Windows Vista. Для профессионалов Клименко Роман
Эта оснастка представляет собой основной способ редактирования групповых политик, дающих возможность дополнительной настройки операционной системы и ее компонентов с помощью специальных параметров реестра , изменять которые могут только администраторы. Соответственно, запустить данную оснастку можно только с правами администратора.
При загрузке оснастки перед вами отобразится мастер. С его помощью можно определить компьютер, параметры групповой политики которого вы будете изменять. Но это еще не все возможности изменения – если вы нажмете кнопку Обзор, то сможете изменить не только компьютер, но и пользователя, на которого будут распространяться изменяемые вами групповые политики (рис. 5.15). При этом заметьте, что можно выбирать не только конкретного пользователя, но и пользователей группы Администраторы, а также пользователей всех групп, не являющихся административными. Однако учтите, что если вы выберете пользователя, то будут загружены групповые политики, распространяемые на него, но не будут загружены групповые политики, распространяемые на весь компьютер.
Рис. 5.15. Выбор пользователя, групповые политики которого будут загружены
Оснастка Редактор объектов групповой политики состоит из множества расширений, которые вы можете по своему желанию оставить или отключить. К ним относятся следующие расширения.
• Административные шаблоны (Компьютеры) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» Конфигурация компьютера Административные шаблоны.
• Административные шаблоны (Пользователи) – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» Конфигурация пользователя Административные шаблоны.
• Расширенный вид – в начале этой главы рассказывалось, как с помощью реестра запрещать отображение расширенного вида консоли управления. Однако этого же эффекта можно достичь и с помощью редактирования расширений конкретной оснастки. Для этого достаточно запретить загрузку данного расширения.
• Редактор перенаправления папок (пользователей) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» Конфигурация пользователя Конфигурация программ Перенаправление папок. Этот раздел отображается в оснастке только в том случае, если компьютер входит в домен Active Directory.
• Настройка Internet Explorer – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» Конфигурация пользователя Конфигурация Windows Настройка Internet Explorer.
• QoS на основе политики – оснастка Редактор объектов групповой политики загружает два таких расширения – одно для пользователя, а другое для всего компьютера. Соответственно, они определяют, будет ли отображаться подраздел PoLicy-based QoS в разделе Конфигурация компьютера Конфигурация Windows и в разделе Конфигурация пользователя Конфигурация Windows.
• Расширение помещенных подключений принтеров (компьютеров) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» Конфигурация компьютера Конфигурация Windows Развернутые принтеры.
• Расширение помещенных подключений принтеров (пользователей) – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» Конфигурация пользователя Конфигурация Windows Развернутые принтеры.
• Сценарии (вход/выход из системы) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» Конфигурация пользователя Конфигурация Windows Сценарии (вход/выход из системы).
• Сценарии (запуск/завершение) – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» Конфигурация компьютера Конфигурация Windows Сценарии (запуск/завершение).
• Параметры безопасности – запрет на загрузку данного расширения удаляет подраздел Параметры безопасности как из раздела Политика «Локальный компьютер» Конфигурация компьютера, так и из раздела Политика «Локальный компьютер» Конфигурация пользователя.
• Установка программ (компьютеры) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» Конфигурация компьютера Конфигурация программ Установка программ. Он отображается в оснастке только в том случае, если компьютер входит в домен Active Directory.
• Установка программ (пользователи) – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» Конфигурация пользователя Конфигурация программ Установка программ. Он отображается в оснастке только в том случае, если компьютер входит в домен Active Directory.
Мы не будем рассматривать такие разделы данной оснастки, как Конфигурация программ (так как он имеет функциональное назначение только при работе в домене) и Развернутые принтеры (так как он представляет собой отдельную оснастку Управление печатью).
Итак, оснастка Редактор объектов групповой политики состоит из следующих подразделов (рис. 5.16).
Рис. 5.16. Оснастка Редактор объектов групповой политики
• Конфигурация программ – если компьютер подключен к домену, то с помощью этого раздела можно опубликовать или назначить пользователю определенные программы, а также перенаправить содержимое стандартных папок компьютера в другие папки.
• Конфигурация Windows – определяет дополнительные настройки групповых политик, с помощью которых можно повысить безопасность работы компьютера (подраздел Параметры безопасности), определить сценарии, которые будут запускаться при входе (загрузке) или выходе (выключении) пользователя из операционной системы (подраздел Сценарии), а также изменить настройки интерфейса бразера Internet Explorer (подраздел Настройка Internet Explorer).
• Административные шаблоны – указывает административные шаблоны, являющиеся основной частью групповых политик и позволяющие ограничить возможности работы определенных пользователей или всех пользователей компьютера.
Далее мы подробнее рассмотрим эти подразделы.Подраздел Конфигурация программ
По сравнению с предыдущими версиями операционной системы Windows, подраздел Конфигурация программ оснастки Редактор объектов групповой политики совершенно не изменился, поэтому мы рассмотрим его лишь поверхностно.
Как и раньше, он содержит разделы Политики учетных записей и Локальные политики, которые, в свою очередь, включают в себя следующие дочерние подразделы.
• Политика паролей – как и раньше, с помощью данного раздела можно настроить такие параметры создания и хранения паролей, как максимальное и минимальное количество дней хранения паролей от учетных записей пользователей, минимальная длина пароля. Можно указать, должен ли пароль обязательно, кроме символов, содержать цифры и несимвольные знаки (восклицательный, подчеркивая и т. д.), должен ли пароль храниться в базе данных SAM с использованием обратного шифрования (понижает безопасность, но может быть необходимо при взаимодействии с некоторыми устаревшими программами и операционными системами) и т. д.
• Политика блокировки учетной записи – с помощью данного раздела можно настроить такие параметры входа в систему, как количество неправильных попыток ввода пароля, после которых учетная запись будет заблокирована, указать, на какое время будет заблокирована учетная запись, а также через какое время счетчик неправильных попыток входа в систему будет сброшен.
