Category: политика

Category was added automatically. Read all entries about "политика".

Калькулятор huge pages ( Huge Page кадькулятор)

Удобный калькулятор для подсчета параметров:

https://www.peuss.de/node/67
Для возможности работы с большими страницами памяти в linux нужно установить параметры sysctl.conf limits.conf и выполнить dracut -a -f
sysctl.conf (параметры для 240GB оперативной памяти)
kernel.shmmax=247463936000
vm.nr_hugepages=118000
vm.hugetlb_shm_group=gid of hugetlb group тут ID группы, от пользователя, под которым вы работаете с большими страницами памяти
limits.conf
username soft memlock 241664000
username hard memlock 241664000



в windows достаточно установить в GPO:

Включение параметра «Блокировка страниц в памяти»To enable the lock pages in memory option


  1. В меню Пуск выберите команду Выполнить.On the Start menu, click Run. В окне Открыть введите gpedit.msc.In the Open box, type gpedit.msc.


  2. В консоли Редактор локальных групповых политик разверните узел Конфигурация компьютера, затем узел Конфигурация Windows.On the Local Group Policy Editor console, expand Computer Configuration, and then expand Windows Settings.


  3. Разверните узлы Настройки безопасностии Локальные политики.Expand Security Settings, and then expand Local Policies.


  4. Выберите папку Назначение прав пользователя .Select the User Rights Assignment folder.

    Политики будут показаны на панели подробностей.The policies will be displayed in the details pane.


  5. На этой панели дважды щелкните параметр Блокировка страниц в памяти.In the pane, double-click Lock pages in memory.


  6. В диалоговом окне Параметр локальной безопасности — блокировка страниц в памяти щелкните Добавить пользователя или группу.In the Local Security Setting – Lock pages in memory dialog box, click Add User or Group.


  7. В диалоговом окне Выбор: пользователи, учетные записи служб или группы добавьте учетную запись, обладающую правами доступа для запуска sqlservr.exe.In the Select Users, Service Accounts, or Groups dialog box, add an account with privileges to run sqlservr.exe.


Отключить предупреждение системы безопасности Windows

Отключить предупреждение системы безопасности Windows

В GPO есть отличная функция Folder Redirection, но после ее применения возникли маленькие неудобства

отключить предупреждение системы безопасности

Есть несколько способов решения:

Internet Explorer Местная интрасеть

Добавить узел на котором размещаются папки в зону безопасности «Местная интрасеть» или поставить галочку напротив параметра «Автоматически определять принадлежность к интрасети».
В редких случаях автоматическая принадлежность к интрасети определялась некорректно, тогда выключаем ее и включаем параметр «Все сетевые пути (UNC)».
Если размещение Folder Redirection указано по IP адресу, узел надо записать как file://127.0.0.1, соответственно если по имени, то file://server_name.
Настройки хранятся в реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains.

GPO

Конфигурация компьютера/Политики/Административные шаблоны/Компоненты Windows/ Internet Explorer/Панель управления браузером/Вкладка безопасности
политика «Список назначений зоны безопасности для веб-сайтов».
Политику надо включить, а в параметрах задать:
- для столбца «Имя значения» указать server_name. Можно указать в виде file://server_name, \\server_name, server_name или IP.
- для столбца «Значение» указать 1. 1 – местная интрасеть, 2- зона надежных сайтов, 3 — зона Интернета, 4 — зона ограниченных веб-сайтов.

Политики паролей Windows

Настройка параметров пароля в Windows Server 2008

В предыдущих версиях Active Directory (AD) у нас была лишь одна политика для пароля и блокировки учетной записи (account lockout policy) для всего домена. У некоторых компаний возникает необходимость использования нескольких доменов, чтобы использовать различные политики пароля (password policy) для различных пользователей; другие должны разрабатывать свои собственные фильтры для паролей или покупать решения сторонних производителей. В операционной системе Windows Server 2008 у нас есть возможность указать различные политики паролей для различных пользователей и групп.

Новое в классе

Коротко, новая функциональность, называемая “Granular Password Settings” или “Fine-Grained Password Policy“, основана на введении двух новых классов объектов в схему: контейнер настроек пароля или “Password Settings Container” и настройки пароля “Password Setting”. Эти объекты предоставляют нам возможность введения нескольких политик паролей в одном домене AD. Но давайте посмотрим, что нам еще для этого нужно …

Инструменты и требования

Это краткий обзор инструментов и требований, необходимых для создания дополнительных политик пароля.

ADUC

Прежде всего весь функциональный уровень домена Active Directory должен использовать “Windows Server 2008”. Это можно проверить с помощью инструмента под названием Active Directory Users and Computers (ADUC пользователи и компьютеры AD). Нажимаем правой кнопкой мыши на домене > выбираем “Raise domain functional level (поднять функциональный уровень домена)” – текущий функциональный уровень домена должен быть “Windows Server 2008” (ниже представлен рисунок для версии beta 3 операционной системы Windows Server 2008 номер сборки 6001):

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 1

GPMC

Мы все равно должны использовать консоль управления политиками группы (Group Policy Management Console или GPMC), чтобы задать политику пароля по умолчанию для всего домена. Если вы забыли, как задать настройки политики паролей и политики блокировки учетной записи по умолчанию, то их можно найти в GPMC на уровне домена в “Default Domain Policy” > Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy/Account Lockout Policy.

Между прочим, GPMC включен в состав операционной системы Windows Server 2008 (как и Windows Vista), но ее необходимо добавить из “Feature” – выбрать “Add Feature” в Server Manager, выбрать ‘Group Policy Management’ и через некоторое время ‘Group Policy Ready’ (политика группы готова).

ADSI Edit

Самый важный инструмент для этого упражнения – это инструмент, который большинство администраторов боялись на протяжении многих лет – т.к. оно используется лишь тогда, когда все очень плохо. Я говорю о утилите под названием ADSI Edit (adsiedit.msc). Большинство настроек политики паролей создается и настраивается с помощью этого инструмента. ADSI Edit является частью Windows Server 2008, поэтому вам не нужно устанавливать его дополнительно.

Этапы

Это краткий обзор этапов, необходимых для настройки ‘Granular Password Settings’ в операционной системе Windows Server 2008:

  1. Создание объекта настроек пароля или Password Settings Object (PSO) в контейнере настроек пароля или Password Settings Container (PSC) с помощью ADSI Edit
  2. Настройка параметров PSO с помощью обычного мастера ADSI Edit
  3. Назначение PSO для учетной записи пользователя или глобальной группы безопасности
  4. Подтверждение настроек

Теперь, когда мы знаем все этапы, давайте приступим!

Приступим

Сперва, давайте запустим ADSI Edit, нажав на Start > Run… > “adsiedit.msc” и нажав на кнопку OK (или клавишу Enter).

Щелкните правой кнопкой в корне “ADSI Edit” и выберите “Connect to…” (подключиться к…)

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 2

Нажмите на кнопку OK, чтобы выбрать настройки по умолчанию в диалоговом окне “Connection Settings” (настройки соединения):

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 3

В ADSI Edit у вас теперь появится возможность развернуть домен, развернуть контейнер ‘System’ и после этого нужно нажать правой кнопкой мыши ‘Password Settings Container’ (PSC) и выбрать New > “Object...”.

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 4

Теперь вы должны выбрать класс для нового объекта, но у вас для выбора лишь один элемент (иногда здорово иметь всего один вариант, не так ли?). Выберите msDS-PasswordSettings и нажмите на кнопку Next (далее):

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 5

После этого мастер поможет нам создать объект настроек для пароля (Password Settings Object или PSO). Нам необходимо будет указать значение для каждого из следующих 11 атрибутов. Наберите значение, как показано в таблице ниже (не забудьте ввести знаку минуса для тех значений, где это требуется) или же ввести свои настройки.

Таблица 1
АтрибутЗначениеКраткое описание
CnPassPolAdminsНазвание политики. Старайтесь присваивать политикам понятные имена, если у вас их будет много.
msDS-PasswordSettingsPrecedence10Параметр, используемый в качестве стоимости или приоритета для различных политик на тот случай, если для одного пользователя настраивается несколько политик PSO. Чем выше приоритет у настройки пароля PSO, тем меньше значение этого параметра.
msDS-PasswordReversibleEncryptionEnabledFalseБулевое значение. Верно, если пароль хранится и использованием обратного шифрования (обычно очень полезно)
msDS-PasswordHistoryLength32Количество ранее использованных паролей, которое должны помнить система
msDS-PasswordComplexityEnabledTrueБулевое значение. Верно, если вы хотите, чтобы пользователь использовал сложный пароль
msDS-MinimumPasswordLength16Минимальное количество символов для пароля для учетной записи пользователя
msDS-MinimumPasswordAge-864000000000(9 нулей)Минимальное время жизни пароля (в этом случае 1). Не забудьте поставить знак минус.
msDS-MaximumPasswordAge-36288000000000(9 нулей)Максимальное время жизни пароля? (в этом случае 42 дня). Не забудьте поставить знак минус.
msDS-LockoutTreshold30Количество попыток ввода неверного пароля после которого учетная запись будет заблокирована
msDS-LockoutObservationWindow-18000000000(9 нулей)Через это время счетчик количества попыток ввода неверного пароля будет обнулен (в этом случае 6 минут). Не забудьте поставить знак минус.
msDS-LockoutDuration-18000000000(9 нулей)Как долго будет заблокирована учетная запись пользователя при вводе большого количества неверных паролей (в этом случае 6 минут). Не забудьте поставить знак минус.

