Настройка параметров политики безопасности Configure security policy settings

Область применения Applies to

Описание действий по настройке параметра политики безопасности на локальном устройстве, на устройстве, которое присоединилось к домену, и на контроллере домена. Describes steps to configure a security policy setting on the local device, on a domain-joined device, and on a domain controller.

Для выполнения этих процедур необходимы права администраторов на локальном устройстве или соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена. You must have Administrators rights on the local device, or you must have the appropriate permissions to update a Group Policy Object (GPO) on the domain controller to perform these procedures.

Если локальный параметр недоступен, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is inaccessible, it indicates that a GPO currently controls that setting.

Настройка параметра с помощью консоли «Локализованная политика безопасности» To configure a setting using the Local Security Policy console

Чтобы открыть локализованную политику безопасности, на экране «Начните» введите secpol.mscи нажмите ввод. To open Local Security Policy, on the Start screen, type secpol.msc, and then press ENTER.

В области «Параметры безопасности» дерева консоли сделайте одно из следующих параметров: Under Security Settings of the console tree, do one of the following:

• Щелкните «Политики учетных записей», чтобы изменить политику паролей или политику блокировки учетных записей. Click Account Policies to edit the Password Policy or Account Lockout Policy.
• Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности. Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.

При нажатии параметра политики в области сведений дважды щелкните политику безопасности, которую необходимо изменить. When you find the policy setting in the details pane, double-click the security policy that you want to modify.

Измените параметр политики безопасности и нажмите кнопку «ОК». Modify the security policy setting, and then click OK.

• Некоторые параметры политики безопасности требуют перезапуска устройства до того, как параметр вступает в силу. Some security policy settings require that the device be restarted before the setting takes effect.
• Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Настройка параметра политики безопасности с помощью консоли редактора локальных групповых политик To configure a security policy setting using the Local Group Policy Editor console

Для выполнения этих процедур необходимы соответствующие разрешения для установки и использования консоли управления (MMC) и обновления объекта групповой политики (GPO) на контроллере домена. You must have the appropriate permissions to install and use the Microsoft Management Console (MMC), and to update a Group Policy Object (GPO) on the domain controller to perform these procedures.

Откройте редактор локальных групповых политик (gpedit.msc). Open the Local Group Policy Editor (gpedit.msc).

В дереве консоли щелкните «Конфигурация компьютера», «Параметры Windows» и выберите «Параметры безопасности». In the console tree, click Computer Configuration, click Windows Settings, and then click Security Settings.

Выполните одно из следующих действий. Do one of the following:

• Щелкните «Политики учетных записей», чтобы изменить политику паролей или политику блокировки учетных записей. Click Account Policies to edit the Password Policy or Account Lockout Policy.
• Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности. Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.

В области сведений дважды щелкните параметр политики безопасности, который необходимо изменить. In the details pane, double-click the security policy setting that you want to modify.

Если эта политика безопасности еще не определена, выберите этот параметр. If this security policy has not yet been defined, select the Define these policy settings check box.

Измените параметр политики безопасности и нажмите кнопку «ОК». Modify the security policy setting, and then click OK.

Если вы хотите настроить параметры безопасности для многих устройств в сети, можно использовать консоль управления групповыми политиками. If you want to configure security settings for many devices on your network, you can use the Group Policy Management Console.

Настройка параметра для контроллера домена To configure a setting for a domain controller

В следующей процедуре описывается настройка параметра политики безопасности только для контроллера домена (из контроллера домена). The following procedure describes how to configure a security policy setting for only a domain controller (from the domain controller).

Чтобы открыть политику безопасности контроллера домена, в дереве консоли найдите политику GroupPolicyObject [Имя компьютера], выберите «Конфигурация компьютера»,«Параметры Windows» и «Параметры безопасности». **** To open the domain controller security policy, in the console tree, locate GroupPolicyObject [ComputerName] Policy, click Computer Configuration, click Windows Settings, and then click Security Settings.

Выполните одно из следующих действий. Do one of the following:

• Дважды щелкните «Политики учетных записей», **** чтобы изменить политику паролей, **** политику блокировки учетных записей или политику Kerberos. Double-click Account Policies to edit the Password Policy, Account Lockout Policy, or Kerberos Policy.
• Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности. Click Local Policies to edit the Audit Policy, a User Rights Assignment, or Security Options.

В области сведений дважды щелкните политику безопасности, которую необходимо изменить. In the details pane, double-click the security policy that you want to modify.

Если эта политика безопасности еще не определена, выберите этот параметр. If this security policy has not yet been defined, select the Define these policy settings check box.

Измените параметр политики безопасности и нажмите кнопку «ОК». Modify the security policy setting, and then click OK.

• Всегда проверяйте созданную политику в тестовом подразделении, прежде чем применять ее к сети. Always test a newly created policy in a test organizational unit before you apply it to your network.
• При изменении параметра безопасности с **** помощью GPO и нажатии кнопки «ОК» этот параметр вступает в силу при следующем обновлении параметров. When you change a security setting through a GPO and click OK, that setting will take effect the next time you refresh the settings.

Параметры политики безопасности Security policy settings

Относится к: Applies to

В этой справочной статье описываются общие сценарии, архитектура и процессы для параметров безопасности. This reference topic describes the common scenarios, architecture, and processes for security settings.

Параметры политики безопасности — это правила, которые администраторы настраивают на компьютере или нескольких устройствах с целью защиты ресурсов на устройстве или сети. Security policy settings are rules that administrators configure on a computer or multiple devices for the purpose of protecting resources on a device or network. Расширение параметров безопасности в оснастке редактора локальной групповой политики позволяет определять конфигурации безопасности в составе объекта групповой политики (GPO). The Security Settings extension of the Local Group Policy Editor snap-in allows you to define security configurations as part of a Group Policy Object (GPO). GPOs связаны с контейнерами Active Directory, такими как сайты, домены или организационные подразделения, и они позволяют управлять настройками безопасности для нескольких устройств с любого устройства, подключенного к домену. The GPOs are linked to Active Directory containers such as sites, domains, or organizational units, and they enable you to manage security settings for multiple devices from any device joined to the domain. Политики параметров безопасности используются в рамках общей реализации системы безопасности, чтобы обеспечить безопасность контроллеров доменов, серверов, клиентов и других ресурсов в организации. Security settings policies are used as part of your overall security implementation to help secure domain controllers, servers, clients, and other resources in your organization.

Параметры безопасности могут управлять: Security settings can control:

• Проверка подлинности пользователя в сети или устройстве. User authentication to a network or device.
• Ресурсы, доступ к которые разрешены пользователям. The resources that users are permitted to access.
• Запись действий пользователя или группы в журнале событий. Whether to record a user’s or group’s actions in the event log.
• Членство в группе. Membership in a group.