• Политика аудита – как и раньше, данный раздел позволяет определить параметры аудита доступа к системе (сведения аудита заносятся в системный журнал Безопасность оснастки Просмотр событий). Можно выбрать следующие значения аудита: Успех (определенное событие прошло успешно) и Отказ (пользователь не имеет права совершать это событие). При этом, как и раньше, можно выполнять аудит следующих событий: вход в систему пользователя или служебных учетных записей, изменение параметров учетных записей пользователей, получение доступа к объектам (папкам, файлам и т. д.), использование административных привилегий и т. д.
• Назначение прав пользователя – позволяет указать учетные записи пользователей, которым будут даны дополнительные привилегии при работе в системе или, наоборот, некоторые стандартные привилегии которых будут запрещены. Этот раздел не является чем-то новым – он присутствовал и в предыдущих версиях операционной системы Windows.
• Параметры безопасности – раздел также не является чем-то новым. Он определяет некоторые настройки безопасности компьютера, которые должен знать и уметь изменять каждый администратор. Поэтому, если вы упустили этот момент администрирования компьютера, обязательно загляните в данный раздел, чтобы просмотреть его возможности. А на страницах книги мы рассмотрим только то содержимое данного раздела, которого не было в операционной системе Windows ХР.
– Управление учетными записями пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором – эта политика позволяет определить, будет ли для администраторов компьютера отображаться окно оповещения о необходимости запуска программы с административными правами, и если будет, то что оно будет содержать: либо просто предупреждение, либо поле для ввода пароля администратора. По умолчанию требуется подтверждение.
Политика влияет на значение параметра REG_DW0RD-типа ConsentPrompt-BehaviorAdmin ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System. Если его значение равно 0, то окно UAC отображаться не будет. Если его значение равно 1, то будет отображаться окно с просьбой ввода пароля. Если же его значение равно 2, то будет отображаться окно UAC с предупреждением.
– Управление учетными записями пользователей: поведение запроса на повышение прав для обычных пользователей – позволяет определить, будет ли для пользователей, не имеющих прав администратора, отображаться окно оповещения о необходимости запуска программы с административными правами, и если будет, то что оно будет содержать: либо просто предупреждение, либо поле для ввода пароля администратора. По умолчанию требуется ввод пароля.
Политика влияет на значение параметра REG_DWORD-типа ConsentPrompt-BehaviorUser ветви системного реестра Windows HKEY_LOCAL_MACHINE\ SOFTWARE\MicrosoftWindows\CurrentVersion\Policies\System. Если его значение равно 0, то окно UAC отображаться не будет. Если значение равно 1, то будет отображаться окно с просьбой ввода пароля. Если же его значение равно 2, то будет отображаться окно UAC с предупреждением.
– Управление учетными записями пользователей: обнаружение установки приложений и запрос на повышение прав – указывает, будет ли UAC отображать свое окно при обнаружении попытки установки программного обеспечения, при которой необходимы административные права. По умолчанию будет отображать.
Политика влияет на значение параметра REG_DWORD-типа Enablelnstal-lerDetection ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion\Policies\System.
– Управление учетными записями пользователей: все администраторы работают в режиме одобрения администратором – определяет, будут ли все администраторы локального компьютера работать в режиме LUA По умолчанию администраторы не работают в этом режиме.Примечание
Сведения о работе механизма UAC заносятся в журнал Журналы приложений и служб Microsoft Windows UAC.
Политика влияет на значение параметра REG_DWORD-типа EnableLUA ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\System.
– Управление учетными записями пользователей: при сбоях записи в файл или реестр виртуализация в размещение пользователя – указывает, будет ли применяться механизм виртуализации каталогов и ветвей реестра , в которые пытается записать значения определенная программа, но при этом у пользователя нет доступа к этим каталогам и ветвям. По умолчанию применяется.
Примечание
Сведения о работе с виртуальными папками заносятся в журнал Журналы приложений и служб Microsoft Windows UAC-FileVirtualization.
Политика влияет на значение параметра REG_DWORD-типа EnableVirtualization ветви системного реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.
– Управление учетными записями пользователей: режим одобрения администратором для встроенной учетной записи администратора – определяет, будет ли работать пользователь Администратор в режиме LUA.
Политика влияет на значение параметра REG_DWORD-типа FilterAdministratorToken ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.
– Управление учетными записями пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав – указывает, будет ли запрещен доступ ко всем открытым окнам и Рабочему столу при отображении окна UAC. По умолчанию доступ запрещен.
Политика влияет на значение параметра REG_DWORD-типа PromptOnSe-cureDes ktop ветви системного реестра HKEY_LOCAL_MACHINE \ SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.
– Управление учетными записями пользователей: повышение прав только для подписанных и проверенных исполняемых файлов – определяет, будет ли разрешено запускать с административными правами программы, не имеющие достоверной подписи. По умолчанию разрешено.
Политика влияет на значение параметра REG_DWORD-типа ValidateAd-minCodeSignatures ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.
– Системная криптография: обязтельное применение сильной защиты ключей пользователей, хранящихся на компьютере – позволяет определить, будет ли применяться усиленная защита хранилища пользовательских ключей.
Политика влияет на значение параметра REG_DWORD-типа ForceKey-Protection ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsof t\Cryptography. Если значение данного параметра равно О, то добавление нового пользовательского ключа в хранилище не требует подтверждения. Если значение равно 1, то добавление нового пользовательского ключа в хранилище требует подтверждения. Если же значение равно 2, то добавление нового пользовательского ключа в хранилище требует ввода пароля.
– Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ – позволяет указать, будет ли разрешено изменять параметры запуска файлов на данном компьютере на основе сертификатов файлов (по умолчанию запускаются все файлы, но можно разрешить запуск только сертифицированных файлов или файлов из определенного каталога).
Политика влияет на значение параметра REG_DWORD-типа Authentico-deEnabled ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Miегоsoft\Windows\Safer\CodeIdentifiers.
– Параметры системы: необязательные подсистемы – с помощью этой политики можно изменить значение параметра optional. Он содержит список подсистем операционной системы Windows Vista, которые автоматически будут загружаться в память компьютера процессом winlogon.exe при входе пользователей в систему. Естественно, что все ненужные подсистемы лучше удалить, чтобы их поддержка не понижала скорость работы операционной системы.
