Transcript Polityki zasad grupy

Mariusz Maleszak
MCP | MCTS | MCITP | MCT
[email protected]
Przygotowanie środowiska
Przygotowanie środowiska
• Włączyć obsługę zdalnych połączeń pulpitu
• Utworzyć globalną grupę zabezpieczeń
OCEAN\GPO Admins
Przygotowanie środowiska
• Utworzyć konta użytkowników
Nazwa użytkownika
Hasło
Domena
User1
Pa$$w0rd
ocean.com
Przynależność do grup Domain Users
Remote Desktop Users
Nazwa użytkownika
Admin1
Hasło
Pa$$w0rd
Domena
ocean.com
Przynależność do grup Domain Users
Remote Desktop Users
GPO Admins
Przygotowanie środowiska
• Nadać prawa do logowania lokalnego oraz do
logowania za pomocą Remote Desktop
Services na kontrolerze domeny członkom
grupy Domain Users
Przygotowanie środowiska
• Uruchomić konsolę Group Policy
Management (GPMC)
• W gałęzi Group Policy Objects w domenie
ocean.com utworzyć nowy obiekt GPO o
nazwie WGUiSW Policy
• Za pomocą konsoli Group Policy Management
Editor (GPME) włączyć ustawienie reguły
zapory ogniowej „zezwalaj na przychodzący
wyjątek administracji zdalnej”
Ćwiczenie 1
Delegowanie uprawnień do GPO
Delegowanie uprawnień do GPO
• Połączyć obiekt WGUiSW Policy z jednostką
organizacyjną ocean.com/Domain Controllers
• Na zakładce Delegation ustawień obiektu
WGUiSW Policy dodać grupę GPO Admins
nadając jej uprawnienia Edit settings
Delegowanie uprawnień do GPO
• Uruchomić konsolę mmc używając
poświadczeń użytkownika Admin1
• Dodać snap-in Group Policy Management
• Zweryfikować możliwość edycji obiektu
Default Domain Controllers Policy
• Zweryfikować możliwość edycji obiektu
WGUiSW Policy
Delegowanie uprawnień do GPO
• Za pomocą konsoli GPMC uruchomionej z
poświadczeniami administratora
zmodyfikować delegację uprawnień tak, aby
członkowie grupy GPO Admins posiadali
uprawnienie edycji zabezpieczeń obiektu
WGUiSW Policy
Ćwiczenie 2
Nadawanie uprawnień do stosowania
obiektu polityki zasady grupy
Nadawanie uprawnień do stosowania obiektu
• Z użyciem konsoli GPMC użytkownika Admin1
zweryfikować poprawność zmian
wprowadzonych w ćwiczeniu 1 dodając do
deskryptora zabezpieczeń wpis listy kontroli
dostępu definiujący uprawnienia odczytu oraz
stosowania obiektu WGUiSW Policy dla
użytkowników uwierzytelnionych.
Nadawanie uprawnień do stosowania obiektu
• UWAGA! Zmiany wprowadzić dwukrotnie,
każdorazowo weryfikując skutki. Raz z
użyciem filtru zabezpieczeń, kolejny raz
ręcznie edytując listę kontroli dostępu.
Weryfikacji dokonać logując się z użyciem
poświadczeń użytkownika User1 (najlepiej w
sesji terminalowej)
• Uruchomić konsolę Windows Firewall with
Advanced Security (jako Administrator) i
sprawdzić stan reguł „administracja zdalna”
Ćwiczenie 3
Delegowanie uprawnień modelowania
Delegowanie uprawnień modelowania
• W konsoli GPMC wybrać obiekt ocean.com
• W panelu szczegółów na zakładce Delegation
z listy Permissions wybrać Perform Group
Policy Modeling analyses
• Do listy kontroli dostępu dodać grupę GPO
Admins
• Zweryfikować zmiany za pomocą konsoli
GPMC użytkownika Admin1
Ćwiczenie 4
Delegowanie uprawnień generowania
RSoP
Delegowanie uprawnień RSoP
• W konsoli GPMC wybrać obiekt ocean.com
• W panelu szczegółów na zakładce Delegation
z listy Permissions wybrać Read Group Policy
Results data
• Do listy kontroli dostępu dodać grupę GPO
Admins
• Zweryfikować zmiany za pomocą konsoli
GPMC użytkownika Admin1
Ćwiczenie 5
Inspekcja obiektów
polityk zasad grupy
Inspekcja obiektów GPO
• Przejrzeć domyślnie zdefiniowaną dla obiektu
WGUiSW Policy systemową listę kontroli
dostępu
• Edytując ustawienia obiektu WGUiSW Policy
włączyć inspekcję dla obiektów polityk zasad
grupy
• Odświeżyć polityki (gpupdate)
Inspekcja obiektów GPO
• Połączyć obiekt WGUiSW Policy z domeną
ocean.com
• Wykonać następujące zmiany obiektu
WGUiSW Policy:
1. Modyfikacja minimalnej długości hasła na
wartość 5
2. Włączenie opcji wymuszania stosowania
obiektu WGUiSW Policy
3. Delegować uprawnienia do tworzenia RSoP
dla użytkownika User1
Inspekcja obiektów GPO
• Zweryfikować funkcjonalność inspekcji
przeglądając dziennik zdarzeń (Security)
Ćwiczenie 6
Zapobieganie tworzeniu kopii
zapasowych…
Zapobieganie tworzeniu kopii zapasowych
• Przeprowadzić edycję listy kontroli dostępu
obiektu WGUiSW Policy odbierając grupie
GPO Admins uprawnienie odczytu
właściwości ownerBL
• Zweryfikować zmiany posługując się konsolą
GPMC użytkownika Admin1
Ćwiczenie 7 (opcjonalne)
Zaawansowana inspekcja obiektów
polityk zasad grupy
Zaawansowana inspekcja GPO
• Edytując ustawienia obiektu WGUiSW Policy
w gałęzi Advanced Audit Policy Configuration
włączyć inspekcję dla obiektów polityk zasad
grupy
• Odświeżyć polityki (gpupdate)
Zaawansowana inspekcja GPO
• Wykonać następujące zmiany obiektu
WGUiSW Policy:
1. Modyfikacja minimalnej długości hasła na
wartość 7
2. Wyłączenie opcji wymuszania stosowania
obiektu WGUiSW Policy
3. Cofnięcie delegacji uprawnienia do
tworzenia RSoP dla użytkownika User1
Zaawansowana inspekcja GPO
• Zweryfikować funkcjonalność inspekcji
przeglądając dziennik zdarzeń (Security)
Podsumowanie
Podsumowanie
• Obiekty polityk zasad grupy, są kolejnym
przykładem „elementów systemu”
posiadających własne deskryptory
zabezpieczeń
Podsumowanie
• Z udziałem deskryptorów zabezpieczeń
zdefiniowanych dla obiektów GPO możliwe
jest delegowanie uprawnień innym
administratorom, czy nawet użytkownikom
(przynajmniej tym „bardziej świadomym”)
Podsumowanie
• Filtr zabezpieczeń obiektu GPO jest tak
naprawdę interfejsem umożliwiającym edycję
deskryptora zabezpieczeń
Podsumowanie
• Delegowanie uprawnień do modelowania lub
tworzenia raportu RSoP możliwe jest do
zrealizowania za pośrednictwem list kontroli
dostępu kontenerów
Dziękuję za uwagę
[email protected]
http://maleszak.com