Для управления конфигурациями безопасности для нескольких устройств можно использовать один из следующих вариантов: To manage security configurations for multiple devices, you can use one of the following options:

• Изменение определенных параметров безопасности в GPO. Edit specific security settings in a GPO.
• Используйте оснастку «Шаблоны безопасности» для создания шаблона безопасности, который содержит политики безопасности, которые необходимо применить, а затем импортировать шаблон безопасности в объект групповой политики. Use the Security Templates snap-in to create a security template that contains the security policies you want to apply, and then import the security template into a Group Policy Object. Шаблон безопасности — это файл, который представляет конфигурацию безопасности, и его можно импортировать в GPO, применять к локальному устройству или использовать для анализа безопасности. A security template is a file that represents a security configuration, and it can be imported to a GPO, applied to a local device, or used to analyze security.

Дополнительные сведения об управлении конфигурациями безопасности см. в введении параметров политики безопасности. For more info about managing security configurations, see Administer security policy settings.

Расширение параметров безопасности редактора локальной групповой политики включает следующие типы политик безопасности: The Security Settings extension of the Local Group Policy Editor includes the following types of security policies:

Политики учетных записей. Account Policies. Эти полицейские службы определяются на устройствах; они влияют на взаимодействие учетных записей пользователей с компьютером или доменом. These polices are defined on devices; they affect how user accounts can interact with the computer or domain. Политики учетной записи включают следующие типы политик: Account policies include the following types of policies:

• Политика паролей. Password Policy. Эти политики определяют параметры паролей, таких как правоприменители и сроки службы. These policies determine settings for passwords, such as enforcement and lifetimes. Политики паролей используются для учетных записей домена. Password policies are used for domain accounts.
• Политика блокировки учетных записей. Account Lockout Policy. Эти политики определяют условия и продолжительность блокировки учетной записи из системы. These policies determine the conditions and length of time that an account will be locked out of the system. Политики блокировки учетных записей используются для учетных записей домена или локальных пользователей. Account lockout policies are used for domain or local user accounts.
• Политика Kerberos. Kerberos Policy. Эти политики используются для учетных записей пользователей домена; они определяют параметры, связанные с Kerberos, такие как срок службы билетов и правоприменители. These policies are used for domain user accounts; they determine Kerberos-related settings, such as ticket lifetimes and enforcement.

Локальные политики. Local Policies. Эти политики применяются к компьютеру и включают следующие типы параметров политики: These policies apply to a computer and include the following types of policy settings:

Политика аудита. Audit Policy. Укажите параметры безопасности, которые контролируют ведение журнала событий безопасности в журнале безопасности на компьютере, и укажите, какие типы событий безопасности необходимо входить в журнал (успех, сбой или оба). Specify security settings that control the logging of security events into the Security log on the computer, and specifies what types of security events to log (success, failure, or both).

Для устройств под управлением Windows 7 и более поздней версии рекомендуется использовать параметры в статье Advanced Audit Policy Configuration, а не параметры политики аудита в соответствии с локальными политиками. For devices running Windows 7 and later, we recommend to use the settings under Advanced Audit Policy Configuration rather than the Audit Policy settings under Local Policies.

Назначение прав пользователей. User Rights Assignment. Укажите пользователей или группы, которые имеют права или привилегии логотипа на устройстве Specify the users or groups that have logon rights or privileges on a device

Параметры безопасности. Security Options. Укажите параметры безопасности компьютера, такие как имена администратора и гостевой учетной записи; доступ к дискетным дискам и дискам CD-ROM; установка драйверов; подсказки logon; и так далее. Specify security settings for the computer, such as Administrator and Guest Account names; access to floppy disk drives and CD-ROM drives; installation of drivers; logon prompts; and so on.

Брандмауэр Windows с расширенным обеспечением безопасности. Windows Firewall with Advanced Security. Укажите параметры для защиты устройства в сети с помощью государственного брандмауэра, который позволяет определить, какой сетевой трафик разрешен для прохода между устройством и сетью. Specify settings to protect the device on your network by using a stateful firewall that allows you to determine which network traffic is permitted to pass between your device and the network.

Политики диспетчера списков сети. Network List Manager Policies. Укажите параметры, которые можно использовать для настройки различных аспектов перечисления и отображения сетей на одном устройстве или на многих устройствах. Specify settings that you can use to configure different aspects of how networks are listed and displayed on one device or on many devices.

Политики общедоступных ключей. Public Key Policies. Укажите параметры для управления шифрованием файловой системы, защиты данных и шифрования диска BitLocker в дополнение к определенным путям сертификата и настройкам служб. Specify settings to control Encrypting File System, Data Protection, and BitLocker Drive Encryption in addition to certain certificate paths and services settings.

Политики ограничения программного обеспечения. Software Restriction Policies. Укажите параметры для определения программного обеспечения и управления его возможностью запуска на локальном устройстве, организационном подразделении, домене или сайте. Specify settings to identify software and to control its ability to run on your local device, organizational unit, domain, or site.

Политики управления приложениями. Application Control Policies. Укажите параметры, чтобы контролировать, какие пользователи или группы могут запускать определенные приложения в организации на основе уникальных удостоверений файлов. Specify settings to control which users or groups can run particular applications in your organization based on unique identities of files.

Политики безопасности IP на локальном компьютере. IP Security Policies on Local Computer. Укажите параметры для обеспечения конфиденциальной и безопасной связи через IP-сети с помощью служб криптографической безопасности. Specify settings to ensure private, secure communications over IP networks through the use of cryptographic security services. IPsec устанавливает доверие и безопасность с исходных IP-адресов на ip-адрес назначения. IPsec establishes trust and security from a source IP address to a destination IP address.

Расширенные настройки политики аудита. Advanced Audit Policy Configuration. Укажите параметры, которые контролируют ведение журнала событий безопасности в журнале безопасности на устройстве. Specify settings that control the logging of security events into the security log on the device. Параметры в статье Advanced Audit Policy Configuration обеспечивают более тонкий контроль за действиями, которые необходимо отслеживать, а не настройками политики аудита в соответствии с локальными политиками. The settings under Advanced Audit Policy Configuration provide finer control over which activities to monitor as opposed to the Audit Policy settings under Local Policies.

Управление настройками безопасности на основе политики Policy-based security settings management

Расширение параметров безопасности до групповой политики предоставляет интегрированную инфраструктуру управления на основе политики, которая поможет вам управлять политиками безопасности и применять их. The Security Settings extension to Group Policy provides an integrated policy-based management infrastructure to help you manage and enforce your security policies.

Вы можете определять и применять политики параметров безопасности для пользователей, групп и сетевых серверов и клиентов с помощью групповой политики и служб домена Active Directory (AD DS). You can define and apply security settings policies to users, groups, and network servers and clients through Group Policy and Active Directory Domain Services (AD DS). Можно создать группу серверов с одинаковой функциональностью (например, сервер Microsoft Web (IIS), а затем объекты групповой политики можно использовать для применения общих параметров безопасности к группе. A group of servers with the same functionality can be created (for example, a Microsoft Web (IIS) server), and then Group Policy Objects can be used to apply common security settings to the group. Если позже в эту группу будет добавлено больше серверов, многие из общих параметров безопасности будут автоматически применены, что снижает нагрузку на развертывание и администрирование. If more servers are added to this group later, many of the common security settings are automatically applied, reducing deployment and administrative labor.