Политика влияет на значение параметра REG_MULTI_SZ-типа optional ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems. По умолчанию значение параметра равно POSIX.
– Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам – позволяет запретить анонимный доступ к нулевым каналам и ресурсам общего доступа. Это повышает безопасность компьютера, но при этом некоторые службы предыдущих версий операционной системы Windows не смогут получить сетевой доступ к операционной системе. По умолчанию доступ запрещен.
Политика влияет на значение параметра REG_DWORD-типа Restrict-NullSessAccess ветви системного реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\LanManServer\Parameters.
Кроме того, раздел Параметры безопасности содержит и такие стандартные подразделы, как Политики открытого ключа и Политики ограниченного использования программ.
С помощью подраздела Политики открытого ключа можно опубликовать сертификаты определенного типа, не используя рассмотренную нами ранее оснастку Сертификаты. Типы сертификатов, которые можно опубликовать, аналогичны типам сертификатов, отображаемых в оснастке Сертификаты, и были рассмотрены ранее. Кроме того, обратите внимание на вложенный подраздел Файловая система EFS. Именно с помощью команды Добавить агент восстановления данных контекстного меню данного подраздела можно добавить агент восстановления (на основе сертификата пользователя).
С помощью подраздела Политики ограниченного использования программ, как и раньше, определяются правила, на основе которых система будет решать, можно пользователю запустить определенный файл или нет. Если вы решили создать такие правила, то сначала в контекстном меню данного подраздела выберите команду Создать политику ограниченного использования программ, после чего в подразделе Политики ограниченного использования программ будут созданы два дочерних подраздела: Уровни безопасности и Дополнительные правила.
Как и раньше, ограничивать доступ к файлам и каталогам можно на основе четырех правил.
• Создать правило для сертификата – позволяет ограничить доступ к сценарию или пакету установщика Windows (расширение MSI) на основе сертификатов, которые были им выданы. Если сценарий или пакет установщика Windows не имеют указанного в правиле сертификата, то их использование будет запрещено. Это правило является наиболее защищенным, хотя и доступно только для сценариев и MSI-файлов.
• Создать правило для хэша – дает возможность ограничить доступ к файлам на основе хэша, которым они подписаны. Правило создается для определенного файла, при этом также создается хэш файла. Если кто-то попытается модифицировать файл, для которого определен хэш с помощью правила, то такой файл больше не будет разрешено запускать, так как его хэш не будет совпадать с тем, который определен правилом.
Если же создается правило на основе хэша, которое будет запрещать запуск определенного файла, то пользователь сможет его довольно легко обойти – достаточно будет изменить содержимое файла, чтобы изменился и его хэш.
• Создать правило для зоны сети – позволяет ограничить доступ к файлам установщика Windows на основе зоны Интернета, из которой был получен данный файл.
• Создать правило для пути – дает возможность ограничить доступ к файлам на основе каталога, в котором они расположены.
Чтобы создать одно из описанных выше правил, нужно воспользоваться контекстным меню подраздела Дополнительные правила.
Но перед этим необходимо изменить общий уровень доступа к файлам, используемый в системе. Возможные уровни определены в подразделе Уровни безопасности, и, чтобы изменить уровень, достаточно в контекстном меню нужного уровня выбрать команду По умолчанию. Если раньше подраздел Уровни безопасности содержал всего два возможных уровня, то в операционной системе Windows Vista их три.
• Запрещено – если вы установите данный уровень доступа, то по умолчанию доступ к любым файлам компьютера для всех пользователей будет запрещен. Не забудьте только после этого создать несколько дополнительных правил, которые разрешали бы пользователям доступ к определенным каталогам.
• Обычный пользователь – если вы установите данный уровень доступа, то по умолчанию доступ к любым файлам компьютера будет разрешен только с правами пользователя. Доступ с правами администратора или опытного пользователя будет запрещен.
• Неограниченный – используется по умолчанию. При этом пользователям разрешен доступ ко всем файлам компьютера без ограничений (естественно, если только доступ к файлам не запрещен с помощью ACL).
Подраздел Сценарии
Подраздел Сценарии также совершенно не изменился по сравнению с предыдущими версиями операционной системы Windows. С его помощью можно указать путь к VBS или JS-сценарию, ВАТ-файлу или любой программе, которая должна автоматически запускаться либо при входе пользователя в систему или выходе из нее (подраздел Сценарии раздела Конфигурация пользователя), либо при запуске процесса winlogon.ехе или выключении компьютера (подраздел Сценарии раздела Конфигурация компьютера).
Работа со сценариями. Как и раньше, если вы назначаете на выполнение сценарий, расположенный на локальном компьютере, то он должен находиться в одном из следующих каталогов (на самом деле он может находиться где угодно, но ведь не зря же разработчики ввели специальные каталоги файловой системы для хранения сценариев).
• %systemroot%\System32\GroupPolicy\User\Scripts\Logon – сценарий должен исполняться при входе текущего пользователя в систему. Запускается с правами пользователя.
• %systemroot%\System32\GroupPolicy\User\Scripts\Logoff – сценарий должен исполняться при выходе текущего пользователя из системы. Запускается с правами пользователя.
• %systemroot%\System32\GroupPolicy\Machine\Scripts\Shutdown – сценарий должен исполняться при выключении компьютера любым пользователем. Запускается с правами системы.
• %systemroot%\System32\GroupPolicy\Machine\Scripts\Startup – сценарий должен исполняться при загрузке процесса winlogon.exe любым пользователем. Запускается с правами системы.
Как и раньше, сведения об указанных вами сценариях, запускаемых автоматически, записываются как в реестр, так и в специальный файл файловой системы.
Сведения о сценариях, автоматически запускаемых для пользователя, хранятся в файле scripts.ini каталога %systemroot%\System32\GroupPolicy\ User \ Scripts. Сведения о сценариях, автоматически запускаемых для всех пользователей, хранятся в файле scripts.ini каталога %systemroot%\System32\ GroupPolicy\Machine\Scripts. Оба этих файла очень просты в понимании и позволяют редактировать свое содержимое вручную, без использования оснастки Редактор объектов групповой политики.