После завершения ввода этой информации вы увидите следующее диалоговое окно – просто нажмите в нем на кнопку Finish (Завершить).

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 6

Сделаем это

Теперь, когда мы создали объект PSO, он должен появиться ниже PSC в ADSI Edit и ADUC/Server Manager (не забудьте подключить “Advanced Features (дополнительные возможности)” в меню View (просмотр)), и должен выглядеть примерно так:

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 7

После этого все, что нам остается сделать, это назначить новую политику определенному пользователю, нескольким пользователям, глобальной группе безопасности, нескольким глобальным группами безопасности или набору пользователей и глобальных групп безопасностей.

Для этого щелкните правой кнопкой на PSO в ADUC (или в ADSI Edit) и выберите пункт Properties (свойства)– нажмите на Filter (фильтр) и убедитесь, что у вас выбраны следующие настройки:

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 8

Если вы не видите рисунок, то я могу рассказать вам, что выбраны следующие параметры: “Mandatory”, “Optional”, “Constructed”, “Backlinks” и “System-only”. Параметр “Show only attributes that have values” не выбран.

Теперь найдите msDS-PSOAppliesTo, выберите его и нажмите на кнопку Edit (Редактировать).

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 9

В редакторе “Multi-valued String Editor” вставьте необходимое имя пользователя или глобальной группы безопасности в поле “Value to add” и нажмите на кнопку Add (Добавить). Вы можете добавить несколько различных имен с помощью этого окна – после того, как вы закончите, просто нажмите на кнопку OK.

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 10

В примере, изображенном на рисунке, я добавил глобальную группу безопасности под названием “Admins” (полное имя “CN=Admins,CN=Users,DC=Contoso,DC=Local”). Каждая учетная запись пользователя, которая входит в состав этой группы, теперь будет подчиняться новой политике пароля “PassPolAdmins”, вместо доменной политики по умолчанию (Default Domain Policy). Здорово!

После этого у вас может возникнуть вопрос, а что произойдет, если пользователь находится в зоне действия нескольких конфликтующих политик пароля. Более подробно об этом я расскажу в следующей статье из этого цикла, но спешу вам напомнить, что вы указали значение приоритета, при создании PSO.

Вы заметили перемены?

Когда вы раньше работали в ADUC, вы обратили внимание на новую закладку “Attribute Editor” (редактор атрибутов), которая теперь есть для большинства объектов (необходимо зайти View > “Advanced Features”)?

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 11

Это в действительности здорово, т.к. она позволяет администратору просматривать и редактировать множество элементов, что обычно делается при помощи инструмента ADSI Edit. С помощью этой закладки мы можем перенести свойства PSO в домен и изменить атрибут msDS-PSOAppliesTo, чтобы легко применить политику пароля для пользователя или группы (или удалить пользователя или группу из этой политики). Пожалуйста, обратите внимание, что вы не можете установить политику пароля в свойствах пользователя или группы – информация о том, какая политика применяется к пользователю или группе устанавливается самим объектом настроек пароля Password Settings Object!

Как я могу увидеть, что политика выиграла?

Может быть очень сложно определить, что политика ‘выиграла’ для конкретного пользовательского объекта. Но я рад сообщить вам, что компания Microsoft подумала об этом, и ввела атрибут msDS-ResultantPSO для пользовательского объекта (только лишь).

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 12

Это значение позволяет определить, какая политика применяется для конкретного пользователя (в нашем примере пользователь называется “Windows Admin”). Другими словами это активная политика пароля и блокировки учетной записи для выбранного пользователя.

И объекты групп и объекты пользователей имеют еще один новый атрибут, msDS-PSOApplied, который описывает (в многострочной строке) все политики, под влияние которых попадает группа или пользователь – либо напрямую, либо благодаря членству. В примере ниже группа под названием “Admins” попадает под действие двух различных политик пароля.

Настройка параметров пароля в Windows Server 2008 - Windows Server 2008 - Операционные системы - Программирование, исходники, операционные системы
Рисунок 13

Примечание: Если вы не видите значения, о которых я здесь говорю, не забудьте задать настройки фильтра в закладке “Attribute Editor”, о которых я упоминал в параграфе под названием «Сделаем это».

Почему я захочу это сделать?

Теперь мы увидели, как создать PSO и назначить их для пользователей и групп, но для чего нам нужно несколько политик пароля и блокировки учетной записи (password and account lockout policy), можете спросить вы? Хорошо. Существует множество причин для этого – одно может заключаться в размещении сценариев, когда несколько компаний представлены в одном домене AD domain. Другая причина, которая встречается гораздо чаще, заключается в том, что мы должны более жестко контролировать группы людей с расширенными правами (как администраторы домена, сотрудники службы помощи и т.п.).

Для этих привилегированных учетных записей могут предъявляться особые требования к сложности и длине пароля, к другим, более ограниченным учетным записям могут предъявляться более легкие требования – хотя я всем рекомендую использовать пароли длинной не мене 16 символов (более подробно об этом ниже в этой статье).

Чего это может коснуться?

Рискуя повториться, я все же скажу, чтобы это было на 100% ясно. Новая функциональность многопарольной политики (“multiple password policy”) в операционной системе Windows Server 2008 (кодовое название “Longhorn”) позволяет нам задавать индивидуальные политики пароля и блокировки учетной записи для объектов пользователей (user), объектов interOrgPerson и глобальных групп безопасности (global security groups).

Новые политики пароля нельзя напрямую применить для организационной единицы OU – теперь вместо этого мы должны применять эти политики для групп. Но не для любых групп, это должны быть группы безопасности (security group) глобальной области действия. Существует также возможность установки параметров/атрибутов для других групп; однако, это работает не так, как ожидалось (настройки игнорируются).

Если мы действительно хотим обрабатывать политики паролей внутри структуры OU, то могут быть полезны теневые группы ‘Shadow Groups’ – смотрите раздел ‘Shadow Groups and how to script them’ ниже в этой статье.

По умолчанию только члены группа администраторы домена “Domain Admins” могут устанавливать, создавать и удалять политики пароля – лучше известные как объекты настроек пароля (Password Setting Objects PSO). Однако, эти привилегии можно также передавать и забирать в случае необходимости, но для большинство сред этих настроек будет достаточно. Чтобы быть более точным, только члены группы администраторов домена (Domain Admins) имеют необходимые привилегии ‘Create Child’ (создать дочерний объект) и ‘Delete Child’ (удалить дочерний объект) для объекта Password Settings Container (PSC).

Чтобы применить PSO для пользователя или группы, вы должны обладать привилегиями на запись (‘Write’ permission) для объекта PSO – по умолчанию такими привилегиями обладают члены группы администраторов домена (Domain Admin).

Посмотрите на эти атрибуты

Я также должен упомянуть об некоторых из атрибутов, которые делают все это возможным.

msDS-PSOAppliesTo
Каждый объект PSO имеет атрибут под названием msDS-PSOAppliesTo, который известен также, как ссылка, связывающая с пользователем или группой. Она может указывать на одного пользователя, одну группу, несколько пользователей, несколько групп или несколько пользователей и групп. Эти ссылки в действительности лишь выдающиеся имена (distinguished names), например, “CN=GroupA,OU=MyGoups,DC=Contoso,DC=Local” для объектов.
У вас может возникнуть вопрос, а что будет, если мы переименуем или удалим пользователя или группу (в другой контейнер или OU), последует ли PSO за объектами? Да – атрибут PSO под названием msDS-PSOAppliesTo автоматически обновится службой директории в фоновом режиме, и будет указывать на новое место.
msDS-PSOApplied
Вышеупомянутый атрибут msDS-PSOAppliesTo для PSO можно редактировать в отличие от атрибута msDS-PSOApplied, который представляет пользователя или группу. Последний атрибут предназначен только для чтения и обрабатывается в фоновом режиме службой директории.
Атрибут msDS-PSOApplied содержит ссылку на PSO, указывающий на родительский объект – как пользователи, так и группы могут иметь несколько PSO, назначенных им.
msDS-ResultantPSO
Атрибут msDS-ResultantPSO существует только для объектов пользователей. Он содержит вычисляемое значение, которое также называют “Resultant Set of Policy” (RsoP результирующий набор политики). Это ссылка на один “счастливый” PSO, который активен для определенного объекта пользователя. Это значение определяется службой директории в фоновом режиме с помощью правил, упомянутых в следующем разделе этой статьи (“Проект”).
Вы можете спросить, если политика пароля активна для пользователя, который добавлен в группу? Как только пользователь добавляется в группу, то результирующая PSO также высчитывается для пользовательского объекта службой директории (directory service). То же самое происходит при удалении учетной записи пользователя из группы.
msDS-PasswordSettingsPrecedence
Атрибут msDS-PasswordSettingsPrecedence присутствует на объектах PSO. Низкое значение этого атрибута говорит о том, что PSO имеет высокий приоритет. Этот атрибут используется в том случае, когда для одного пользователя применяется несколько PSO – т.о. выбирается самое низкое значение. Если вы назначите несколько уникальных значений для каждого объекта PSO в домене, то легко можно будет определить эффективную политику пароля для определенного пользователя.

