надаються групам «Адміністратори» і «Локальна служба», А на контролерах домену - «Адміністратори», «Оператори сервера» і «Локальна служба».
На робочих станціях і контролерах домену за замовчуванням дані привілеї надаються групам «Адміністратори» і «Користувачі».
Застосування політик призначення прав користувачів
У цьому прикладі я розповім, як можна призначити права для однієї з груп вашої організації на контролері домену. Виконайте наступні дії:
висновок
У даній статті ми продовжили вивчення політик безпеки, а саме, дізналися про політиків призначення прав користувачів. За допомогою політик призначення прав користувача ви можете самі визначити, для яких користувачів або груп користувачів будуть надані різні права і привілеї. Докладно описані 18 з 44 політик безпеки. На наведеному в статті прикладі ви також дізналися про те, як можна застосувати дані політики в організації. У наступній статті ви дізнаєтеся політиків, керівників журналами подій.
При створенні в планувальнику windows завдання і спробі його запустити вискакує помилка Дане завдання вимагає, щоб зазначена обліковий запис користувача мала права вхід в якості пакетного завдання. Справа в тому що облікового запису від імені якої намагаюся запустити не вистачає прав.
Ця настройка безпеки дозволяє користувачеві входити в систему за допомогою засобу обробки пакетних завдань.
Наприклад, якщо користувач ініціює завдання за допомогою планувальника завдань, планувальник забезпечує йому вхід в систему як пакетного користувачеві, а не як інтерактивного.
Примітка
- В операційних системах Windows 2000 Server, Windows 2000 Professional, Windows XP Professional. і сімейства Windows Server 2003 планувальник завдань автоматично надає це право як обов'язкове.
Вирішити дану проблему можна або в локальній або в груповій політиці прописати потрібний параметр і дати потрібного користувачеві права шляхом облікового запису, від імені якої має виконуватися завдання, в "Локальної політиці безпеки \\ Конфігурація комп'ютера \\ Конфігурація Windows \\ Параметри безпеки \\ Локальні політики \\ Призначення прав користувача "має бути виділено право" Вхід в якості пакетного завдання "(в аноязичном інтерфейсі буде в" Local policy \\ Computer Configuration \\ Windows Settings \\ Security Settings \\ Local Policies \\ User Rights Assignment \\ "виділяться" Log on as a batch job " ).
за замовчуванням права в цій групі мають Адміністратори і Оператори архіву, їх не забудьте сюди додати в груповій політиці, а то затреться їх права.
Тут нічого докладно розписувати не буду, та й не займаюся я адмініструванням мережі, нехай краще цим займеться майстер своєї справи - системний адміністратор.2. Блокуємо початок сеансів
Запускаємо консоль адміністрування серверів 1С: Підприємство, відкриваємо властивості інформаційної бази і встановлюємо галочку для властивості Блокування початку сеансів включена. Врахуйте, що як тільки ви застосуєте дане властивості, початок будь-яких сеансів буде блокуватися, тому для виконання наступного пункту конфигуратор повинен бути запущений до застосування властивості.3. Робимо резервну копію
Тут вже як вам душа велить. Як на мене, найпростіший і надійний спосіб створення резервної копії - це вивантаження інформаційної бази через конфігуратор.4. Задаємо локальні політики безпеки
Відкриваємо консоль "Локальна політика безпеки" (в командному рядку набираємо secpol.msc). Переходимо в розділ Локальні політики -\u003e Призначення прав користувача і додаємо доменного користувача в політики (див. малюнок 1):- Вхід в якості пакетного завдання (Log on as batch job) - забезпечує функціонування Планувальника завдань без необхідності для користувача особисто заходити в комп'ютер під своїм обліковим записом;
- Вхід в якості служби (Log on as service) - дозволяє запустити від імені користувача будь-який процес як службу.
- Доступ до комп'ютера з мережі (Access this computer from the network) - користувач має право підключатися до комп'ютера з мережі;
- Локальний вхід в систему (Allow log on locally) - користувач має право запускати інтерактивний сеанс на комп'ютері;
- Дозволити вхід через службу віддалених робочих столів (Allow log on through Remote Desktop Services) - користувач має право входу в систему віддаленого комп'ютера через підключення до служб віддалених робочих столів.
5. Додаємо доменного користувача в групи
Відкриваємо консоль "Управління комп'ютером", переходимо в розділ Службові програми -\u003e Локальні користувачі -\u003e Користувачі і дивимося в жодних гуртах складається локальний користувач від імені якого працює служба "Агент сервера 1С: Підприємство" (зазвичай це користувач USR1CV8) (див. рисунок 2).У ці ж групи додаємо доменного користувача.
6. Запускаємо агента від імені доменного користувача
Відкриваємо консоль "Служби", знаходимо в списку службу "Агент сервера 1С: Підприємство" і відкриваємо її властивості. на вкладці загальні зупиняємо службу, на вкладці Вхід у систему замість локального користувача вказуємо доменного (див. малюнок 3).Переходимо назад на вкладку загальні і запускаємо службу. Якщо все правильно налаштовано, то служба стартує без проблем.
Ви можете сказати, що 2-ий і 3-й пункти надлишкові, але краще перебздеть, ніж недобздеть. Інструкція справедлива не тільки для доменного користувача, але і для локального.