Сведения о запускаемых сценариях хранятся в подразделах ветвей системного реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Group Policy\Scripts и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Group PolicyXScripts.
Групповые политики настройки выполнения сценариев. Операционная система Windows Vista содержит специальные групповые политики для настройки выполнения сценариев. Все они расположены в подразделе Конфигурация компьютера Административные шаблоны Система Сценарии и описаны в файле Scripts. admx. Например, в данном подразделе можно встретить следующие групповые политики (все они влияют на параметры типа REGDWORD, расположенные в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Pol icies\ System).
• Allow-LogonScript-NetbiosDisabled – если значение данного параметра равно 1, то пользовательские сценарии входа будут выполняться даже в том случае, если во время входа в перекрестный лес NetBIOS и WINS отключены и DNS-серверы не настроены.
• MaxGPOScriptWait – значение данного параметра определяет максимальное время (в секундах), которое могут выполняться сценарии входа и выхода, и может принимать значения от 1 до 32 000 секунд. По умолчанию сценарии могут выполняться не более десяти минут.
• RunLogonScriptSync – если значение данного параметра равно 1, то все пользовательские сценарии входа в систему будут выполняться синхронно с самим процессом входа. Иными словами, пока сценарии не будут выполнены, оболочка пользователя отображена не будет. По умолчанию сценарии выполняются асинхронно. Этот параметр находится и в ветви реестра корневого раздела HKEY_CURRENT_USER.
• HideShutdownScripts – при установке значения этого параметра равным С сценарии, которые выполняются при завершении работы операционной системы, будут отображаться на экране. По умолчанию сведения об их выполнении не отображаются. Этот параметр находится и в ветви реестра корневого раздела HKEY_CURRENT_USER.
• RunStartupScriptSync – если значение данного параметра равно 0, то все сценарии входа в систему будут выполняться асинхронно по отношению друг к другу. Иначе говоря, пока не будет выполнен один сценарий, второй выполняться не будет. По умолчанию сценарии выполняются асинхронно.
• HideStartupScripts – при установке значения этого параметра равным С сценарии, которые выполняются при входе в систему синхронно, будут отображаться в окне командной строки. По умолчанию сведения об их выполнении не отображаются. Этот параметр находится и в ветви реестра корневого раздела HKEY_CURRENT_USER.Подраздел Настройка Internet Explorer
Совершенно не изменился и подраздел Настройка Internet Explorer раздела Политика «Локальный компьютер» Конфигурация пользователя Конфигурация Windows. Как и раньше, он содержит следующие подразделы.
• Пользовательский интерфейс обозревателя – позволяет настроить такие элементы окна браузера Internet Explorer, как заголовок окна (подраздел Заголовок обозревателя), файлы изображений для фона панели инструментов браузера, а также позволяет добавить собственные кнопки к панели инструментов (подраздел Настройка панели инструментов). Кроме того, с помощью данного подраздела можно изменить файлы изображений для статического и динамического логотипов браузера Internet Explorer (подраздел Эмблема и анимированные рисунки). Следует только понимать, что при использовании нового интерфейса операционной системы вообще не существует такого понятия, как логотип или изображение панели инструментов, поэтому, для того чтобы увидеть изменения, нужно работать в операционной системе Windows Vista с интерфейсом ранних версий операционной системы.
Все параметры, изменяемые с помощью данного подраздела, записываются в текстовый файл install. ins (по умолчанию изменять данный файл могут только администраторы и система), расположенный в каталоге %systemroot%\ system32\GroupPolicy\User\MICROSOFT\IEAK. Сами же измененные параметры записываются в реестр с помощью процесса svchost.ехе, запущенного с правами системы.
• Подключение – дает возможность настроить следующие параметры браузера Internet Explorer:
– строку, добавляемую к строке User-Agent, идентифицирующей обозреватель (подраздел Строка обозревателя);
– используемые для подключения к Интернету адреса и порты прокси-сервера (подраздел Параметры прокси-сервера);
– адрес компьютера, который содержит сценарии (INS-файл для настройки параметров обозревателя и JS-сценарий для настройки прокси) для автоматической настройки обозревателя через определенный промежуток времени (подраздел Автоматическая настройка обозревателя).
С помощью данного подраздела можно также экспортировать настройки, изменяемые с помощью вкладки Подключения окна Свойства: Интернет, в файлы, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\ MICROSOFT\IEAK\BRANDING\cs, чтобы впоследствии содержимое этих файлов автоматически импортировалось в браузер Internet Explorer.
• URL-адреса – позволяет настроить содержимое папок Избранное и Ссылки (подраздел Избранное и ссылки), а также изменить такие стандартные адреса браузера Internet Explorer, как адрес домашней страницы, панели поиска и страницы поддержки (подраздел Важные URL-адреса).
• Безопасность – дает возможность экспортировать настройки зон Интернета и настройки ограничений браузера (Ratings) в INF-файлы, чтобы впоследствии содержимое этих файлов автоматически импортировалось в браузер Internet Explorer (подраздел Зоны безопасности и оценка содержимого). Зоны безопасности экспортируются в файлы seczones. inf и seczrsop. inf, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\ IEAK\BRANDING\ZONES, а параметры ограничений браузера экспортируются в INF-файлы ratings, inf и ratrsop.inf каталога %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\RATINGS. С помощью этого подраздела можно также экспортировать параметры настройки сертификатов доверенных издателей и доверенных агентств выдачи сертификатов (подраздел Параметры Authenticode).
• Программы – позволяет выполнить экспортирование параметров из вкладки Программы окна Свойства: Интернет в файл programs. inf, расположенный в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\ IEAK\BRANDING\PROGRAMS, чтобы впоследствии содержимое этого файла автоматически импортировалось в браузер Internet Explorer.Раздел Административные шаблоны
Административные шаблоны – это единственное, что существенно изменилось в операционной системе Windows Vista. Точнее, изменились не сами административные шаблоны, а способы их создания. Если раньше все групповые политики хранились в пяти файлах с расширением ADM, то теперь для их хранения используется множество файлов с расширениями ADMX и ADML, которые представляют собой XML-файлы (то есть также изменился и синтаксис создания данных файлов).