Распространенные сценарии использования политик параметров безопасности Common scenarios for using security settings policies

Политики параметров безопасности используются для управления следующими аспектами безопасности: политикой учетных записей, локальной политикой, назначением прав пользователей, значениями реестра, списками управления доступом и реестром (ACLs), режимами запуска служб и другими. Security settings policies are used to manage the following aspects of security: accounts policy, local policy, user rights assignment, registry values, file and registry Access Control Lists (ACLs), service startup modes, and more.

В рамках стратегии безопасности можно создавать GPOs с политиками параметров безопасности, настроенными специально для различных ролей в организации, таких как контроллеры домена, файловые серверы, серверы членов, клиенты и так далее. As part of your security strategy, you can create GPOs with security settings policies configured specifically for the various roles in your organization, such as domain controllers, file servers, member servers, clients, and so on.

Можно создать структуру организационного подразделения (OU), которая группировать устройства в соответствии с их ролями. You can create an organizational unit (OU) structure that groups devices according to their roles. Использование OUs — это лучший метод для разделения определенных требований безопасности для различных ролей в сети. Using OUs is the best method for separating specific security requirements for the different roles in your network. Этот подход также позволяет применять настраиваемые шаблоны безопасности для каждого класса сервера или компьютера. This approach also allows you to apply customized security templates to each class of server or computer. После создания шаблонов безопасности создается новый GPO для каждого из OUs, а затем импортируется шаблон безопасности (.inf file) в новый GPO. After creating the security templates, you create a new GPO for each of the OUs, and then import the security template (.inf file) into the new GPO.

Импорт шаблона безопасности в GPO гарантирует, что все учетные записи, к которым применяется GPO, автоматически получают параметры безопасности шаблона при обновлении параметров групповой политики. Importing a security template to a GPO ensures that any accounts to which the GPO is applied automatically receive the template’s security settings when the Group Policy settings are refreshed. На рабочей станции или сервере параметры безопасности обновляются регулярно (со случайным смещением не более 30 минут), и на контроллере домена этот процесс происходит каждые несколько минут, если изменения произошли в любом из применимых параметров GPO. On a workstation or server, the security settings are refreshed at regular intervals (with a random offset of at most 30 minutes), and, on a domain controller, this process occurs every few minutes if changes have occurred in any of the GPO settings that apply. Параметры также обновляются каждые 16 часов независимо от того, произошли ли какие-либо изменения. The settings are also refreshed every 16 hours, whether or not any changes have occurred.

Эти параметры обновления различаются между версиями операционной системы и могут быть настроены. These refresh settings vary between versions of the operating system and can be configured.

С помощью конфигураций безопасности на основе групповой политики и в сочетании с делегирования администрирования можно обеспечить применение определенных параметров безопасности, прав и поведения на всех серверах и компьютерах в рамках OU. By using Group Policy−based security configurations in conjunction with the delegation of administration, you can ensure that specific security settings, rights, and behavior are applied to all servers and computers within an OU. Этот подход упрощает обновление ряда серверов с помощью любых дополнительных изменений, необходимых в будущем. This approach makes it simple to update a number of servers with any additional changes required in the future.

Зависимости от других технологий операционной системы Dependencies on other operating system technologies

Для устройств, которые являются членами домена Windows Server 2008 или более позднего домена, политики параметров безопасности зависят от следующих технологий: For devices that are members of a Windows Server 2008 or later domain, security settings policies depend on the following technologies:

Доменные службы Active Directory (AD DS) Active Directory Domain Services (AD DS)

Служба каталогов на основе Windows, AD DS, хранит сведения о объектах в сети и делает эти сведения доступными администраторам и пользователям. The Windows-based directory service, AD DS, stores information about objects on a network and makes this information available to administrators and users. С помощью AD DS можно просматривать и управлять сетевыми объектами в сети из одного расположения, а пользователи могут получать доступ к разрешенным сетевым ресурсам с помощью единого логотипа. By using AD DS, you can view and manage network objects on the network from a single location, and users can access permitted network resources by using a single logon.

Групповая политика Group Policy

Инфраструктура в AD DS, которая позволяет на основе каталога управления настройками пользователей и компьютеров на устройствах под управлением Windows Server. The infrastructure within AD DS that enables directory-based configuration management of user and computer settings on devices running Windows Server. С помощью групповой политики можно определить конфигурации для групп пользователей и компьютеров, включая параметры политики, политики на основе реестра, установку программного обеспечения, скрипты, перенаправление папок, службы удаленной установки, обслуживание Internet Explorer и безопасность. By using Group Policy, you can define configurations for groups of users and computers, including policy settings, registry-based policies, software installation, scripts, folder redirection, Remote Installation Services, Internet Explorer maintenance, and security.

Служба доменных имен (DNS) Domain Name System (DNS)

Иерархическая система именования, используемая для размещения доменных имен в Интернете и частных сетях TCP/IP. A hierarchical naming system used for locating domain names on the Internet and on private TCP/IP networks. DNS предоставляет службу сопоставления доменных имен DNS с IP-адресами и IP-адресов доменных имен. DNS provides a service for mapping DNS domain names to IP addresses, and IP addresses to domain names. Это позволяет пользователям, компьютерам и приложениям запрашивать DNS для указания удаленных систем по полностью квалифицированным доменным именам, а не по IP-адресам. This allows users, computers, and applications to query DNS to specify remote systems by fully qualified domain names rather than by IP addresses.

Winlogon Winlogon

Часть операционной системы Windows, которая предоставляет интерактивную поддержку логотипа. A part of the Windows operating system that provides interactive logon support. Winlogon разработана вокруг интерактивной модели логотипа, состоящей из трех компонентов: исполняемого Winlogon, поставщика учетных данных и любого числа сетевых поставщиков. Winlogon is designed around an interactive logon model that consists of three components: the Winlogon executable, a credential provider, and any number of network providers.

Настройка Setup

Конфигурация безопасности взаимодействует с процессом установки операционной системы во время чистой установки или обновления из более ранних версий Windows Server. Security configuration interacts with the operating system setup process during a clean installation or upgrade from earlier versions of Windows Server.

Менеджер учетных записей безопасности (SAM) Security Accounts Manager (SAM)

Служба Windows, используемая во время процесса логотипа. A Windows service used during the logon process. SAM поддерживает сведения о учетной записи пользователя, в том числе группы, к которым принадлежит пользователь. SAM maintains user account information, including groups to which a user belongs.

