none
Ограничение доступа к SYSVOL RRS feed

  • Вопрос

  • Доброго времени суток.

    Необходимо ограничить доступ к SYSVOL. После установки контроллера домена доступ к этой папке в состоянии  Все (Просмотр). Существуют пользователи, которые ходят на ресурс в терминальном режиме (используют приложения RemoteApps). Можно-ли ограничить доступ к этой папке на просмотр только для пользователей локальной (корпоративной) сети (которые за NAT-ом) или там должно быть именно Всем на просмотр ?

    Спасибо

    4 декабря 2012 г. 6:30

Ответы

  • Пожалуйста. Как составить список решать вам - оставьте две стандартные политики DDP и DDCP по умолчанию, во вновь созданных объектах после создания и нацеливания в разрешениях чтения выбираете группу, которая должна читать ваши настройки объекта групповой политики. Другим читать эти настройки просто не нужно, как я объяснил выше, попробуйте просто для начала заменить Authenticated users на нужную вам группу безопасности, на которую вы применяете политику, и протестировать результат.

    http://technet.microsoft.com/en-us/library/cc787798(v=WS.10).aspx

    4 декабря 2012 г. 9:15
    Отвечающий

Все ответы

  • Добрый день.

    В этой папке хранится само содержимое объектов групповой политики, и реплицируется между всеми контроллерами в вашем домене.По best pratices конечно будет разумно ограничить чтение политик для прошедших проверку пользователей- такие разрешения выставлены по умолчанию.
    Приведу пример: вы настраиваете политики безопасности для группы серверов ( или DC). Читать и применять их должны контроллеры домена,System для репликации и Domain Admins для редактирования. А секретарь Маша их читать не должна, иначе, как вы справедливо заметили, она абсолютно спокойно изучит содержимое доступных ей объектов политики, сделает выводы о ваших настройках, защите и о компетенции в целом.
    Так что составьте список ГПО, по критерию - применяется для этих объектов, а вот остальным не нужно их читать, и все.

    4 декабря 2012 г. 7:27
    Отвечающий
  • Спасибо, очень информативно. Вот если бы еще ткнули как этот список составить (или где глянуть как они составляются, списки эти), было бы совсем хорошо.
    4 декабря 2012 г. 8:37
  • Пожалуйста. Как составить список решать вам - оставьте две стандартные политики DDP и DDCP по умолчанию, во вновь созданных объектах после создания и нацеливания в разрешениях чтения выбираете группу, которая должна читать ваши настройки объекта групповой политики. Другим читать эти настройки просто не нужно, как я объяснил выше, попробуйте просто для начала заменить Authenticated users на нужную вам группу безопасности, на которую вы применяете политику, и протестировать результат.

    http://technet.microsoft.com/en-us/library/cc787798(v=WS.10).aspx

    4 декабря 2012 г. 9:15
    Отвечающий
  • Спасибо. Буду пробовать.
    4 декабря 2012 г. 9:41