Файлы, имеющие расширение ADMX, расположены в каталоге %systemroot%\ PolicyDef initions. Они содержат описания ветвей реестра и параметров, изменяющихся групповыми политиками, а также ссылки на одноименные файлы с расширением ADML, хранящие описания групповых политик, изменяющих эти ветви реестра. Файлы с расширением ADML расположены в каталоге %systemroot%\PolicyDef initions\en-US (для английской локализации административных шаблонов). На протяжении предыдущих глав мы рассматривали групповые политики, которые позволяли настраивать те или иные компоненты операционной системы, а также подразделы оснастки gpedit.msc и файлы, в которых эти групповые политики хранятся. Поэтому сейчас мы не будет рассматривать ни структуру подразделов групповых политик, ни назначение стандартных ADMX и ADML-файлов.Примечание
Сведения о применении групповых политик заносятся в журнал Журналы приложений и служб Microsoft Windows GroupPolicy.
Согласитесь, что было бы глупо изменять формат файлов, содержащих групповые политики, и полностью отказываться от всех написанных ранее административных файлов с расширением ADM. Именно поэтому групповые политики Windows Vista поддерживают как новый формат файлов административных шаблонов, так и старый. Теперь все файлы с расширением ADM заносятся в подраздел групповых политик Административные шаблоны Классические административные шаблоны (ADM). При этом операционная система Windows Vista по умолчанию содержит один ADM-файл, который расположен в каталоге %systemroot%\inf и управляет настройкой ограничений на передачу отчетов об ошибках в работе операционной системы и программ корпорации Microsoft.
Хранение групповых политик. Все групповые политики, которые вы применили с помощью оснастки Редактор объектов групповой политики, заносятся не только в реестр, но и в два специальных файла с именем registry.pol. Они расположены в каталогах %systemroot%\system32\GroupPolicy\Machine и %systemroot%\system32\GroupPolicy\User. Параметры из этих файлов через определенные промежутки времени заносятся в реестр (как и в предыдущих операционных системах, можно воспользоваться командой gpupdate.ехе, чтобы вручную внести в реестр содержимое файлов registry.pol).
Именно из-за этих файлов удаление параметров групповых политик непосредственно с помощью реестра не приведет ни к каким результатам – они будут заново созданы при следующем помещении содержимого файлов registry.pol в реестр. Поэтому если вы установили какие-либо ограничения с помощью групповых политик, то и удалить их вы сможете только с помощью групповых политик.
Если компьютер находится в домене, то для него применяются не только локальные групповые политики, но и групповые политики на уровне домена и организационной единицы. Как и раньше, политики на уровне домена будут замещать собой политики локального компьютера, а групповые политики на уровне организационной единицы будут замещать собой политики на уровне домена.
Работа с групповыми политиками с помощью дополнительных программ
Теперь рассмотрим несколько программ командной строки, которые предназначены для работы с групповыми политиками. Первая из них является нововведением операционной системы Windoiws Vista. Вторая же присутствовала и в предыдущих версиях Windows.
• Migration Table. Расположение: %systemroot%\system32\mtedit.ехе.
Эту программу можно использовать при копировании групповых политик из одного домена в другой, для определения и изменения специфических для домена данных. При копировании групповых политик из одного домена в другой политики старого домена не всегда смогут работать на новом домене. Например, если политики основаны на SID учетных записей пользователей, которые никак не могут совпадать у двух доменов, данные политики работать не будут. В этом случае вам может понадобиться программа Migration Table, которая позволяет указать данные старого домена, например SID учетных записей и данные, на которые они будут автоматически заменены при копировании в новый домен.
С помощью программы Migration Table можно указать изменение следующих данных: SID групп и учетных записей пользователей, имена компьютеров, а также пути UNC. Эти данные могут встречаться как непосредственно в групповых политиках, так и в ACL для групповых политик или дополнительных файлов.
После работы Migration Table создается текстовый файл в формате XML с расширением MIGTABLE. Конечно, вы можете редактировать или даже самостоятельно создавать данный файл, не используя программы Migration Table, однако с ее помощью создание файла миграции существенно облегчается.
Для запуска программы Migration Table лучше всего воспользоваться оснасткой Управление групповой политикой. Для этого достаточно в контекстном меню домена или объекта групповой политики выбрать команду Открыть редактор таблиц миграции, после чего отобразится окно программы.
Чтобы просмотреть дополнительную информацию о данной программе, достаточно воспользоваться меню Справка для вывода справки по работе с ней.
• Group Policy Update Utility v6.0. Расположение: %systemroot%\system32\ Gpupdate.exe.
Эта программа командной строки также присутствовала в предыдущих версиях операционной системы Windows, поэтому мы не будем рассматривать ее подробно. С ее помощью можно выполнить немедленное обновление групповых политик компьютера на основе локальных и групповых политик домена. Для этого достаточно воспользоваться данной программой без параметров. При обновлении можно также указать следующие основные параметры.
– /target: – может принимать значения computer и user. Определяет тип политик, которые будут обновлены (по умолчанию обновляются оба типа политик).
– /Logoff – при завершении обновления политики выйти из системы.
– /boot – при завершении обновления политики перезагрузить компьютер.
– /sync – новый параметр данной программы, который может использоваться вместе с предыдущими параметрами. Его использование приводит к синхронному применению групповых политик.Настройка групповых политик
Как ни странно звучит название этого подраздела книги, но операционная система Windows Vista содержит специальные групповые политики для настройки работы механизма групповых политик и RSoP (о RSoP будет рассказано при описании оснастки Результирующая политика). Все они расположены в подразделе Административные шаблоны Система Групповая политика разделов Конфигурация компьютера и Конфигурация пользователя. Они описаны в файле GroupPolicy.admx.