Проект

Перед тем, как реализовать несколько политик паролей (multiple password policies) в домене, рекомендуется получить обзор того, какие политики необходимы для завершения общего дизайна этих политик и их взаимодействия.

Вы можете назначить несколько политик для одного пользователя напрямую или же с помощью членства, но только один PSO может быть эффективен для определенного пользователя в определенный момент времени, и настройки пароля или блокировки нельзя объединить, как в случае с политикой группы – можно лишь использовать одну из них.

Поэтому нам нужны некоторые правила и расчет приоритетов в том случае, когда несколько PSO назначены для одного пользователя.

Простые правила …

Результирующая PSO определяется следующим образом:

  1. PSO, которая связана напрямую с пользователем, будет использоваться до тех пор, пока напрямую пользователю не назначено несколько PSO. Если назначено более одной PSO, то результирующей PSO будет PSO с наименьшим значением (msDS-PasswordSettingsPrecedence). Если система обнаружит, что с пользователем связаны две или более PSO с одинаковым значением msDS-PasswordSettingsPrecedence, то будет применена PSO с меньшим значением глобального уникального идентификатора (Global Unique Identifier GUID).
  2. Если ни один PSO не связан с пользователем, то входит в рассмотрение членство пользователя в глобальной группе безопасности (global security group). Если пользователь является членом нескольких групп безопасности с различными PSO, то результирующим PSO будет PSO с наименьшим значением. Если система обнаруживает два или более PSO, назначенных для групп, в состав которых входит этот пользователь, с одинаковым значением msDS-PasswordSettingsPrecedence, то применяется PSO с наименьшим значением GUID.

Если не удается получить ни одного PSO исходя из условий 1 и 2, то применяются настройки для пароля и блокировки из доменной политики по умолчанию “Default Domain Policy”, точно также как и в предыдущих версиях Active Directory (AD).

Таким образом, мы немного сократили нашу историю: PSO, назначенный пользователю, выиграет у PSO, назначенному группе, а меньшее значение выиграет у большего – если такое сравнение не удается, то в ход вступает значение GUID. А если ничего не подходит, то мы приходим к началу – к доменной политике по умолчанию “Default Domain Policy”!

В качестве общих рекомендаций, я упомяну эти:

Поле ‘Description’ (описание) может быть использовано для указания настроек пароля и блокировки, которые включены в PSO. Используйте его для краткого описания конфигурации PSO.

Используйте соглашение по наименование (naming convention) для PSO, как вы делаете это для других объектов AD.

Назначайте PSO для групп, вместо пользователей, для лучшего обзора и простоты управления.

Назначайте уникальное значение (unique precedence value) для каждого PSO в вашем домене, так будет намного проще определить эффективную политику пароля для определенного пользователя.

Правило Default Deny All (по умолчанию запретить все)

Я знаю, что это может быть не очень популярно, но я рекомендую вам установить настройки политик, содержащихся в “Default Domain Policy” (доменная политика по умолчанию) на очень высокий уровень безопасности. Это делается для того, что вы или кто-нибудь еще может забыть включить пользователя в одну из групп политик безопасности. В этом случае для учетной записи такого пользователя будут применяться политики для пароля, заданные в политике по умолчанию, которая задается на уровне домена.

Можно сравнить политику безопасности для доменной политики по умолчанию (Default Domain Policy) с правилом “Default Deny All” (запретить все по умолчанию) для брандмауэра – если ни одно из правил (политик) не подходит для пользователя (или группы, членом которой он является), то мы должны применить к нем самую строгую политику. В этом случае пользователь почти наверняка позвонит в службу помощи, чтобы исправить это. Если же мы дадим пользователю слишком много прав, то он скорее всего никогда не позвонит.

Еще одни способ выполнить это, заключается в указании политики паролей для группы “Domain Users” (пользователи домена) с использованием наименьшего приоритета – но опять же, по каким-либо причинам учетная запись может выпасть из этой группы… Поэтому лично я всегда задаю правило Default Deny All (запретить все по умолчанию)!

Теневые группы и как их описывать в сценарии

Если вы никогда не слышали о теневых группах “Shadow Groups”, не беспокойтесь – два месяца назад я тоже ничего о них не слышал. Теневая группа (Shadow Group SG) – это группа безопасности (в этом случае глобальная группа безопасности), которая содержит объекты внутри определенной OU в качестве членов. Можно сказать, что SG – это группа безопасности, которая отображается на OU.

Например, у вас может быть OU, “OU=Sales,OU=CorpUsers,DC=Contoso,DC=Local”, с учетными записями для всего отдела продаж – SG будет группа, которая на 100% соответствует ее содержимому. Для политик паролей это действительно может быть хорошей возможностью, если мы хотим, чтобы политики паролей виртуально удовлетворяли структуре OU, вместо того, чтобы совпадать со структурой группы безопасности (Security Group).

Вы, вероятно, можете представить, что это может означать большой объем работы, если нам необходимо будет вручную обновлять SG каждый час, именно поэтому я написал простой сценарий на VBS для автоматизации этого процесса, который будет запускаться по расписанию.

Этот сценарий собирает учетные записи пользователей из определенной OU, которая указывается в качестве аргумента для сценария, и помещает их в объект словарь. Сценарий затем собирает пользователей внутри определенной группы, которая указывается в качестве аргумента к сценарию – и помещает их в другой объект словарь. Путем сравнения этих словарей, сценарий добавляет или удаляет пользователей и теневой группы. Сценарий запускается по расписанию, и может быть использован со следующим синтаксисом: ShadowGroup.vbs "Target OU" "Shadow Group"

Пример:

ShadowGroup.vbs "OU=Test,DC=Contoso,DC=Local" "CN=Shadow,OU=Test,DC=Contoso,DC=Local"

Сценарий можно загрузить отсюда, но используйте его в промышленной среде на свой собственный страх и риск. Также рекомендую добавить некоторые процедуры для обработки ошибок, а также функциональность для отчетов. Было бы неплохо также реализовать поддержку дочерних OU. Я могу предоставить такой сценарий позже.

Написание сценариев

Существует также возможность написать сценарий для создания и изменения политик для пароля, а также назначения этих политик для определенных пользователей и групп. Однако, в этой статье подробна не рассказывается о таких возможностях.

Конечно, мы можем использовать инструмент под названием LDIFDE, или PowerShell. Windows PowerShell включен в состав операционной системы Windows Server 2008 и может быть добавлен в качестве инструмента – выберите “Add Feature” (добавить возможность) в новом менеджере сервера Server Manager, выберите Windows PowerShell и через несколько секунд PowerShell готов к использованию

Я также рекомендую вам попробовать Quest AD Cmdlets и зайти на PowerGui.org.

Бесплатный инструмент, работающий из командной строки под названием PSOmgr, уже доступен от Joeware. С помощью этого инструмента вы можете управлять объектами настроек паролей Password Settings Objects в операционной системе Windows Server 2008 очень просто, в том числе просматривать примененные политики и эффективность политики для определенного пользователя, просматривать PSO в домене/лесу, добавлять или удалять пользователя из PSO, создавать, переименовывать, удалять, изменять PSO и многое другое …

Начальная настройка Терминального сервера

Вернемся к 1998 г.: Корпорация Майкрософт выпускает Windows NT 4.0 Terminal Server Edition под кодовым названием «Hydra». Корпорация Майкрософт лицензировала технологию от Citrix Systems, создав свой первый вариант системы «тонкий» клиент/сервер. Развертывание системы «Hydra» представляло для системных администраторов сложную задачу. Перенесемся на несколько лет вперед от этого момента — службы терминалов поразительно изменились. Они полностью интегрированы в ядро и легко настраиваются с помощью встроенного мастера установки, не требуя отдельного компакт-диска или загрузки из Интернета. С учетом относительной простоты установки существует много доводов в пользу развертывания служб терминалов на предприятии. Наиболее очевидное преимущество заключается в том, что все приложения выполняются на центральном сервере или серверах, поэтому не возникает вопрос об архитектуре и оборудовании клиентов. Все, что требуется конечным пользователям, это клиент RDP (Remote Desktop Protocol — протокол удаленного рабочего стола) для подключения к центральным серверам. К счастью, клиенты RDP доступны для большинства современных архитектур.

