Назначение прав пользователя
Эта политика Определяет, какие пользователи и группы обладают правами на вход в систему и выполнение различных задач. Всего настроить можно аж 39 прав. Но рассматривать будем только некоторые из них, на мой взгляд наиболее важные в плане обеспечения безопасности ПК:
• Доступ к компьютеру из сети
• Локальный вход в систему
• Разрешение входа в систему через службы терминалов
• Архивирование файлов и каталогов
• Изменение системного времени
• Отказ в доступе к компьютеру из сети
• Запрещение локального входа
• Запрещение входа в систему через службы терминалов
• Принудительное удаленное завершение работы
• Создание журналов безопасности
• Восстановление файлов и каталогов
• Завершение работы системы
• Смена владельца файлов или иных объектов
Итак, начнем.
Доступ к компьютеру из сети
Описание
Это право пользователя определяет, каким пользователям и группам разрешается подключаться к компьютеру через сеть (т.е. «не пройдет» такой номер, как \\<имя ПК>\С$, удаленно подключиться к компьютеру через оснастку «Управление компьютером» и т.п.). Право не влияет на службы терминалов. Т.е. если лишить, допустим, администратора, права доступа к компьютеру из сети, то он все равно сможет подключиться с использованием терминального клиента (mstsc.exe). Конечно, если такое подключение разрешено.
По умолчанию
• |
На рабочих станциях и серверах:
• |
Администраторы |
• |
Операторы архива |
• |
Опытные пользователи |
• |
Пользователи |
• |
Все |
|
• |
На контроллерах домена:
• |
Администраторы |
• |
Прошедшие проверку |
• |
Все |
|
Естественно, рекомендуется или вовсе лишить всех пользователей и группы этого права, либо подходить к предоставлению права доступа к компьютеру из сети с особой осторожностью. В любом случае рекомендуется удалить группу «Все». Однако следует заметить, что лишение этого права для некоторых пользователей и групп может привести к некоторым ошибкам в работе сетевых приложений. Дополнительно о манипуляциях с этим правом можно узнать, написав свой вопрос на форуме или в гостевой.
Локальный вход в систему
Описание
Это право определяет пользователей, имеющих возможность интерактивно входить в систему. Данное право необходимо для входа пользователя в систему после одновременного нажатия клавиш CTRL+ALT+DEL на клавиатуре компьютера. Кроме того, это право на вход в систему может понадобиться некоторым службам или административным приложениям, во время работы которых происходит вход пользователей в систему. Если эта политика определена для пользователя или группы, группа «Администраторы» также должна получить это право. Иначе просто невозможно будет войти в систему в качестве администратора… Со всеми вытекающими J
По умолчанию
• |
На рабочих станциях и серверах: «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи» и «Гость». |
• |
На контроллерах домена: «Операторы учета», «Администраторы», «Операторы архива», «Операторы печати» и «Операторы сервера». |
Очень хорошо оставить это право только тем пользователям и группам, которые реально работают на компьютере. Различные группы типа «Гость», «Операторы архива» - лучше удалить.
Разрешение входа в систему через службы терминалов
Описание
Эта настройка безопасности определяет, каким пользователям и группам разрешается входить в систему в качестве клиента служб терминалов.
По умолчанию
• |
На рабочих станциях и серверах: «Администраторы», «Пользователи удаленного рабочего стола». |
• |
На контроллерах домена: «Администраторы». |
Ну тут почти все понятно. Если вы не пользуетесь службой терминалов – то лучше лишить данного права всех пользователей и группы.
|