Локальные пользователи и группыCLSID-номер оснастки: {5D617 9C8-17EC-11D1-9AA9-00C04FD8FE93}.
Библиотека: localsec.dll.
Используется в стандартных консолях: compmgmt.msc, lusrmgr.msc.
Работа с данной оснасткой, как и ее интерфейс, также совершенно не изменились. При добавлении оснастки вы можете выбрать компьютер, информацию которого она должна отображать. После этого оснастка будет добавлена.
С помощью оснастки Локальные пользователи и группы вы можете добавлять, удалять или редактировать содержимое групп пользователей или параметры определенных учетных записей пользователей. Например, можно изменить группу, к которой принадлежит определенная учетная запись пользователя, описание, пароль к учетной записи, путь к профилю учетной записи пользователя, указать, может ли пользователь самостоятельно изменять пароль. А можно вообще отключить определенную учетную запись пользователя.Примечание
Параметры учетных записей компьютера можно просмотреть с помощью экземпляров класса Win32_UserAccount, принадлежащего пространству имен \\root\cimv2. Например, данный класс поддерживает следующие свойства: AccountType (определяет свойства учетной записи), Disabled (указывает, отключена ли данная учетная запись), Domain (ключевое свойство, определяющее домен, в котором зарегистрирована учетная запись), LocalAccount (указывает, является ли данная учетная запись локальной), Lockout (определяет, заблокирована ли данная учетная запись), Name (ключевое свойство, определяющее название учетной записи), PasswordChangeable (указывает, можно ли изменить пароль для данной учетной записи), PasswordExpires (определяет, имеет ли пароль для данной учетной записи срок действия), PasswordRe-quired (указывает, установлен ли пароль для данной учетной записи), SID (определяет SID учетной записи).
Группы пользователей
По умолчанию в Windows Vista созданы следующие группы пользователей.
• IIS_IUSRS – пользователи данной группы могут работать с веб-сервером IIS локального компьютера. По умолчанию в данную группу входит пользователь NT AUTHORITY\IUSR.
• Администраторы – пользователям данной группы предоставлены максимальные привилегии на локальном компьютере. По умолчанию в данную группу входит пользователь Адмнистратор, а также первый пользователь, которого вы создавали при инсталляции операционной системы.
• Гости – пользователи данной группы обладают минимальными правами в операционной системе. По умолчанию в данную группу входит пользователь Гость.
• Криптографические операторы – пользователи этой группы могут выполнять шифрование и расшифровку данных. В остальном их права соответствуют правам участников группы Пользователи.
• Операторы архива – пользователи данной группы могут выполнять архивирование и восстановление системы с помощью стандартного мастера Windows. В остальном их права соответствуют правам пользователей группы Пользователи.
• Операторы настройки сети – пользователям этой группы разрешено выполнять настройку сетевых интерфейсов локального компьютера. В остальном их права соответствуют правам пользователей группы Пользователи.
• Опытные пользователи – им разрешено создавать других пользователей и другие группы (но не обладающих никакими административными правами), разрешен доступ к каталогу %programfUes% и многим дополнительным ветвям реестра , а также разрешено запускать или останавливать службы. В остальном их права соответствуют правам участников группы Пользователи.
• Пользователи – обладают основными правами по работе в системе, но не обладают никакими административными правами. По умолчанию в данную группу входят пользователи NT AUTHORITY\Authenticated Users и NT AUTHORITY\INTERACTIVE.
• Пользователи DCOM – пользователи данной группы могут выполнять любые операции с DCOM-объектами, зарегистрированными на локальном компьютере. В остальном их права соответствуют правам участников группы Пользователи.
• Пользователи журналов производительности – пользователям данной группы разрешено пользоваться журналами производительности локального компьютера. В остальном их права соответствуют правам участников группы Пользователи.
• Пользователи системного монитора – пользователям этой группы разрешено удаленно просматривать журналы производительности локального компьютера. В остальном их права соответствуют правам участников группы Пользователи.
• Пользователи удаленного рабочего стола – пользователям данной группы разрешен доступ к удаленному Рабочему столу операционной системы.
• Репликатор – пользователь данной группы может зарегистрироваться в службе репликации контроллера домена.
• Читатели журнала событий – пользователи этой группы обладают правом чтения стандартных журналов операционной системы.
Хранение сведений в реестре
Сведения о пользователях и группах, зарегистрированных в операционной системе Windows Vista, содержатся в базе данных SAM. Она проецируется на две ветви реестра: HKEY_LOCAL_MACHINE\SAMHHKEY_LOCAL_MACHINE\SECURITY. По умолчанию администратор не может получить доступ к ветви HKEY_LOCAL_MACHINE\ SECURITY, однако если вы отредактируете права доступа к данной ветви, то сможете просмотреть ее содержимое. Хотя это даст не многое: как ветвь реестра HKEY_LOCAL_MACHINE\SECURITY, так И HKEY_LOCAL_MACHINE\SAM хранит данные в зашифрованном виде.
Список всех стандартных групп пользователей содержится в ветви системного реестра HKEY_LOCAL_MACHINE\SAM\SAM\Domains\BuiItin\Aliases\Names (в виде подразделов данной ветви). В данной ветви хранятся только названия групп, остальные же сведения о них хранятся в параметре REG BINARY-типа С ветви HKEY_L0CAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\<номер группы>. Например, в данном параметре находится описание группы.
Если же вы создаете свою группу, то сведения о ней заносятся в параметр типа REG_BINARY С ветви системного реестра HKEY_LOCAL_MACHINE\SAM\SAM\ Domains\Account\Aliases\<номер группы>, а ее название заносится как дочерний подраздел в ветвь реестра HKEY_LOCAL_MACHINE\SAM\SAM\Domains\ Account\Aliases\Names.