Local Security Authority (LSA) Local Security Authority (LSA)

Защищенная подсистема, которая аутентифизирует и регистрирует пользователей в локальной системе. A protected subsystem that authenticates and logs users onto the local system. Кроме того, LSA сохраняет сведения обо всех аспектах локальной безопасности в системе, совместно известной как Местная политика безопасности системы. LSA also maintains information about all aspects of local security on a system, collectively known as the Local Security Policy of the system.

Инструментарий управления Windows (WMI) Windows Management Instrumentation (WMI)

Особенностью операционной системы Microsoft Windows WMI является реализация корпорацией Майкрософт Web-Based корпоративного управления (WBEM), которая является отраслевой инициативой по разработке стандартной технологии для доступа к сведениям об управлении в корпоративной среде. A feature of the Microsoft Windows operating system, WMI is the Microsoft implementation of Web-Based Enterprise Management (WBEM), which is an industry initiative to develop a standard technology for accessing management information in an enterprise environment. WMI предоставляет доступ к сведениям об объектах в управляемой среде. WMI provides access to information about objects in a managed environment. С помощью WMI и интерфейса программирования приложений WMI приложения (API) приложения могут запрашивать и вносить изменения в статическую информацию в репозитории общей информационной модели (CIM) и динамической информации, поддерживаемой различными типами поставщиков. Through WMI and the WMI application programming interface (API), applications can query for and make changes to static information in the Common Information Model (CIM) repository and dynamic information maintained by the various types of providers.

Результативный набор политик (RSoP) Resultant Set of Policy (RSoP)

Расширенная инфраструктура групповой политики, использующая WMI для упростить планирование и отлагивание параметров политики. An enhanced Group Policy infrastructure that uses WMI in order to make it easier to plan and debug policy settings. RSoP предоставляет общедоступные методы, которые раскрывают действия расширения групповой политики в ситуации what-if и действия расширения в реальной ситуации. RSoP provides public methods that expose what an extension to Group Policy would do in a what-if situation, and what the extension has done in an actual situation. Это позволяет администраторам легко определить сочетание параметров политики, которые применяются к пользователю или устройству или будут применяться к этому пользователю или устройству. This allows administrators to easily determine the combination of policy settings that apply to, or will apply to, a user or device.

Диспетчер управления службами (SCM) Service Control Manager (SCM)

Используется для настройки режимов запуска службы и безопасности. Used for configuration of service startup modes and security.

Реестр Registry

Используется для настройки значений реестра и безопасности. Used for configuration of registry values and security.

Файловая система File system

Используется для настройки безопасности. Used for configuration of security.

Преобразования файловой системы File system conversions

Безопасность устанавливается, когда администратор преобразует файловую систему из FAT в NTFS. Security is set when an administrator converts a file system from FAT to NTFS.

Консоль управления Майкрософт (MMC) Microsoft Management Console (MMC)

Пользовательский интерфейс для средства Параметры безопасности является расширением оснастки редактора локальной групповой политики MMC. The user interface for the Security Settings tool is an extension of the Local Group Policy Editor MMC snap-in.

Политики параметров безопасности и групповой политики Security settings policies and Group Policy

Расширение параметров безопасности редактора локальной групповой политики является частью набора средств Диспетчер конфигурации безопасности. The Security Settings extension of the Local Group Policy Editor is part of the Security Configuration Manager tool set. С настройками безопасности связаны следующие компоненты: двигатель конфигурации; движок анализа; уровень интерфейса шаблона и базы данных; логика интеграции установки; и secedit.exe командной строки. The following components are associated with Security Settings: a configuration engine; an analysis engine; a template and database interface layer; setup integration logic; and the secedit.exe command-line tool. Движок конфигурации безопасности отвечает за обработку запросов на безопасность редактора конфигурации безопасности для системы, на которой она выполняется. The security configuration engine is responsible for handling security configuration editor-related security requests for the system on which it runs. Движок анализа анализирует системную безопасность для данной конфигурации и сохраняет результат. The analysis engine analyzes system security for a given configuration and saves the result. Уровень интерфейса шаблона и базы данных обрабатывает запросы чтения и записи из шаблона или базы данных (для внутреннего хранения). The template and database interface layer handles reading and writing requests from and to the template or database (for internal storage). Расширение параметров безопасности редактора локальной групповой политики обрабатывает групповую политику с локального или доменного устройства. The Security Settings extension of the Local Group Policy Editor handles Group Policy from a domain-based or local device. Логика конфигурации безопасности интегрируется с установкой и управляет системной безопасностью для чистой установки или обновления до более последней операционной системы Windows. The security configuration logic integrates with setup and manages system security for a clean installation or upgrade to a more recent Windows operating system. Сведения о безопасности хранятся в шаблонах (.inf files) или в базе данных Secedit.sdb. Security information is stored in templates (.inf files) or in the Secedit.sdb database.

На следующей схеме показаны параметры безопасности и связанные функции. The following diagram shows Security Settings and related features.

Политики параметров безопасности и связанные функции Security Settings Policies and Related Features

Scesrv.dll Scesrv.dll

Предоставляет основные функции двигателя безопасности. Provides the core security engine functionality.

Scecli.dll Scecli.dll

Предоставляет клиентские интерфейсы в движок конфигурации безопасности и предоставляет данные в resultant Set of Policy (RSoP). Provides the client-side interfaces to the security configuration engine and provides data to Resultant Set of Policy (RSoP).

Wsecedit.dll Wsecedit.dll

Расширение параметров безопасности редактора локальной групповой политики. The Security Settings extension of Local Group Policy Editor. scecli.dll загружается в wsecedit.dll для поддержки пользовательского интерфейса Параметры безопасности. scecli.dll is loaded into wsecedit.dll to support the Security Settings user interface.

Gpedit.dll Gpedit.dll

Привязка редактора локальной групповой политики MMC. The Local Group Policy Editor MMC snap-in.

Архитектура расширения параметров безопасности Security Settings extension architecture

Расширение параметров безопасности редактора локальной групповой политики является частью средств диспетчера конфигурации безопасности, как показано на следующей схеме. The Security Settings extension of the Local Group Policy Editor is part of the Security Configuration Manager tools, as shown in the following diagram.

Архитектура параметров безопасности Security Settings Architecture

Средства настройки и анализа параметров безопасности включают движок конфигурации безопасности, который предоставляет локальный компьютер (не доменный член) и конфигурацию на основе групповой политики и анализ политик параметров безопасности. The security settings configuration and analysis tools include a security configuration engine, which provides local computer (non-domain member) and Group Policy−based configuration and analysis of security settings policies. Движок конфигурации безопасности также поддерживает создание файлов политики безопасности. The security configuration engine also supports the creation of security policy files. Основными функциями двигателя конфигурации безопасности являются scecli.dll и scesrv.dll. The primary features of the security configuration engine are scecli.dll and scesrv.dll.