В этой статье будет продемонстрирован способ включения служб терминалов на существующей установке Windows Server® 2003, метод применения групповых политик служб терминалов и использование мастера выборочной установки для автоматизации установки параметров профиля Microsoft® Outlook®. В результате будет получен полностью развернутый сервер терминалов, предоставляемый для приложений пользователей.

Начало работы

Первое, что необходимо сделать, принимаясь за установку служб терминалов, это открыть окно встроенного мастера настройки сервера, входящего в набор средств администрирования Windows Server 2003. Выберите пункт «Сервер терминалов», затем щелкайте «Далее», пока не мастер не завершит работу. Программа установки выводит предупреждение о необходимости перезагрузки компьютера для вступления в силу сделанных изменений. После перезагрузки сервер находится в режиме «Сервер терминалов».

Кстати, перед тем как начинать работу, убедитесь в том, что у вас имеются лицензии CAL (Terminal Services Client Access License — клиентская лицензия служб терминалов) — в противном случае после успешного развертывания никто не сможет установить подключение. Теперь присоедините компьютер, на котором выполняются службы терминалов, к домену Active Directory® и войдите в систему с использованием учетной записи, имеющей привилегии администратора домена. Будет сложно продолжать развертывание, не имея доступа к домену, поскольку у вас не будет возможности привести в действие групповые политики. В этой статье сервер, на котором устанавливаются службы терминалов, будет называться TS01.

Затем запустите оснастку «Active Directory — пользователи и компьютеры» из набора средств администрирования и создайте новое подразделение (OU), в котором будет размещен сервер терминалов. Для простоты дадим этому OU подкупающее оригинальностью имя Terminal Servers (Серверы терминалов). Отыщите сервер терминалов с именем TS01 и переместите его в новое подразделение Terminal Servers.

Затем загрузите (с веб-узла по адресу microsoft.com/windowsserver2003/gpmc) и установите консоль управления групповыми политиками (GPMC). Эта служебная программа управления позволяет настроить новую групповую политику, назначить ей разрешения и впоследствии исправлять политику с целью включения и отключения параметров политики для всех подключающихся пользователей. GPMC является важным средством развертывания служб терминалов, поскольку в ней имеется встроенный мастер моделирования, в котором незамедлительно отражается, какие политики применены к пользователю, а какие — нет.

Из окна «Администрирование» запустите консоль GPMC и найдите новое подразделение Terminal Servers в левой части окна «Управление групповой политикой». Щелкните это подразделение правой кнопкой мыши, выберите «Создать и связать GPO», как показано на рис. 1, и дайте ему практичное имя, например Terminal Server Policy #1.

Руководство по развертыванию служб терминалов
Рис. 1 Создание и связывание нового объекта групповой политики (GPO) (Щелкните изображение, чтобы увеличить его)


Волшебным образом группа «Прошедшие проверку» отображается в области «Фильтры безопасности» в правой части окна GPMC. Эта группа по умолчанию добавляется во все объекты групповой политики (GPO). Щелкните эту группу, затем нажмите кнопку «Удалить». Вместо нее в дереве Active Directory требуется настроить группу «Службы терминалов», к которой будут применяться объекты GPO при регистрации пользователей на TS01. Дадим группе служб терминалов имя BottleWashers. Продолжайте работу и добавьте их в структуру Active Directory с помощью оснастки «Active Directory — пользователи и компьютеры» из средств администрирования. Группу BottleWashers понадобится добавить также к группе пользователей удаленного рабочего стола на TS01 и на любых других устанавливаемых серверах терминалов.

Теперь перейдите на вкладку «Область». Нажмите кнопку «Добавить» в зоне «Фильтры безопасности», затем добавьте группу BottleWashers. Группа BottleWashers автоматически получает права на чтение и применение групповой политики к объекту Terminal Server Policy #1. Эти два разрешения являются правами групповой политики по умолчанию и являются необходимыми для всех политик, применяемых к объекту.

Затем добавьте также в зону «Фильтры безопасности» сервер TS01. Для выполнения этой операции требуется еще один дополнительный этап. Сначала щелкните «Добавить», затем, под заголовком «Типы объектов», установите флажок на вкладке «Компьютеры»; в противном случае GPMC не сможет отыскать TS01 в Active Directory. Окончательный результат должен выглядеть, как на рис. 2.

Руководство по развертыванию служб терминалов
Рис. 2 Добавление TS01 в зону «Фильтры безопасности»


Права корректной политики точно так же автоматически применяются к TS01 при его добавлении в зону «Фильтры безопасности». В этот момент имеет смысл выбрать вкладку «Делегирование» вверху правой стороны экрана GPMC, а затем найти группу «Администраторы домена», список которой по умолчанию также выводится для каждой новой политики. Нажмите кнопку «Дополнительно» в правом нижнем углу экрана.

Теперь можно просмотреть параметры безопасности для объекта «Групповая политика». Сосредоточьтесь на группе «Администраторы домена», затем найдите параметр «Применение групповой политики». На правой стороне выберите режим «Запретить». Нажав кнопку OK, вы получите стандартное сообщение с предупреждением, отображаемое при каждой установке разрешения «Запретить». Эта операция предотвращает применение новой политики TS к группе «Администраторы домена» — более чем нежелательное последствие.

Помните мой совет относительно наличия лицензий CAL Майкрософт? Необходимо просмотреть документы с лицензиями и определить, какие лицензии CAL для служб терминалов были приобретены. Существует два варианта лицензий CAL для сервера терминалов: для пользователя и на устройство. Для получения дополнительных сведений о лицензировании посетите веб-страницу по адресу microsoft.com/windowsserver2003/howtobuy/licensing/ts2003.mspx.

По существу, схема лицензирования для каждого пользователя позволяет пользователю применять только одну лицензию сервера терминалов независимо от числа устройств (ПК), с которых пользователь осуществляет подключение.

Если в домене еще нет сервера с лицензией сервера терминалов, найдите в домене сервер, который может принять на себя эту роль. Хотя такая возможность поддерживается, не стоит делать TS01 сервером лицензирования, потому что, если впоследствии на предприятии будут появляться дополнительные серверы терминалов, устойчивость инфраструктуры к сбоям не будет увеличиваться. На сервере, который предполагается сделать сервером лицензирования, откройте панель управления. Последовательно выберите «Установка и удаление программ» | «Компоненты Windows» | «Лицензирование сервера терминалов» и выполните появляющиеся на экране указания для включения сервера лицензирования. По завершении процедуры выберите «Пуск» | «Выполнить» и введите:

tscc.msc


Этой командой открывается дерево «Настройка сервера терминалов»\«Параметры сервера». В этом дереве следует выбрать «Параметры сервера» | «Лицензирование» и выбрать «Для пользователя» или «На устройство». Вариант по умолчанию — «На устройство». Если в домене уже есть сервер с лицензией сервера терминалов, в объекте Terminal Server Policy #1 будет присутствовать параметр, указывающий на то, что серверу назначена роль сервера лицензий. Выполнив эту задачу, выберите «Пуск» | «Выполнить» и введите:

licmgr.exe


Теперь, чтобы пользователи могли подключаться, необходимо активировать лицензии клиентского доступа. Существует удобная возможность активирования лицензий по телефону или на веб-узле. После этого пользователи смогут подключаться к серверу терминалов, но на нем будут отсутствовать обязательные политики, поэтому приступим к настройке нескольких важных политик. Некоторые из них, рекомендованные Майкрософт, приведены в статье базы знаний «How to lock down a Windows Server 2003 or Windows 2000 Terminal Server session»(Способ блокировки сеанса сервера терминалов в Windows Server 2003 или Windows 2000).

Включение политик

Крайне важно помнить, что не следует бессистемно включать политики, не зная в точности, что делает каждая из них, иначе можно получить незапланированные результаты. Оптимальный подход заключается в запуске нескольких важных политик и их последующем масштабном тестировании в лабораторной среде.

Первой, возможно, стоит привести в действие политику замыкания на себя. Для ее активирования запустите GPMC, найдите объект Terminal Server Policy #1, щелкните его правой кнопкой мыши и выберите «Изменить». Перейдите к узлу «Конфигурация компьютера» | «Административные шаблоны» | «Система» | «Групповая политика» и включите параметр «Режим обработки замыкания пользовательской групповой политики». После включения этой политики следует установить значение для ее параметра «Режим»: «Замена» или «Слияние». Для оптимальной работы служб терминалов выберите «Замена».