Названия всех учетных записей пользователей хранятся как дочерние подразделы ветви реестра HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ Names. Остальная же информация об учетных записях пользователей находится в параметрах REG_BINARY-типа ветви реестра HKEY_LOCAL_MACHINE\SAM\ SAM\Domains\Account\Users\<номер пользователях Например, параметр V хранит сведения о полном имени учетной записи и ее описании. Параметр UserPasswordHint содержит подсказку пользователя (при вводе пароля во время создания учетной записи пользователя можно было ввести подсказку, которая будет отображаться, если вы ввели пароль неправильно). А в параметре UserTile хранится путь к изображению, которое ассоциируется с учетной записью пользователя и отображается в меню Пуск.
Список пользователей, профили которых созданы в операционной системе (как обычных пользователей, так и таких стандартных учетных записей как, например, LOCAL SYSTEM, LOCAL SERVICE и NETWORK SERVICE), также находится в ветви реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Prof ileList. Она включает в себя вложенные подразделы, названные в честь SID учетной записи и содержащие сведения о профиле для данного SID. Например, в параметре строкового типа Prof ilelmagePath этих ветвей реестра хранится путь к каталогу профиля.Примечание
С помощью команды rundll32.exe sysdm.cpl, EditUserProfiles можно отобразить окно Профили пользователей, которое позволяет изменить тип профиля пользователя (локальный или перемещаемый), удалить профиль пользователя или переместить его в другой каталог.
Особенностью ветви HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\ProfileList является то, что в ней также определяются сведения о стандартных профилях операционной системы. Эта ветвь включает в себя следующие параметры строкового типа.
• Default – хранит путь к профилю, который будет использоваться как основа при создании нового профиля пользователя (при первом входе в операционную систему пользователя, учетная запись которого была недавно создана).
• Prof ilesDirectory – содержит путь к каталогу, хранящему профили пользователей операционной системы.
• ProgramData – хранит путь к каталогу, используемому установленными в операционной системе программами для хранения своих данных.
• Public – содержит путь к каталогу профиля Общие.
Результирующая политика
CLSID-номер оснастки: { 6DC3804B-7212-458D-ADB0-9A07E2AE1FA2 }.
Библиотека: GPEdit.dll.
Используется в стандартных консолях: rsop.msc.
Впервые оснастка Результирующая политика появилась в операционной системе Windows ХР. Она предоставляет простой способ просмотра групповых политик, которые действуют на того или иного пользователя.
Если в оснастке Редактор объектов групповой политики отображаются все групповые политики, доступные для данной операционной системы, то в оснастке Результирующая политика отображаются только те групповые политики, которые были установлены. Кроме того, особенностью данной оснастки является то, что она отображает групповые политики, учитывая их состояние, определенное как групповыми политиками локального компьютера, так и групповыми политиками, установленными на уровне домена и организационной единицы. При этом оснастка позволяет определить групповые политики, состояние которых конфликтует на уровне локального компьютера, домена или организационной единицы.
После открытия оснастки Результирующая политика ее основное окно будет пустым. Чтобы отобразить итоги работы результирующей политики, сначала нужно определить компьютер и пользователя, для которого будет генерироваться результирующая политика. Для этого в контекстном меню подраздела оснастки нужно выбрать команду Создать данные RSoP. После этого отобразится соответствующий мастер, позволяющий выбрать компьютер и пользователя данного компьютера.
После генерации результирующей политики в подразделе оснастки будет создано два дочерних подраздела, уже знакомых вам по оснастке Редактор объектов групповой политики: Конфигурация компьютера и Конфигурация пользователя. Как и раньше, они будут содержать дочерние подразделы Конфигурация программ, Конфигурация Windows и Административные шаблоны (если была определена хотя бы одна политика данного подраздела).
Подраздел Административные шаблоны будет содержать только те политики, которые были установлены для выбранного пользователя. При этом в свойствах установленной политики, помимо стандартных вкладок Параметр (обратите внимание, что с помощью данной вкладки можно просмотреть состояние групповой политики, но нельзя его изменить) и Объяснение, появится еще одна вкладка – Приоритет. С помощью этой вкладки можно определить, на каком уровне была назначена соответствующая политика: на уровне локального компьютера, домена или организационной единицы.
Подраздел Конфигурация Windows всегда будет включать в себя как минимум один подраздел – Параметры безопасности. Его содержимое отображается независимо от того, изменяли вы его или нет. При этом содержимое данного подраздела немного изменится. В нем будут отображаться как стандартные подразделы Политики учетных записей, Локальные политики, Политики открытого ключа, Политики ограниченного использования программ и Политики IP-безопасности, так и несколько дополнительных подразделов, параметры которых редактируются с помощью оснастки Шаблоны безопасности.
• Журнал событий – отображает параметры ведения стандартных журналов оснастки Просмотр событий.
• Группы с ограниченным доступом – выводит список пользователей, права которых были временно повышены до определенной группы.
• Системные службы – отображает состояние службы компьютера, которое было назначено ей с помощью групповой политики.
• Реестр – выводит ветви реестра , разрешения доступа к которым были изменены.
• Файловая система – отображает каталоги файловой системы, разрешения доступа к которым были изменены.
• Политики проводной сети (IEEE 802.3) – выводит параметры настройки сетей IEEE 802.3.
• Политики беспроводной сети (IEEE 802.11) – отображает параметры настройки беспроводных сетей IEEE 802.11.
Как и в предыдущих версиях операционной системы, в Windows Vista присутствует программа командной строки gpresult.ехе (Расположение: %systemroot%\ system32\gpresult.ехе), с помощью которой также можно получить сведения о результирующих политиках. После запуска данной программы без параметров перед вами отобразятся следующие сведения: тип и версия операционной системы, домен, список доступных на компьютере групп, а также логин текущего пользователя, дата последнего применения групповых политик. Также будет указано, было ли выполнено подключение к компьютеру с использованием медленной линии (а также порог скорости, при котором линия считается медленной). Конечно, отобразятся и сами примененные групповые политики.
Если же вы хотите отобразить результирующие политики конкретного пользователя, то нужно воспользоваться параметром /user. А с помощью параметра /scope, значениями которого могут быть слова user или computer, можно указать тип групповых политик, которые нужно отобразить.
Если же нужно подключиться к удаленному компьютеру, то достаточно воспользоваться параметрами/s <компьютер>, /и <пользователь>и/р <пароль>.