В следующем списке описываются основные функции двигателя конфигурации безопасности и других параметров безопасности. The following list describes these primary features of the security configuration engine and other Security Settings−related features.

scesrv.dll scesrv.dll

Этот .dll находится в services.exe и выполняется в локальном контексте системы. This .dll is hosted in services.exe and runs under local system context. scesrv.dll обеспечивает основные функции диспетчера конфигурации безопасности, такие как импорт, настройка, анализ и распространение политики. scesrv.dll provides core Security Configuration Manager functionality, such as import, configure, analyze, and policy propagation.

Scesrv.dll выполняет конфигурацию и анализ различных параметров системы безопасности, вызывая соответствующие API системы, включая LSA, SAM и реестр. Scesrv.dll performs configuration and analysis of various security-related system parameters by calling corresponding system APIs, including LSA, SAM, and the registry.

Scesrv.dll предоставляет API, такие как импорт, экспорт, настройка и анализ. Scesrv.dll exposes APIs such as import, export, configure, and analyze. Он проверяет, что запрос выполнен по LRPC (Windows XP) и не удается вызвать, если это не так. It checks that the request is made over LRPC (Windows XP) and fails the call if it is not.

Связь между частями расширения Параметры безопасности происходит с помощью следующих методов: Communication between parts of the Security Settings extension occurs by using the following methods:

• Вызовы компонентной объектной модели (COM) Component Object Model (COM) calls
• Локальный вызов удаленной процедуры (LRPC) Local Remote Procedure Call (LRPC)
• Протокол доступа к облегченным каталогам (LDAP) Lightweight Directory Access Protocol (LDAP)
• Интерфейсы служб Active Directory (ADSI) Active Directory Service Interfaces (ADSI)
• Блок сообщений сервера (SMB) Server Message Block (SMB)
• API Win32 Win32 APIs
• Вызовы инструментов управления Windows (WMI) Windows Management Instrumentation (WMI) calls

На контроллерах домена scesrv.dll уведомления об изменениях, внесенных в SAM и LSA, которые необходимо синхронизировать между контроллерами домена. On domain controllers, scesrv.dll receives notifications of changes made to SAM and the LSA that need to be synchronized across domain controllers. Scesrv.dll эти изменения включаются в GPO политики контроллера домена по умолчанию с помощью APIscecli.dll изменения шаблонов. Scesrv.dll incorporates those changes into the Default Domain Controller Policy GPO by using in-process scecli.dll template modification APIs. Scesrv.dll также выполняет операции настройки и анализа. Scesrv.dll also performs configuration and analysis operations.

Scecli.dll Scecli.dll

Это клиентский интерфейс или оболочка для scesrv.dll. This is the client-side interface or wrapper to scesrv.dll. scecli.dll загружается в Wsecedit.dll для поддержки оснастки MMC. Он используется установкой для настройки системной безопасности и безопасности файлов, ключей реестра и служб, установленных файлами API установки .inf. scecli.dll is loaded into Wsecedit.dll to support MMC snap-ins. It is used by Setup to configure default system security and security of files, registry keys, and services installed by the Setup API .inf files.

Командная версия конфигурации безопасности и анализ пользовательских интерфейсов secedit.exe использует scecli.dll. The command-line version of the security configuration and analysis user interfaces, secedit.exe, uses scecli.dll.

Scecli.dll реализует клиентскую расширения для групповой политики. Scecli.dll implements the client-side extension for Group Policy.

Scesrv.dll использует scecli.dll для скачивания применимых файлов групповой политики из SYSVOL для применения параметров безопасности групповой политики на локальном устройстве. Scesrv.dll uses scecli.dll to download applicable Group Policy files from SYSVOL in order to apply Group Policy security settings to the local device.

Scecli.dll записи применения политики безопасности в WMI (RSoP). Scecli.dll logs application of security policy into WMI (RSoP).

Scesrv.dll политики использует scecli.dll для обновления GPO политики контроллера домена по умолчанию при внесении изменений в SAM и LSA. Scesrv.dll policy filter uses scecli.dll to update Default Domain Controller Policy GPO when changes are made to SAM and LSA.

Wsecedit.dll Wsecedit.dll

Расширение параметров безопасности в оснастке редактора объектов групповой политики. The Security Settings extension of the Group Policy Object Editor snap-in. Этот инструмент используется для настройки параметров безопасности в объекте групповой политики для сайта, домена или организационного подразделения. You use this tool to configure security settings in a Group Policy Object for a site, domain, or organizational unit. Можно также использовать параметры безопасности для импорта шаблонов безопасности в GPO. You can also use Security Settings to import security templates to a GPO.

Secedit.sdb Secedit.sdb

Это постоянная база данных системы, используемая для распространения политики, включая таблицу настойчивых параметров для целей отката. This is a permanent system database used for policy propagation including a table of persistent settings for rollback purposes.

Базы данных пользователей User databases

База данных пользователей — это любая база данных, помимо системной базы данных, созданной администраторами для настройки или анализа безопасности. A user database is any database other than the system database created by administrators for the purposes of configuration or analysis of security.

. Шаблоны Inf .Inf Templates

Это текстовые файлы, содержащие декларативные параметры безопасности. These are text files that contain declarative security settings. Они загружаются в базу данных перед настройкой или анализом. They are loaded into a database before configuration or analysis. Политики безопасности групповой политики хранятся в файлах .inf в папке SYSVOL контроллеров домена, где они загружаются (с помощью копии файлов) и сливаются в базу данных системы во время распространения политики. Group Policy security policies are stored in .inf files on the SYSVOL folder of domain controllers, where they are downloaded (by using file copy) and merged into the system database during policy propagation.

Процессы и взаимодействия политик параметров безопасности Security settings policy processes and interactions

Для устройства, на котором осуществляется администрирование групповой политики, параметры безопасности обрабатываются совместно с групповой политикой. For a domain-joined device, where Group Policy is administered, security settings are processed in conjunction with Group Policy. Не все параметры настраиваются. Not all settings are configurable.

Обработка групповой политики Group Policy processing

Когда компьютер запускается и пользователь входит в систему, компьютерная политика и политика пользователя применяются в соответствии со следующей последовательностью: When a computer starts and a user logs on, computer policy and user policy are applied according to the following sequence:

Начинается сеть. The network starts. Запуск службы удаленной системы вызовов процедур (RPCSS) и нескольких универсальных поставщиков конвенций именования (MUP). Remote Procedure Call System Service (RPCSS) and Multiple Universal Naming Convention Provider (MUP) start.

Для устройства получен упорядоченный список объектов групповой политики. An ordered list of Group Policy Objects is obtained for the device. Список может зависеть от этих факторов: The list might depend on these factors:

• Является ли устройство частью домена и, следовательно, подлежит групповой политике с помощью Active Directory. Whether the device is part of a domain and, therefore, subject to Group Policy through Active Directory.
• Расположение устройства в Active Directory. The location of the device in Active Directory.
• Изменился ли список объектов групповой политики. Whether the list of Group Policy Objects has changed. Если список объектов групповой политики не изменился, обработка не будет сделана. If the list of Group Policy Objects has not changed, no processing is done.