Следующим следует включить параметр сервера терминалов «Добавлять группу администраторов для перемещаемых профилей пользователя», который находится в узле «Конфигурация компьютера»\«Административные шаблоны»\«Система»\«Профили пользователей». Этот параметр обеспечивает администратору полный и постоянный контроль над всеми папками профилей пользователей. Его следует установить как можно раньше, поскольку он не применяется, если папки уже были созданы после первого входа пользователя в систему (см. рис. 3).

Руководство по развертыванию служб терминалов
Рис. 3 Включение параметра «Добавлять группу администраторов» (Щелкните изображение, чтобы увеличить его)


В узле «Конфигурация компьютера»\«Административные шаблоны»\«Компоненты Windows»\«Службы терминалов» представлен целый ряд политик. Рассмотрите возможность включения следующих из них:

• «Ограничить пользователей службы терминалов одним удаленным сеансом»
• «Установить путь для перемещаемых профилей TS»
• «Домашний каталог пользователя сервера терминалов»

Отметим, однако, что ограничение пользователей служб терминалов одним удаленным сеансом не препятствует многократному входу пользователя в систему, как можно было бы предположить. В действительности, когда пользователь пытается запустить второй сеанс службы терминалов, он просто продолжает первый начатый сеанс.

Перемещаемые профили являются важным элементом надлежащей работы сервера терминалов. По умолчанию при входе пользователя на сервер терминалов создается локальный профиль на диске C: сервера терминалов даже в том случае, если диск C: скрыт от пользователей. По умолчанию поведение в отношении перемещаемого профиля заключается в синхронизации локального профиля с общим ресурсом перемещаемых профилей в сети при выходе пользователя из системы. Групповую политику можно настроить на удаление этого локального профиля при выходе пользователя из системы.

Следующие две политики служб терминалов, упомянутые выше, «Установить путь для перемещаемых профилей TS» и «Домашний каталог пользователя сервера терминалов», связаны с перемещаемыми профилями. Эти параметры зачастую жестко устанавливаются в поле «Путь профиля служб терминалов» пользователя Active Directory. Гораздо более простым и предпочтительным способом является установка путей для служб терминалов посредством групповых политик. В случае путей профиля служб терминалов оснастки «Active Directory – пользователи и компьютеры», если настраивается новый или копируется существующий пользователь, сведения о пути профиля сервера TS необходимо добавлять каждый раз вручную — это крайне обременительно. Гораздо удобнее устанавливать пути к общему сетевому ресурсу и для их настройки использовать объект GPO.

Перенаправление папок

Теперь кратко рассмотрим еще один очень важный компонент службы терминалов, «Перенаправление папок», выполняющий оптимизацию рабочей среды TS посредством запрета чрезмерно длительных входов и выходов из системы. Допускается перенаправление папок Application Data, Desktop (Рабочий стол), My Documents (Мои документы) и Start Menu (меню «Пуск»). Эти четыре папки должны присутствовать на общем сетевом ресурсе, и для них необходимо наличие специальных списков управления доступом (ACL). Для получения дополнительных сведений на эту тему ознакомьтесь со статьей базы знаний «How to Dynamically Create Security-Enhanced Redirected Folders by Using Folder Redirection in Windows 2000 and in Windows Server 2003» (Динамическое создание перенаправляемых папок с улучшенной защитой с помощью компонента «Перенаправление папок» в Windows 2000 и в Windows Server 2003).

Достоинство компонента «Перенаправление папок» состоит в том, что не требуется копировать весь профиль пользователя при каждом входе или выходе пользователя из системы. Службы терминалов обнаруживают присутствие этих папок в сети и, по существу, просто обеспечивают указатель на них.

Для упрощения обслуживания общих сетевых ресурсов рекомендуется перед размещением перемещаемых профилей и использованием компонента «Перенаправление папок» освоиться с распределенной файловой системой (DFS — Distributed File System). Из-за недостатка места в этой статье не будет обсуждаться система DFS, но продолжить ее рассмотрение можно в разделе DFS Resource Center (Центр ресурсов DFS) на веб-узле по адресу .

Параметры для компонента «Перенаправление папок» находятся в узле «Конфигурация пользователя»\«Конфигурация Windows»\«Перенаправление папок» (см. рис. 4). Значения параметров папки «Перенаправление папок» крайне естественны. Вероятно, потребуется снять все флажки для компонента перенаправления папок с именами типа «Предоставить права монопольного доступа», в противном случае администраторы не смогут получить доступ к этим папкам.

Руководство по развертыванию служб терминалов
Рис. 4 Местонахождение параметров компонента «Перенаправление папок»

Установка Microsoft Office

Теперь, когда некоторые основные политики приведены в действие, подготовимся к установке Microsoft Office 2003 или системы 2007 Microsoft Office. Microsoft Office оптимизирован на работу со службами терминалов, поэтому во время установки не придется вносить значительные изменения. Компоненты Office, требующие высокой пропускной способности, по умолчанию отключены. На данном этапе потребуется загрузить и установить файлы административных шаблонов групповой политики (файлы ADM), чтобы иметь возможность управлять политиками в рамках набора компонентов пакета Office.

Требуемые файлы ADM находятся на веб-узле по адресу microsoft.com/office/orkarchive/2003ddl.htm. Для наших целей достаточно загрузить два файла: Файлы шаблонов Office (ORKSP2AT.exe) и Custom Installation Wizard (Мастер выборочной установки). Однако второй файл требуется только в случае развертывания Office 2003. В системе 2007 Office мастер не используется — все, что требуется, — это просто выбрать «Пуск» | «Выполнить» и ввести «Setup /a», после чего выполняется автоматический запуск.

Распаковав первый файл, ORKSP2AT.exe, вы получите набор файлов. Для вас важны файлы office11.adm и outlk11.adm (см. рис. 5).

Руководство по развертыванию служб терминалов
Рис. 5 Файлы шаблонов Office


Запустите проводник Windows и скопируйте эти два файла в %systemroot%\inf. Затем снова запустите консоль GPMC. Среди объектов групповой политики найдите объект Terminal Server Profile #1, щелкните его правой кнопкой мыши и выберите пункт «Изменить». Теперь перейдем к узлу «Конфигурация компьютера»\«Административные шаблоны» в указанной политике. Щелкните «Административные шаблоны» правой кнопкой мыши и выберите пункт «Добавление и удаление шаблонов», как показано на рис. 6.

Руководство по развертыванию служб терминалов
Рис. 6 Добавление административных шаблонов в объект GPO


Отображаются два доступных файла. Добавьте их поочередно. Эти файлы шаблонов отображаются в узлах «Конфигурация пользователя»\«Административные шаблоны»\Microsoft Office 2003 и «Конфигурация пользователя»\«Административные шаблоны»\Microsoft Office Outlook 2003. Данные параметры шаблонов можно просматривать и включать или отключать их по своему усмотрению.

В этой статье я не стану обсуждать много параметров, рассмотрим только те два, которые, вероятно, потребуется удалить: «Помощник» и «Автоархивация Outlook». Обратите внимание, что некоторые параметры, например «Режим кэширования Exchange» и «Фильтрация нежелательных сообщений», по умолчанию отключены в службах терминалов, поэтому нет необходимости отключать эти политики.

Для получения дополнительных сведений см. статью «Outlook Features That Are Disabled with Terminal Services» (Компоненты Outlook, отключаемые службами терминалов). Компонент «Помощник» легко отключается выбором в групповой политике Конфигурация пользователя\Административные шаблоны\Microsoft Office Outlook 2003\Помощник\Параметры.

В среде служб терминалов хотелось бы избежать постоянных запросов пользователям на выполнение некоторой операции. К одному из примеров наиболее навязчивых запросов относятся параметры автоархивации почтовых сообщений в Outlook. Если этот параметр не учитывается групповой политикой, пользователям через определенные интервалы времени предлагается автоархивация. В результате отключения этого параметра он полностью удаляется из меню «Параметры Outlook». Безусловно, вам может потребоваться возможность автоархивации, поэтому предусмотрена точная настройка этих параметров в политике Конфигурация пользователя\Административные шаблоны\Microsoft Office Outlook 2003\Сервис | Параметры\Автоархивация.

Следующее действие, которое следует предпринять для успешного развертывания служб терминалов, состоит в настройке PRF-файла для Outlook, чтобы пользователям не выдавались запросы на настройку их параметров Outlook вручную. Может показаться, что такая задача по плечу только Гераклу, но это не так. Достаточно установить пакет OrkTools и с помощью мастера выборочной установки создать PRF-файл, который будет определять поведение мастера установки Outlook. В системе 2007 Office предусмотрен механизм, делающий эту процедуру устаревшей, но при желании для настройки системы Office можно по-прежнему использовать PRF-файл.

Подготовим PRF-файл для Outlook с помощью мастера выборочной установки. На самом деле не потребуется выполнять всю процедуру мастера выборочной установки, достаточно выполнить ту ее часть, которая необходима для экспорта измененного PRF-файла. В нее входит всего несколько операций.

