Краткое руководство по решению проблем с настройками безопасности групповой политики

Будучи администраторами Active Directory, Group Policy, работая с компьютерами в области информационной безопасности, мы все прекрасно знаем, что наилучшим способом обеспечить безопасность среде Windows – это использовать групповые политики. Существуют сотни, если не тысячи настроек безопасности в каждом объекте групповой политики - Group Policy Object (GPO). Использование GPO дает нам эффективность, мощь и автоматизм. Однако, бывают ситуации, когда приходится чесать затылок в задумчивости: насколько правильно настроен GPO и насколько правилен сам GPO. В этой статье я дам вам несколько советов по поводу инструментов, команд и других вопросов, которые вы можете попробовать применить, чтобы убедиться в том, что ваши GPO и их настройки безопасности применяются правильно. Конечно же, если вам нужна более подробная информация о групповых политиках или о решении проблем, с ними связанных, вы можете обратиться к более полному руководству - MSPress Group Policy Resource Kit, написанным мной!

Какие настройки являются “настройками безопасности”?

При том, что в одном GPO может быть более 5000 настроек, я хочу на 100% точно указать, о каких именно настройках я говорю в этой статье. Есть специальный раздел в GPO, посвященный безопасности. Да, я знаю, что есть и другие настройки, тоже связанные с безопасностью, но здесь я буду говорить только об этом разделе.

Чтобы найти этот раздел, открывайте GPO, желательно через GPMC, так как у локального GPO набор настроек отличается от настроек GPO в Active Directory. Открыв в редакторе GPO, раскройте узел Computer Configuration\Policies\Windows Settings\Security Settings, как показано на Рисунке 1.

Тут вы обнаружите целый букет настроек: нюансы реестра, пользовательские права, разрешения для файлов/папок/реестра, безопасность беспроводной связи, членство в группах и т.д. Большинство этих настроек контролируются клиентским расширением, так что если одна из них неудачна, проблемы будут у всех. С обратной стороны, если одна из них успешно применяется, то и все должны хорошо работать (в теории!).

Проверка #1

Из GPMC (на любой машине, где у вас есть административные права) вы можете запустить инструмент Group Policy Results. Этот инструмент встроен в GPMC, поэтому ничего особенного делать не нужно. В GPMC вы сможете определить, какие настройки есть на целевом компьютере из тех настроек безопасности, которые вы устанавливали через ваш GPO.

Чтобы найти узел Group Policy Results в GPMC, посмотрите в нижнюю часть консоли GPMC. Там вы и найдете узел Group Policy Results (Рисунок 2).

Этим инструментом вы выбираете пользовательский аккаунт ('user account') или компьютерный аккаунт ('computer account'), для которых вам нужны данные. Сделать это можно, щелкнув правой кнопкой мыши на узле Group Policy Results и выбрав мастер. Завершив работу с мастером, вы увидите результат под узлом Group Policy Results, как показано на Рисунке 3.

Из этого интерфейса вы можете просмотреть многие аспекты примененных GPO, а также их настроеки. Тут вам нужно посмотреть на различные результаты в правой панели. Просмотрите объекты Group Policy Object, чтобы убедиться в том, что ваш GPO применен, а не был отклонен по какой-то причине. Затем проверьте Component Status на наличие ошибок, связанных с клиентским расширение по безопасности. И, наконец, проверьте вкладку Settings, раздел Security Settings и сделанные вами настройки (Рисунок 4).

Проверка #2

Еще вы можете запустить RSOP.msc на целевом компьютере, что даст вам абсолютно такую же информацию, что и первая проверка, только формат интерфейса будет отличаться. На Рисунке 5 показано, как команда RSOP.msc на целевом компьютере показывает настройки GPO в том же формате, что и оригинальный GPO, который настраивался в редакторе. Такой вид предпочтителен для некоторых, потому что не нужно беспокоиться о пути к настройкам безопасности, а можно просто перейти прямо к узлу в GPO и увидеть результаты.

Более подробную информацию о расширениях GPO и клиентских расширениях можно получить, посмотрев внимательнее на этот интерфейс. Если вы щелкните правой кнопкой мыши на узле Computer Configuration, вы сможете выбрать опцию меню Properties. Здесь вы увидите примененные GPO, а также сможете подключить просмотр следующих узлов (Рисунок 6):

• GPOs and filtering status
• Scope of management of the GPO
• Revision information about the GPO

Эта информация поможет вам обнаружить причины того, что GPO или соответствующие настройки не были применены.

Чтобы увидеть данные клиента, выберите вкладку Error Information, как показано на Рисунке 7.

Здесь вы видите, почему некоторое CSE мог быть не применено, что даст вам информацию к размышлению о том, почему некоторые настройки могут отсутствовать в интерфейсе RSOP.msc.

Проверка #3

Если вам нужны только настройки безопасности, а не все настройки, установленные GPO, можете запустить secpol.msc на целевом компьютере. Вам покажут только одно подмножество GPO в том же формате, что и первоначальный редактор GPO. Это показано на Рисунке 8.

Есть два момента, связанных с этим инструментом, о которых я должен упомянуть. Во-первых, он покажет вам БОЛЬШЕ, чем просто настройки безопасности, развернутые с GPO. Это дает серьезное преимущество, так как вы видите ВСЕ настройки безопасности на компьютере, а не только те, что были установлены с GPO. Вы сразу можете сказать, какие настройки идут от GPO в Active Directory, а какие были применены локально. Если вы обратитесь к Рисунку 8, вы увидите, что Account lockout threshold имеет отличающуюся от двух других настроек иконку. Эта иконка показывает, что эта настройка – от GPO из Active Directory, а две других были установлены локально.

Второй момент заключается в том, что вы можете ясно увидеть, что инструмент secpol показывает не так много настроек GPO, как инструмент RSOP.msc. Так что, если вам нужны какие-то определенные настройки, вам стоит работать с тем инструментом, которой точно отображает те данные, которые вам нужны.

Заключение

Как видите, у вас много вариантов (это был не исчерпывающий список) помочь себе в проверке статуса настроек безопасности, установленных с помощью GPO. Эти инструменты уже встроены, и они очень полезны. Конечно, у вас должно быть достаточно администраторских прав, чтобы запускать их, но если все в порядке, вы легко сможете увидеть, какие настройки были применены, какие - нет, а также возможные причины этого.