Применяется компьютерная политика. Computer policy is applied. Это параметры конфигурации компьютера из собранного списка. These are the settings under Computer Configuration from the gathered list. Это синхронный процесс по умолчанию и происходит в следующем порядке: локальном, сайте, домене, организационном подразделении, детском организационном подразделении и так далее. This is a synchronous process by default and occurs in the following order: local, site, domain, organizational unit, child organizational unit, and so on. Пользовательский интерфейс не отображается во время обработки политик компьютера. No user interface appears while computer policies are processed.

Запускать скрипты. Startup scripts run. Это скрыто и синхронно по умолчанию; каждый сценарий должен завершиться или выйти из игры до начала следующего. This is hidden and synchronous by default; each script must complete or time out before the next one starts. Время по умолчанию — 600 секунд. The default time-out is 600 seconds. Для изменения этого поведения можно использовать несколько параметров политики. You can use several policy settings to modify this behavior.

Пользователь нажимает CTRL+ALT+DEL, чтобы войти в систему. The user presses CTRL+ALT+DEL to log on.

После проверки пользователя загружается профиль пользователя; она регулируется фактическими настройками политики. After the user is validated, the user profile loads; it is governed by the policy settings that are in effect.

Для пользователя получен упорядоченный список объектов групповой политики. An ordered list of Group Policy Objects is obtained for the user. Список может зависеть от этих факторов: The list might depend on these factors:

• Является ли пользователь частью домена и, следовательно, подлежит групповой политике через Active Directory. Whether the user is part of a domain and, therefore, subject to Group Policy through Active Directory.
• Включена ли обработка политики циклов и если да, то состояние (слияние или замена) параметра политики циклов. Whether loopback policy processing is enabled, and if so, the state (Merge or Replace) of the loopback policy setting.
• Расположение пользователя в Active Directory. The location of the user in Active Directory.
• Изменился ли список объектов групповой политики. Whether the list of Group Policy Objects has changed. Если список объектов групповой политики не изменился, обработка не будет сделана. If the list of Group Policy Objects has not changed, no processing is done.

Применяется политика пользователя. User policy is applied. Это параметры под конфигурацией пользователя из собранного списка. These are the settings under User Configuration from the gathered list. Это синхронно по умолчанию и в следующем порядке: локальный, сайт, домен, организационное подразделение, подразделение детской организации и так далее. This is synchronous by default and in the following order: local, site, domain, organizational unit, child organizational unit, and so on. Пользовательский интерфейс не отображается во время обработки политик пользователей. No user interface appears while user policies are processed.

Запускать скрипты Logon. Logon scripts run. Скрипты логотипов на основе групповой политики по умолчанию скрыты и асинхронны. Group Policy−based logon scripts are hidden and asynchronous by default. Сценарий объекта пользователя выполняется последним. The user object script runs last.

Отображается пользовательский интерфейс операционной системы, назначенный групповой политикой. The operating system user interface that is prescribed by Group Policy appears.

Хранилище объектов групповой политики Group Policy Objects storage

Объект групповой политики (GPO) — виртуальный объект, который определяется глобальным уникальным идентификатором (GUID) и хранится на уровне домена. A Group Policy Object (GPO) is a virtual object that is identified by a Globally Unique Identifier (GUID) and stored at the domain level. Сведения о параметре политики GPO хранятся в следующих двух расположениях: The policy setting information of a GPO is stored in the following two locations:

Контейнеры групповой политики в Active Directory. Group Policy containers in Active Directory.

Контейнер групповой политики — это контейнер Active Directory, содержащий свойства GPO, такие как сведения о версии, состояние GPO, а также список других параметров компонентов. The Group Policy container is an Active Directory container that contains GPO properties, such as version information, GPO status, plus a list of other component settings.

Шаблоны групповой политики в папке системного объема домена (SYSVOL). Group Policy templates in a domain’s system volume folder (SYSVOL).

Шаблон групповой политики — это папка файловой системы, которая включает данные политики, заданные файлами .admx, настройками безопасности, файлами скриптов и сведениями о приложениях, доступных для установки. The Group Policy template is a file system folder that includes policy data specified by .admx files, security settings, script files, and information about applications that are available for installation. Шаблон групповой политики расположен в папке SYSVOL в подложке \Policies. The Group Policy template is located in the SYSVOL folder in the \Policies subfolder.

Структура GROUP_POLICY_OBJECT содержит сведения о GPO в списке GPO, в том числе номер версии GPO, указатель на строку, указываемую на часть Active Directory GPO, и указатель на строку, указываемую путь к части файловой системы GPO. The GROUP_POLICY_OBJECT structure provides information about a GPO in a GPO list, including the version number of the GPO, a pointer to a string that indicates the Active Directory portion of the GPO, and a pointer to a string that specifies the path to the file system portion of the GPO.

Порядок обработки групповой политики Group Policy processing order

Параметры групповой политики обрабатываются в следующем порядке: Group Policy settings are processed in the following order:

Объект локальной групповой политики. Local Group Policy Object.

Каждое устройство с операционной системой Windows, начиная с Windows XP, имеет точно один объект групповой политики, который хранится локально. Each device running a Windows operating system beginning with Windows XP has exactly one Group Policy Object that is stored locally.

Сайт. Site.

Все объекты групповой политики, связанные с сайтом, обрабатываются далее. Any Group Policy Objects that have been linked to the site are processed next. Обработка синхронна и в порядке, который вы указываете. Processing is synchronous and in an order that you specify.

Домен. Domain.

Обработка нескольких объектов групповой политики, связанных с доменом, синхронна и в порядке, на который вы хотите. Processing of multiple domain-linked Group Policy Objects is synchronous and in an order you speciy.

Организационные подразделения. Organizational units.

Сначала обрабатываются объекты групповой политики, связанные с наиболее высоким уровнем организации в иерархии Active Directory, затем объекты групповой политики, связанные с его детским организационным подразделением, и так далее. Group Policy Objects that are linked to the organizational unit that is highest in the Active Directory hierarchy are processed first, then Group Policy Objects that are linked to its child organizational unit, and so on. Наконец, обрабатываются объекты групповой политики, связанные с организационным подразделением, которое содержит пользователя или устройство. Finally, the Group Policy Objects that are linked to the organizational unit that contains the user or device are processed.

На уровне каждого организационного подразделения в иерархии Active Directory можно связывать один, многие или никакие объекты групповой политики. At the level of each organizational unit in the Active Directory hierarchy, one, many, or no Group Policy Objects can be linked. Если несколько объектов групповой политики связаны с организационным подразделением, их обработка синхронна и в порядке, который вы указываете. If several Group Policy Objects are linked to an organizational unit, their processing is synchronous and in an order that you specify.