Сначала необходимо запустить и разархивировать второй файл, загруженный ранее (мастер выборочной установки). После запуска мастера из меню Пуск | Программы | Microsoft Office 2003 Resource Kit отображается запрос на указание местоположения файла MSI Office 2003. Установите диск с Office 2003 и укажите имя и путь к MSI-файлу.

Теперь перейдем непосредственно к 17-й из 24 страниц мастера выборочной установки, чтобы пропустить часть операций выборочной установки и просто создать PRF-файл. На этапе 17 выберите пункт «Новый профиль» и назначьте ему имя, например Outlook, затем нажмите кнопку «Далее». Отображается экран для выбора сервера Exchange (как показано на рис. 7). Введите имя сервера Exchange и щелкните «Далее» для продолжения процедуры.

Руководство по развертыванию служб терминалов
Рис. 7 Настройка подключения к серверу Exchange


Имеет смысл добавить к создаваемому профилю адресную книгу Outlook. Это позволит пользователям выбирать нужные адреса при создании нового сообщения. Один этот этап поможет сократить объем предстоящей работы. Нажав кнопку «Добавить», на этом этапе можно настроить также дополнительно выбранные компоненты. Теперь нажмите кнопку «Далее» — после этого остается всего лишь выполнить экспорт PRF-файла.

На этом этапе необходимо создать пакетный файл и поместить его в общий ресурс Netlogon на контроллере домена, а не на сервере TS01. Этот пакетный файл запустит все необходимые сопоставления и настроит PRF-файл для развертывания. Выполнение данной задачи облегчают написанные мной сценарии WMI. Однако эти сценарии следует использовать только в качестве руководства; в них потребуется вставить данные, соответствующие конкретной ситуации. При желании можно использовать другой обработчик сценариев, подобный KiXTart.

В пакетном файле (logon.bat) должны присутствовать следующие строки:

REM Logon.bat
@echo off
wscript %0\..\clean.vbs
wscript %0\..\outlook.vbs


Файл Clean.vbs обеспечивает удаление раздела реестра First-Run, чтобы Outlook выполнил обработку PRF-файла:

' Clean.vbs
Const HKEY_CURRENT_USER = &H80000001
sComputer = "."
Set oRegistry=GetObject("winmgmts:\\" & _
sComputer & "\root\default:StdRegProv")
sKeyPath = "Software\Microsoft\Office\11.0\
Outlook\Setup"
sValueName = "First-Run"
oRegistry.DeleteValue HKEY_CURRENT_USER, sKeyPath, _
sValueName


Outlook.vbs добавляет в реестр требуемый раздел установки Outlook для каждого пользователя сервера терминалов. В параметре SValue= необходимо указать используемый путь и не забыть добавить действующий настроенный PRF-файл в реальный сетевой каталог:

sValue = \\Serv01\PRF\Outlook.prf


Измените этот путь и поместите в него файл Outlook.prf:

' Outlook.vbs
Const HKEY_CURRENT_USER = &H80000001
sComputer = "."
Set oRegistry=GetObject("winmgmts:\\" & _
sComputer & "\root\default:StdRegProv")
sKeyPath = "Software\Microsoft\Office\11.0\Outlook\
Setup"
oRegistry.CreateKey HKEY_CURRENT_USER, sKeyPath
sValue = "\\Serv01\PRF\Outlook.prf"
sValueName = "ImportPRF"
oRegistry.SetStringValue HKEY_CURRENT_USER, _
sKeyPath, sValueName, sValue


Следующим пунктом в плане развертывания является установка Office 2003 или системы 2007 Microsoft Office на сервере TS01. Как уже упоминалось, пакет Microsoft Office оптимизирован для работы в среде служб терминалов. Больше нет необходимости в создании пользовательских преобразований. Компоненты Office, не входящие в группу предустановленных, могут быть отключены, но делать это не обязательно. Наоборот, компоненты можно также включить, но такая операция может оказать неблагоприятное влияние на расход пропускной способности. Не забудьте проверить все включаемые компоненты в лабораторной среде, прежде чем развертывать их в производственной ситуации.

Перед установкой любой из версий Microsoft Office следует перевести сервер TS01 в подходящий пользовательский режим. Существуют два возможных варианта: «Установка» и «Выполнение». Перед тем как начать выполнение установки какого либо программного обеспечения, необходимо перейти в режим «Установка». Для перевода сервера TS01 в режим установки введите в командной строке следующую команду:

C:>change user /install


По завершении установки верните TS01 в режим выполнения с помощью следующей команды:

C:>change user /execute


Режим установки запускается автоматически, если на TS01 выполняется файл Setup.exe или Install.exe. Эти файлы входят в состав всех программных продуктов Майкрософт. Однако некоторые приложения не используют эти файлы, поэтому для надежности продолжайте работать с командой Change. Что делать, если вы забыли, в каком режиме находится сервер? Ответ на этот вопрос даст команда, приведенная ниже:

C:>change user /query


Если вы добрались до этого этапа, значит, все в порядке. Теперь можно перейти на клиентскую рабочую станцию Windows, щелкнуть «Пуск» | «Выполнить», затем ввести следующую команду:

mstsc


Если вы используете Windows 2000, можно загрузить служебную программу клиента служб терминалов Майкрософт (Mstsc).

Теперь должен отобразиться экран подключения к удаленному рабочему столу. Для подключения достаточно ввести имя или IP-адрес сервера терминалов. Кнопка «Параметры» предоставляет доступ к большому числу существующих возможностей, например, можно указать, следует ли подключать локальные драйверы или принтеры, или изменить разрешение экрана. В области параметров можно также жестко определить сервер TS01 и впоследствии сохранять профиль RDP на своем рабочем столе. По умолчанию профиль RDP называется Default.RDP.

Административные задачи

Если на сервере TS01 требуется выполнить некоторые административные задачи, оптимальным вариантом будет использование следующей команды, поскольку она имитирует такое же выполнение операций, как если бы вы физически находились за консолью:

Mstsc /console


При выполнении администрирования разных служб терминалов может потребоваться служебная программа для удаленных рабочих столов, находящаяся в наборе средств администрирования, поскольку все удаленные серверы терминалов могут быть добавлены в единый древовидный формат.

Последняя команда, с которой нужно ознакомиться — Tsadmin, предоставляющая возможность просматривать список пользователей, подключенных к серверу терминалов, и процессы Windows, открытые пользователями. Она позволяет также «затенять» пользователей, что является огромным преимуществом для администраторов. Хотя стоит отметить, что при запуске TSadmin с рабочей станции возможность «затенять» пользователей отсутствует. Возможен только просмотр подключений. Для того чтобы «затенить» пользователей, необходимо войти в систему непосредственно на TS01, «затенить» пользователей, отправить им сообщение или отключить их от системы.

Заключение

Теперь у вас имеется цельное представление о службах терминалов, поэтому самостоятельное развертывание сервера терминалов не составит труда. Осталось еще много тем для дальнейшего изучения, включая параметры групповой политики и DFS, но если вы будете помнить о базовых принципах, таких как сдержанность при настройке объектов GPO и основательная проверка этих объектов перед их использованием в реальной работе с пользователями, то дела пойдут хорошо.

windows сетевой доступ

Некоторые новые аспекты сетевого доступа в Windows XP.






До выхода в свет операционной системы Windows
XP проблем с предоставлением общего доступа к разделяемым ресурсам
компьютера практически не возникало. Однако, как правило, такой доступ
предоставлялся и зачастую предоставляется неконтролируемо - раздается
доступ ко всем ресурсам, вплоть до системных дисков, причем для любых
категорий пользователей и без ограничения полномочий. Такая практика
зачастую приводит к нежелательным результатам.





С возрастанием роли групповых политик они
стали оказывать существенное влияние на сетевую безопасность, а
пользователи, недостаточно хорошо разбирающиеся в их устройстве, начали
испытывать определенные затруднения. Казалось бы, общий доступ к папке
предоставлен, а доступа нет. Почему? В этом мы и постараемся
разобраться. Следует помнить, что все описанное далее относится к
редакции Professional операционной системы Windows ХР и сети без домена
Active Directory. Статья рассчитана на начинающих пользователей.

Настройка доступа.








Рис.1

Прежде
всего, необходимо настроить систему для того, чтобы доступ к компьютеру
из сети стал возможен. Обыкновенно советы сводятся к следующему:
отключите брандмауэр, выключите простой общий доступ, включите гостя и
разрешите ему доступ. Это неправильно. Такая политика действительно
позволит использовать общий доступ к ресурсам, но она никак не защищает
владельца от злонамеренных действий клиентов. При таких
обстоятельствах, возможно что любой пользователь сможет удалить данные
на вашем жестком диске.