Анализ и настройка безопасности
CLSID-номер оснастки: {011BE22D-E453-11D1-945A-00C04FB984F9}.
Библиотека: wsecedit.dll.
Используется в стандартных консолях: нет.
Оснастка не является нововведением операционной системы Windows Vista. Однако мы рассмотрим ее (хоть и не подробно), так как работа с ней немного запутанна, хотя и не представляет особой сложности.
Работа с оснасткой
Оснастка Анализ и настройка безопасности предназначена для просмотра текущей конфигурации параметров компьютера, назначаемых с помощью шаблонов другой оснастки – Шаблоны безопасности, которую мы рассмотрим немного позже. При этом вы не только можете проанализировать состояние параметров компьютера, но и указать те из параметров, значения которых будут изменены согласно параметрам выбранного шаблона.
После запуска оснастки перед вами отобразится пустое окно. Чтобы начать работать с оснасткой, нужно в ее контекстном меню выбрать команду Открыть базу данных. После этого отобразится окно открытия базы данных SDB. Если вы впервые запускаете оснастку Анализ и настройка безопасности, то просто введите в окне название новой базы, которая будет создана после того, как вы нажмете кнопку ОК. После создания базы данных перед вами отобразится список шаблонов безопасности (по умолчанию располагаются они в каталоге %systemroot%\security\ templates), из которого нужно выбрать нужный шаблон. Шаблоны безопасности и их создание будут описаны в оснастке Шаблоны безопасности.После того как вы загрузите нужный шаблон в оснастку Анализ и настройка безопасности, в ее контекстном меню станет активна команда Анализ компьютера. Как только вы ее выберете, начнется анализ конфигурации параметров компьютера, которые изменяются с помощью выбранного шаблона. Результаты анализа будут отображены в виде подразделов оснастки Анализ и настройка безопасности. Эти подразделы аналогичны подразделам выбранного вами шаблона безопасности.
Итак, теперь вы можете просмотреть, соответствуют ли текущие параметры настройки компьютера параметрам выбранного шаблона. Но что же делать, если значение какого-то параметра не соответствует значению, указанному в шаблоне (заметьте, что в этом случае напротив соответствующего параметра отображается перечеркнутый крестик)? В этом случае в контекстном меню соответствующего параметра нужно выбрать команду Свойства. После этого откроется окно, которое отображает текущее значение параметра и имеет флажок Определить следующую политику в базе данных. Если вы установите данный флажок, то в поле под ним отобразится значение данного параметра, указанное в шаблоне безопасности (рис. 5.17). С помощью этого же поля вы можете ввести свое значение данного параметра, отличное от того, которое указано в шаблоне безопасности. После того как вы нажмете кнопку ОК, значение шаблона безопасности заменит собой текущее значение компьютера. Но только в окне оснастки! Чтобы значения измененных вами параметров действительно были записаны в реестр компьютера, нужно в контекстном меню данной оснастки выбрать команду Настроить компьютер. После этого измененные вами значения параметров будут помещены в реестр компьютера.
Рис. 5.17. Установка значения параметров шаблона безопасности
Использование программы secedit.exe
Для анализа параметров безопасности компьютера можно использовать программу командной строки secedit.ехе. Возможности данной программы полностью совпадают с возможностями оснастки Анализ и настройка безопасности. Она поддерживает следующие параметры: /configure, /analyze, /import, /export, /validate и /generaterollback. Для просмотра описания использования определенной команды достаточно ввести команду secedit.ехе <команда>.
Шаблоны безопасностиCLSID-номер оснастки: {5ADF5BF6-E452-11D1-945A-00C04FB984F9}.
Библиотека: wsecedit.dll.
Используется в стандартных консолях: нет.
Эта оснастка, как и предыдущая, не является нововведением операционной системы Windows Vista. С ее помощью можно создать новые или отредактировать поставляемые с операционной системой стандартные шаблоны безопасности. Если у вас нет стандартных шаблонов безопасности, то можно создать свой собственный шаблон или скопировать стандартные шаблоны безопасности операционной системы Windows ХР в каталог %systemroot%\security\templates. Вы также можете взять несколько шаблонов безопасности из каталога %systemroot%\inf операционной системы Windows Vista и перенести их в каталог %userprof ile%\ Documents\security\Templates. В нем находятся следующие шаблоны безопасности: defltbase.inf, defltwk.inf, sceregvl.inf, secrecs.inf.
Для примера создадим свой собственный шаблон безопасности. Для этого в контекстном меню оснастки достаточно выбрать команду Создать шаблон. После этого достаточно указать имя шаблона и его описание, после чего он будет создан. Если у вас уже есть шаблоны, то вы можете редактировать их или создать новый шаблон на основе значений параметров существующего. Для этого в контекстном меню шаблона нужно выбрать команду Сохранить как.
Каждый шаблон состоит из следующих подразделов.
• Политики учетных записей – этот подраздел знаком вам по оснастке Групповая политика. Однако, кроме вложенных подразделов Политика паролей и Политика блокировки учетных записей, доступных в оснастке Групповая политика, он содержит еще один дочерний подраздел: Политика Kerberos. Он определяет параметры работы протокола Kerberos, используемого в домене Active Directory.
• Локальные политики – также знаком вам по оснастке Групповая политика. Как и там, этот подраздел включает в себя такие вложенные подразделы, как Политика аудита, Назначение прав пользователя, Параметры безопасности.
• Журнал событий – содержит такие параметры настройки ведения стандартных журналов Windows, как максимальные размеры журналов, указания, будет ли разрешено просматривать журналы пользователям группы Гости, какой интервал очистки журналов будет использоваться и т. д.
• Группы с ограниченным доступом – позволяет добавить в определенную группу временного пользователя (для повышения его прав на некоторое время). Для добавления ограниченного пользователя в группу нужно создать саму группу, в которую будет добавляться пользователь. Для этого нужно в контекстном меню подраздела Группы с ограниченным доступом выбрать команду Добавить группу. После этого система предложит вам указать нужную группу, а затем предложит добавить в нее новых пользователей.