Этот порядок означает, что сначала обрабатывается локальный объект групповой политики, а объекты групповой политики, связанные с организационным блоком, непосредственным участником которого является компьютер или пользователь, обрабатываются последними, что перезаписывает более ранние объекты групповой политики. This order means that the local Group Policy Object is processed first, and Group Policy Objects that are linked to the organizational unit of which the computer or user is a direct member are processed last, which overwrites the earlier Group Policy Objects.

Это порядок обработки по умолчанию, и администраторы могут указывать исключения из этого порядка. This is the default processing order and administrators can specify exceptions to this order. Объект групповой политики, связанный с сайтом, доменом или организационным подразделением **** (а не локальным объектом групповой политики), может быть задан в принудительном отношении к этому сайту, домену или организационному подразделению, чтобы ни один из его параметров политики не был переопределен. A Group Policy Object that is linked to a site, domain, or organizational unit (not a local Group Policy Object) can be set to Enforced with respect to that site, domain, or organizational unit, so that none of its policy settings can be overridden. На любом сайте, домене или организационном подразделении можно выборочно пометить наследование групповой политики как block Inheritance. At any site, domain, or organizational unit, you can mark Group Policy inheritance selectively as Block Inheritance. Однако ссылки на объект групповой политики, установленные для Принудительного, всегда применяются и не могут быть заблокированы. Group Policy Object links that are set to Enforced are always applied, however, and they cannot be blocked. Дополнительные сведения см. в группе Basics — часть 2. Понимание того, какие ГПО применять. For more information see Group Policy Basics – Part 2: Understanding Which GPOs to Apply.

Обработка политик параметров безопасности Security settings policy processing

В контексте обработки групповой политики политика параметров безопасности обрабатывается в следующем порядке. In the context of Group Policy processing, security settings policy is processed in the following order.

Во время обработки групповой политики движок групповой политики определяет, какие политики параметров безопасности применять. During Group Policy processing, the Group Policy engine determines which security settings policies to apply.

Если политики параметров безопасности существуют в GPO, group Policy вызывает клиентскую расширение Параметры безопасности. If security settings policies exist in a GPO, Group Policy invokes the Security Settings client-side extension.

Расширение Параметры безопасности загружает политику из соответствующего расположения, например из определенного контроллера домена. The Security Settings extension downloads the policy from the appropriate location such as a specific domain controller.

Расширение Параметры безопасности объединяет все политики параметров безопасности в соответствии с правилами приоритета. The Security Settings extension merges all security settings policies according to precedence rules. Обработка идет в соответствии с порядком обработки групповой политики локального, сайта, домена и организационного подразделения (OU), как описано ранее в разделе «Порядок обработки групповой политики». The processing is according to the Group Policy processing order of local, site, domain, and organizational unit (OU), as described earlier in the «Group Policy processing order» section. Если для данного устройства действует несколько GPOs и нет конфликтующих политик, политики являются накопительными и объединяются. If multiple GPOs are in effect for a given device and there are no conflicting policies, then the policies are cumulative and are merged.

В этом примере используется структура Active Directory, показанная на следующем рисунке. This example uses the Active Directory structure shown in the following figure. Данный компьютер является членом OU2, с которым связан GPO GroupMembershipPolGPO. A given computer is a member of OU2, to which the GroupMembershipPolGPO GPO is linked. Этот компьютер также является объектом GPO UserRightsPolGPO, связанного с OU1, выше в иерархии. This computer is also subject to the UserRightsPolGPO GPO, which is linked to OU1, higher in the hierarchy. В этом случае не существует конфликтующих политик, поэтому устройство получает все политики, содержащиеся в интерфейсах UserRightsPolGPO и GroupMembershipPolGPO. In this case, no conflicting policies exist so the device receives all of the policies contained in both the UserRightsPolGPO and the GroupMembershipPolGPO GPOs.

Несколько GPOs и объединение политики безопасности Multiple GPOs and Merging of Security Policy

Выполняемая политика безопасности хранится в базе данных параметров безопасности secedit.sdb. The resultant security policies are stored in secedit.sdb, the security settings database. Система безопасности получает файлы шаблонов безопасности и импортирует их в secedit.sdb. The security engine gets the security template files and imports them to secedit.sdb.

Политики параметров безопасности применяются к устройствам. The security settings policies are applied to devices. На следующем рисунке иллюстрируется обработка политик параметров безопасности. The following figure illustrates the security settings policy processing.

Обработка политик параметров безопасности Security Settings Policy Processing

Объединение политик безопасности в контроллерах доменов Merging of security policies on domain controllers

Политики паролей, Kerberos и некоторые параметры безопасности объединяются только из GPOs, связанных на корневом уровне домена. Password policies, Kerberos, and some security options are only merged from GPOs that are linked at the root level on the domain. Это делается для синхронизации этих параметров во всех контроллерах домена в домене. This is done to keep those settings synchronized across all domain controllers in the domain. Объединяются следующие параметры безопасности: The following security options are merged:

• Network Security: Force logoff when logon hours expire Network Security: Force logoff when logon hours expire
• Учетные записи: состояние учетной записи «Администратор» Accounts: Administrator account status
• Учетные записи: состояние учетной записи «Гость» Accounts: Guest account status
• Учетные записи: переименование учетной записи администратора Accounts: Rename administrator account
• Учетные записи: переименование учетной записи гостя Accounts: Rename guest account

Существует другой механизм, который позволяет администраторам вносить изменения в политику безопасности с помощью чистых учетных записей для слияния в GPO доменной политики по умолчанию. Another mechanism exists that allows security policy changes made by administrators by using net accounts to be merged into the Default Domain Policy GPO. Изменения прав пользователей, внесенные с помощью API местного органа безопасности (LSA), фильтруются в GPO политики контроллеров домена по умолчанию. User rights changes that are made by using Local Security Authority (LSA) APIs are filtered into the Default Domain Controllers Policy GPO.

Особые соображения для контроллеров домена Special considerations for domain controllers

Если приложение установлено на основном контроллере домена (PDC) с главной ролью операций (также известной как гибкие однообъемные операции или FSMO) и приложение вносит изменения в права пользователей или политику паролей, эти изменения необходимо сообщить, чтобы обеспечить синхронизацию между контроллерами домена. If an application is installed on a primary domain controller (PDC) with operations master role (also known as flexible single master operations or FSMO) and the application makes changes to user rights or password policy, these changes must be communicated to ensure that synchronization across domain controllers occurs. Scesrv.dll получает уведомление о любых изменениях, внесенных в диспетчер учетной записи безопасности (SAM) и LSA, которые необходимо синхронизировать между контроллерами домена, а затем включает изменения в GPO политики контроллера домена по умолчанию с помощью API scecli.dll изменения шаблонов. Scesrv.dll receives a notification of any changes made to the security account manager (SAM) and LSA that need to be synchronized across domain controllers and then incorporates the changes into the Default Domain Controller Policy GPO by using scecli.dll template modification APIs.