Итак, как сделать правильно. Заходим в свойства брандмауэра, используя соответствующий пункт «Панели управления» и отмечаем чекбокс "Общий доступ к файлам и принтерам" как показано на рис.1.
Этим мы разрешаем доступ к портам TCP 139 и 445, а также UDP 137-138.
Вообще, при открытии сетевого доступа к разделяемым ресурсам,
брандмауэр настраивается автоматически. Мы проделали эту операцию, дабы
совершенно точно знать, что возможные проблемы не связаны с политиками
брандмауэра.


По умолчанию Windows ищет в сети общие папки и
принтеры. Можно по-разному относиться к данной возможности, но если
необходимо ее задействовать, то лучше воспользоваться компонентом "Одноранговая сеть", который включается через "Установку и удаление программ" - "Компоненты Windows" - "Сетевые службы" (Рис.2). Брандмауэр будет настроен автоматически.







Рис.2








Рис.3

Помимо того, необходимо убедиться в том, что задействована "Служба общего доступа к файлам и принтерам". Проверить это можно в свойствах сетевого соединения (Рис.3). По умолчанию данная служба включена, если не используется модемное подключение.







Рис.4


Теперь необходимо определиться с методом доступа к компьютеру из сети. В Windows XP предусмотрены две модели доступа: "Гостевая" и "Обычная".
Гостевой доступ упрощает управление разделяемыми  ресурсами, но
существенно ограничивает возможности, такие как удаленное
администрирование, аудит и разделение ресурса между пользователями по
правам доступа т.п. При выборе этой модели, все пользователи, которые
пытаются подключиться к компьютеру из сети, автоматически признаются
гостями операционной системы. Если никакие из вышеперечисленных функций
не используются, то можно ограничиться гостевым доступом.




Гостевая модель доступа.


Чтобы воспользоваться данной моделью доступа, а она активирована в Windows по умолчанию, достаточно просто включить учетную запись "Гость" в оснастке управления компьютером, либо через панель управления и разрешить ему доступ из сети в политике безопасности.


Учетная запись «Гость» включается следующим: образом: правый клик по системному значку "Мой компьютер", который, в зависимости от выбранного интерфейса ОС, «классического», либо Windows XP, находится или на «рабочем столе» или в меню "Пуск". В появившемся меню выбираем "Управление". В открывшейся оснастке переходим к категории «Локальные пользователи и группы», затем выбираем «Пользователей», дважды щелкаем по учетной записи “Гость” и снимаем флажок в чекбоксе "Отключить учетную запись". Затем нажимаем "Применить" и "ОК". Красный крестик у «Гостя» должен исчезнуть (Рис.4). Также в оснастку «Управление компьютером» можно попасть через «Панель управления», выбрав в ней пункт «Администрирование».






Переходим в оснастку редактора групповых политик – нажимаем "Пуск", выбираем "Выполнить", вводим GPEDIT.MSC и нажимаем "ОК". В открывшейся оснастке находим ветвь "Назначение прав пользователя" (Рис.5), затем - пункт "Отказ в доступе к компьютеру по сети", дважды щелкаем по нему, подсвечиваем «Гостя», нажимаем "Удалить", "Применить", "ОК".







Рис.5


В принципе все, гостевой доступ включен, но есть тонкости.


1. Изменение в политике безопасности применяются через полтора
часа (90 мин.) по умолчанию. Принудительно применить параметры можно
двумя способами: осуществив перезагрузку ОС, либо используя
принудительное обновление групповой политики. Сделать это можно
следующим образом: "Пуск", "Выполнить", вводим gpupdate /force” (без кавычек) и нажимаем "ОК".


2.Если вы меняли модель доступа ранее, то верните ее назад к гостевой модели, как показано на рис.6 или рис. 7.








Обычная модель доступа.


Теперь рассмотрим более правильный с моей точки зрения вариант с “Обычной” моделью доступа, которую еще называют «Классической».








Рис.6

Сначала
нам требуется отключить простой общий доступ. Это можно сделать двумя
способами. Первый и самый простой показан слева. Открыть диалог «Свойства папки» можно раскрыв любую папку, хотя бы «Мой компьютер» и в меню «Сервис» выбрать «Свойства папки». Достаточно снять галочку, как показано на рис.6,
и простой общий доступ будет выключен. Второй способ сложнее, через
политики безопасности. Как было сказано выше, введя команду GPEDIT.MSC в окошко «Выполнить» меню «Пуск», мы попадаем в окно оснастки редактора групповых политик. Далее, следуя по дереву консоли, находим пункт «Сетевой доступ: модель совместного доступа и безопасности…», как показано на рис.7. Но обратите внимание, как называется данный пункт. "Сетевой доступ: модель совместного доступа...". Такой вот маленький чекбокс слева, а полностью меняет модель доступа


Рис.7






Итак, модель сетевого доступа выбрана «Обычная».
Это значит, что все пользователи, пытающиеся попасть на компьютер из
сети, перестают автоматически быть гостями. При этом Windows начнет
производить проверку их верительных данных на предмет совпадения с
хранящимися  на локальном компьютере учетными записями, а также проверку
полномочий доступа, предоставленных этим пользователям. В этом случае
имеется возможность создавать локальных пользователей и задавать им
права доступа к папкам и подпапкам. Это пригодится, когда надо открыть
доступ к определенной папке одному пользователю, но закрыть другому.
При простом общем доступе сделать это невозможно, поскольку все клиенты
используют одну учетную запись – «Гость».







В политиках безопасности
существует пункт, регламентирующий использование пустых паролей. По
умолчанию использование пустых паролей допускается только для
консольного входа. Если кто-то из пользователей, кроме  «Гостя» должен попадать в систему с пустым паролем, то значение данного пункта надо перевести в положение «Отключен».
Тем самым разрешается доступ к компьютеру по сети учетным записям,
имеющим пустой пароль. Но имейте ввиду, что тем самым открывается
доступ с пустыми паролями и к так называемым «административным» разделяемым ресурсам, что совсем не безопасно.


Есть в «Обычной» модели
сетевого доступа и недостаток, но недостаток этот скорее в головах
пользователей, которые оставляют пароль администраторов пустым или
ставят «12345» или qwerty. Если пустой пароль «Администратора» это принципиально, то тогда надо его либо переименовать, либо отключить (не бойтесь, в безопасном режиме «Администратор» включен всегда), либо запретить ему доступ по сети, добавив его к имеющим такой запрет, как на рис.5 Конкретные действия зависят от ваших потребностей.


Авторизация при выбранной «Обычной» модели сетевого доступа происходит следующим образом. Вначале Windows
проверяет связку логин - пароль (верительные данные) на предмет
совпадения с локальными учетными записями. Если верительные данные
совпали и учетная запись имеет соответствующие права, то доступ
разрешается. Если совпал только логин, то доступ запрещается и выдается
ошибка 5. Если же таких верительных данных нет в локальной базе, то
пользователь считается "Гостем" и дальнейшие действия
производятся в зависимости от состояния этой учетной записи (включена
или отключена) и прав доступа, в т.ч. и доступа по сети. В этом случае,
если «Гость» отключен или ему запрещен доступ по
сети, а также в случае если происходит попытка авторизоваться с пустым
паролем, но подобные действия запрещены политикой безопасности, то
тогда Windows пошлет «ident» запрос и пользователь увидит окно с
предложением ввести правильные имя пользователя и пароль.


Несколько советов. Если вы не хотите потерять
свои данные, то следуйте простейшим правилам безопасности, как вы
следуете правилам личной гигиены. Берегите учетную запись
администратора, не работайте под ней. Создайте себе другую, а «Администратора» либо отключите, либо переименуйте. Не задавайте учетным записям «Администраторов»
пустой пароль. Используйте сложные пароли. Если вам лень вводить его
каждый раз, то воспользуйтесь утилитой, вызываемой командой CONTROL USERPASSWORDS2 из командной строки или из меню «Пуск» - «Выполнить», для задания авто-входа. Никогда не давайте полный доступ по сети, максимум на "Изменить". Никогда не предоставляйте в общий доступ диски, используйте для этого папки.





















Рис.8

Теперь
осталось создать разделяемый ресурс -  общую папку. Папку можно
создавать в любом месте, но лучше это делать в корневом каталоге диска,
поскольку некоторые каталоги имеют предварительно заданные разрешения.
Итак, создаем папку и даем ей имя. Затем щелкаем этой папке правой
кнопкой мыши и выбираем пункт "Свойства". Переходим на вкладку "Доступ". Переключаем радиобутон в положение "Открыть общий доступ к этой папке". Есть маленький нюанс. Если в конце названия общего ресурса проставить знак доллара - $,
то папка будет не видна из сети, это так называемый скрытый
разделяемый ресурс и обратиться к ней можно только указав полный путь,
например: "Пуск", "Выполнить", \\mycomp\sharing$, “OK”.
Можно добавить примечание. Если общих папок много, это может быть
полезным. Имя общего ресурса не обязательно должно совпадать с именем
общей папки, оно может быть задано произвольно.