При применении параметров безопасности When security settings are applied

После редактирования политик параметров безопасности параметры обновляются на компьютерах в организационном подразделении, связанном с объектом групповой политики в следующих экземплярах: After you have edited the security settings policies, the settings are refreshed on the computers in the organizational unit linked to your Group Policy Object in the following instances:

• При перезапуске устройства. When a device is restarted.
• Каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Every 90 minutes on a workstation or server and every 5 minutes on a domain controller. Этот интервал обновления настраивается. This refresh interval is configurable.
• По умолчанию параметры политики безопасности, поставленные групповой политикой, также применяются каждые 16 часов (960 минут), даже если GPO не изменилось. By default, Security policy settings delivered by Group Policy are also applied every 16 hours (960 minutes) even if a GPO has not changed.

Сохранение политики параметров безопасности Persistence of security settings policy

Параметры безопасности могут сохраняться, даже если параметр больше не определен в применяемой политике. Security settings can persist even if a setting is no longer defined in the policy that originally applied it.

Параметры безопасности могут сохраняться в следующих случаях: Security settings might persist in the following cases:

• Параметр ранее не был определен для устройства. The setting has not been previously defined for the device.
• Параметр для объекта безопасности реестра. The setting is for a registry security object.
• Параметры для объекта безопасности файловой системы. The settings are for a file system security object.

Все параметры, применяемые с помощью локальной политики или объекта групповой политики, хранятся в локальной базе данных на компьютере. All settings applied through local policy or through a Group Policy Object are stored in a local database on your computer. Всякий раз, когда параметр безопасности изменен, компьютер сохраняет значение параметра безопасности в локальной базе данных, которая сохраняет историю всех параметров, которые были применены к компьютеру. Whenever a security setting is modified, the computer saves the security setting value to the local database, which retains a history of all the settings that have been applied to the computer. Если политика сначала определяет параметр безопасности, а затем больше не определяет этот параметр, то параметр берет на себя предыдущее значение в базе данных. If a policy first defines a security setting and then no longer defines that setting, then the setting takes on the previous value in the database. Если предыдущее значение не существует в базе данных, то параметр не вернется к чему-либо и остается определенным как есть. If a previous value does not exist in the database then the setting does not revert to anything and remains defined as is. Такое поведение иногда называют «татуировка». This behavior is sometimes referred to as «tattooing».

Параметры безопасности реестра и файлов будут поддерживать значения, применяемые в групповой политике, до тех пор, пока этот параметр не задастся другим значениям. Registry and file security settings will maintain the values applied through Group Policy until that setting is set to other values.

Разрешения, необходимые для применения политики Permissions required for policy to apply

Для того чтобы параметры объекта групповой политики применялись к пользователям или группам и компьютерам, требуется применять разрешения группы и разрешения на чтение. Both Apply Group Policy and Read permissions are required to have the settings from a Group Policy Object apply to users or groups, and computers.

Фильтрация политики безопасности Filtering security policy

По умолчанию все GPOs имеют групповую политику чтения и применения, разрешенные для группы пользователей с проверкой подлинности. By default, all GPOs have Read and Apply Group Policy both Allowed for the Authenticated Users group. Группа пользователей с проверкой подлинности включает как пользователей, так и компьютеры. The Authenticated Users group includes both users and computers. Политики параметров безопасности основаны на компьютере. Security settings policies are computer-based. Чтобы указать, на каких клиентских компьютерах будет применен объект групповой политики или нет, вы можете запретить им применять групповую политику или читать разрешения на этот объект групповой политики. To specify which client computers will or will not have a Group Policy Object applied to them, you can deny them either the Apply Group Policy or Read permission on that Group Policy Object. Изменение этих разрешений позволяет ограничить область GPO определенным набором компьютеров в пределах сайта, домена или OU. Changing these permissions allows you to limit the scope of the GPO to a specific set of computers within a site, domain, or OU.

Не используйте фильтрацию политики безопасности на контроллере домена, так как это помешает политике безопасности применяться к ней. Do not use security policy filtering on a domain controller as this would prevent security policy from applying to it.

Перенос GPOs, содержащих параметры безопасности Migration of GPOs containing security settings

В некоторых ситуациях может потребоваться перенести GPOs из одной доменной среды в другую. In some situations, you might want to migrate GPOs from one domain environment to another environment. Двумя наиболее распространенными сценариями являются перенос тестовой и производственной миграции. The two most common scenarios are test-to-production migration, and production-to-production migration. Процесс копирования GPO имеет последствия для некоторых типов параметров безопасности. The GPO copying process has implications for some types of security settings.

Данные для одного GPO хранятся в нескольких расположениях и в различных форматах; некоторые данные содержатся в Active Directory, а другие хранятся в совместной службе SYSVOL на контроллерах домена. Data for a single GPO is stored in multiple locations and in various formats; some data is contained in Active Directory and other data is stored on the SYSVOL share on the domain controllers. Некоторые данные политики могут быть допустимы в одном домене, но могут быть недействительными в домене, в который копируется GPO. Certain policy data might be valid in one domain but might be invalid in the domain to which the GPO is being copied. Например, идентификаторы безопасности (SID), хранимые в параметрах политики безопасности, часто являются конкретными доменами. For example, Security Identifiers (SIDs) stored in security policy settings are often domain-specific. Поэтому копирование GPOs не так просто, как взять папку и скопировать ее с одного устройства на другое. So copying GPOs is not as simple as taking a folder and copying it from one device to another.

В следующих политиках безопасности могут содержаться принципы безопасности, и для успешного перемещения из одного домена в другой может потребоваться дополнительная работа. The following security policies can contain security principals and might require some additional work to successfully move them from one domain to another.

• Назначение прав пользователей User rights assignment
• Ограниченные группы Restricted groups
• Службы Services
• Файловая система File system
• Реестр Registry
• DaCL GPO, если вы решите сохранить его во время операции копирования The GPO DACL, if you choose to preserve it during a copy operation

Чтобы обеспечить правильное копирование данных, можно использовать консоль управления групповой политикой (GPMC). To ensure that data is copied correctly, you can use Group Policy Management Console (GPMC). При переносе GPO из одного домена в другой GPMC гарантирует правильное копирование всех соответствующих данных. When migrating a GPO from one domain to another, GPMC ensures that all relevant data is properly copied. GPMC также предлагает таблицы миграции, которые можно использовать для обновления данных, определенных для домена, до новых значений в процессе миграции. GPMC also offers migration tables, which can be used to update domain-specific data to new values as part of the migration process. GPMC скрывает большую часть сложности, связанные с переносом операций GPO, и предоставляет простые и надежные механизмы для выполнения операций, таких как копирование и резервное копирование GPO. GPMC hides much of the complexity involved in the migrating GPO operations, and it provides simple and reliable mechanisms for performing operations such as copy and backup of GPOs.