Теперь нажимаем кнопку "Разрешения" и попадаем в окошко, изображенное на рис.9


Рис.9

Здесь задаются разрешения на сетевой доступ к папке. Если у вас файловая система FAT32, то разрешения можно задать только здесь, используя кнопки "Добавить" и "Удалить". Для тех же, кто использует NTFS
особого смысла добавлять кого-то нет. Стоит только определить уровень
доступа. Например, добавить право на изменение. Если же вы добавите
пользователя или группу пользователей, не запутайтесь, ведь вам
придется еще выставить права на вкладке "Безопасность" рис.10.


Рис.10

Перейдя на вкладку "Безопасность",
можно добавлять пользователей и предоставлять им права доступа.
Обратите внимание, что по умолчанию полномочия уже делегированы
определенным категориям пользователей. В том числе и группе "Пользователи", в
которую входят созданные вами учетные записи. Это значит, такие
пользователи уже имеют некоторые права. Если вы создаете папку, доступ к
которой требуется не всем пользователям, то такая ситуация не
приемлема. Решить эту проблему можно двумя способами.


Первый вариант удалить группу и добавить конкретных пользователей (первым делом себя и на полный доступ). Windows не дает удалить? Правильно, идем в "Дополнительно", снимаем галку "Наследовать", жмем "Применить", в появившемся окне жмем "Копировать", затем "ОК" и возвращаемся к рис.10. Но теперь здесь можно и удалять и добавлять.


Второй вариант будет полезен в том случае, если
вам требуется запретить доступ к общему ресурсу только для некоторых
участников группы "Пользователи", разрешив при этом доступ остальным.
Решением такой проблемы является добавление в список учетных записей
требуемых пользователей и выставление им запрета на "Полный доступ".
Теперь, хоть они и входят в группу, которой разрешен какой-то вариант
доступа, они его не получат, поскольку в Windows запрещения имеют более
высокий приоритет над разрешениями, о чем она вам и сообщит.


Используя данные нехитрые приемы, можно
выстроить иерархию папок, с различными правами доступа, входом в
которую будет единственная видная в сети папка. Преимущество такого
подхода в том, что перемещением радиобутона на рис.8 в
обратное положение можно разом отсечь всех пользователей, которые
подключились к вашему ПК. И также легко опять предоставить доступ,
когда он вновь потребуется.





Пользователям, избравшим для сетевого доступа «Гостевую»
модель, открыть общий доступ к папке гораздо проще. Необходимо создать
папку и дать ей имя. Затем правый клик на значке папки, выбираем «Свойства» и переходим на закладку «Доступ», рис.11. Здесь, в нижней части окна необходимо отметить чекбокс «Открыть общий доступ к этой папке» и, возможно, чекбокс «Разрешить изменение файлов по сети»
если есть необходимость того, что удаленные пользователи смогут
добавлять и удалять файлы в этой папке. Также есть возможность
изменить имя ресурса, под этим именем папка будет видна в сети.

Рис.11
* Слово «расшарить» происходит от английского to share -  делить, распределять; разделять.
Это слово широко распространено в компьютерной среде, но оно является
жаргонизмом и в данной статье использоваться не будет. Правильно
говорить «разделяемый» и именно это слово используется в тексте.

Восстановление Групповых политик

Проверка прав на групповые политики
gpotool /checkacl
Восстановление
dcgpofix /?

Сброс параметров безопасности в используемом по умолчанию объекте групповой политики (GPO) домена


http://support.microsoft.com/?kbid=226243
How to manually create Default Domain GPO
http://www.codedigest.com/Articles/Directory%20Service/58_How_to_manually_create_Default_Domain_GPO.aspx

Восстановление исходных настроек прав пользователей для объекта групповой политики, используемого контроллером домена по умолчанию


http://support.microsoft.com/kb/267553

Exchange 2007 ошибка при попытке перенести ящик

Сегодня захотел перенести ящик в другую базу и получил ошибку:
Назначен неверный сервер службы обновления получателей
Служба сервера списка адресов Exchange не отвечает. Это может быть вызвано ошибкой в списке адресов или настройке политики адресов электронной почты.
http://support.microsoft.com/kb/935636/

Причина 1

Объект CN=Public Folders отсутствует в разделе CN=All Address Lists службы каталогов Active Directory.

До этого, для красоты, переименовал
All Contacts
All Groups
Public Folders
в русские аналоги.

решение - вновь оставить эти списки на английском языке и перезагрузить сервер.

Установленная на данном компьютере политика не позволяет подключение к данной очереди печати

Установленная на данном компьютере политика не позволяет подключение к данной очереди печати

 
При попытки прописать принтер:
Появляется ошибка: "установленная на данном компьютере политика не позволяет подключение к данной очереди печати. Обратитесь к системному администратору."

Решение:
Дать для группы Прошедшие проверку или Все на папку %SystemRoot%\System32\Spool (ПКМ-Свойства-Безопасность) следующие права:
  • Чтение и выполнение
  • Список содержимого папки
  • Чтение
  • Запись

Запрет USB

Запрет, разрешение использования USB устройств.

Политика безопасности предприятия может требовать ограничений по использованию usb-устройств.

Копание в Интернете и чтение различных форумов привело к такому сборнику советов.


Глобально

Запретить все usb-устройства.

Управление компьютером->диспетчер устройств->контроллеры универсальной последовательной шины USB->(корневые USB концентраторы) -> "применение устройства: [отключено]

Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.

примечание 1. Диспетчер устройств можно запустить из командной строки start devmgmt.msc.

примечание 2. Интересное свойство диспетчера устройств из консоли выполнить две команды:

set devmgr_show_nonpresent_devices=1 
start devmgmt.msc

Тогда в Диспетчере устройств отобразятся скрытые устройства.


Быстрый и простой способ

Остановка службы Съемные ЗУ.

Если не требуется USB - отключение контролеров USB.

Запретить использование всем, кроме избранных через "Управление компьютером -> Запоминающие устройства -> СъемныеЗУ -> Свойства -> Безопасность.

Недостаток

Здесь есть некие подводные камни, например, запрет на использование группе USER. Но администратор может входить в группу USER.

Впрочем, это равносильно изменению параметра
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
"Start"=dword:00000004 - запретить;
"Start"=dword:00000003 - разрешить.

примечание. Запустить службу можно из командной строки
net start "Съемные ЗУ"


USB-устройство еще ни разу не подключалось к компьютеру.

Только-только установленная система.

Идем в папку %Windows%\inf (папка имеет атрибут hidden) , в ней есть два файла — Usbstor.pnf и Usbstor.inf.

Запрещаем доступ к этим файлам, кроме группы администраторов или конкретного пользователя.

Более подробно это описано у Microsoft


Запрет записи на USB-устройство

Зачем запрещать USB совсем, когда можно запретить только запись?

HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies.

Параметр WriteProtect, скорей всего его нет. Тогда его нужно создать с типом dword и присвоить значение 1.

И не забыть перегрузить компьютер. Чтобы восстановить - присвоить значение 0.


Групповые политики

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by 
disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by 
disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by 
disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity 
Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

Сохранить приведенный код в файл с расширением adm.

Запустить редактор групповых политик (gpedit.msc)

В разделе "Конфигурация компьютера" -> Административные шаблоны добавляем новый шаблон (правый клик), предварительно скопировав файл шаблона в папку %Windows%\system32\GroupPolicy\Adm\.
Должен появиться пункт Custom Policy Settings. Если не появился, то Вид -> Фильтрация... , и снять галочку с "Показывать только управляемые параметры политики”.
Если вы дошли до этого пункта, то, я думаю, что дальше сами разберётесь.

Замечу, что в этой политике, также задействованы и другие устройства (CD-ROM, НГМД).
Принцип основан на изменении параметра start на значение 4. Эта политика отработает после перезагрузки компьютера.

Еще один из вариантов для групповой политики.

CLASS MACHINE

CATEGORY "Services und Drivers"
    POLICY "USB Storage"
    KEYNAME "System\CurrentControlSet\Services\usbstor"
     PART "Startup type" DROPDOWNLIST
       VALUENAME "Start"
           ITEMLIST
           NAME "Boot" VALUE NUMERIC 0
           NAME "System"   VALUE NUMERIC 1
           NAME "Auto Load"   VALUE NUMERIC 2 DEFAULT
           NAME "Load On Demand"       VALUE NUMERIC 3
           NAME "Disabled"   VALUE NUMERIC 4
           END ITEMLIST
     END PART
    END POLICY
END CATEGORY


Выборочное использовние.

Это способ как организовать выборочное использование usb накопителей. Поэтому приведу здесь только краткое описание.

  • HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
  • Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ). Удаляем все содержимое USBSTOR.
  • Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
  • Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
  • Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
  • Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.
Первоисточник: http://slasoft.kharkov.ua/article/usb_dev