Меню

Групповые политики настройка сетевого обнаружения



GPO в домене windows 2016

Некоторые, наиболее часто используемые, настройки групповых политик для домена на Windows Server 2016.

В доменном окружении по умолчанию также отключен функционал сетевого обнаружения. Для того чтобы его включить, откройте редактор управления групповыми политиками, в узле Конфигурация компьютера/Политики/Административные шаблоны/Сеть/Обнаружение топологии связи (Link Layer). Выберите политику «Включает драйвер отображения ввода/вывода (LLTDIO)», в ее свойствах установите значение «Включить» и установите флажок «Разрешить операцию для домена» в дополнительных параметрах свойств политики. Повторите аналогичные действия для параметра политики «Включить драйвер «Ответчика» (RSPNDR)», после чего обновите параметры политики на клиентской машине, используя команду gpupdate /force /boot.

Для добавления доменных пользователей/групп в локальные в GPO для группы компьютеров – Конфигурация компьютера/Настройка/Панель управления/Локальные пользователи и группы

Для подключения сетевых дисков в GPO для группы пользователей – Конфигурация пользователя/Настройки/Конфигурация Windows/Сопоставление дисков

Чтобы сделать английский язык по умолчанию на экране авторизации – в GPO для группы компьютеров – Конфигурация компьютера/Настройка/Конфигурация Windows/Реестр правый клик Создать/Мастер реестра. Первый параметр меняем на 409 (Английский язык).

Однако в Windows 8/8.1/10 эти ключи не работают. Дело в том, что по-умолчанию в этих ОС выполняется применение языковых настроек пользователя к параметрам языка экрана входа в Windows. Чтобы отключить это поведение, нужно включить групповую политику Disallow copying of user input methods to the system account for sign-in в разделе Computer configuration -> Administrative Templates ->System ->Locale Services.

Включим Удаленный рабочий стол и добавим права для доменной группы. Для включения RDP-доступа:

Политика “Локальный компьютер” -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Подключения -> Разрешать удаленное подключение с использованием служб удаленных рабочих столов

Для добавления доменной группы в локальную группу “Пользователи удаленного рабочего стола” создаем локальную группу в Конфигурации компьютера:

Источник

Как включить или отключить сетевое обнаружение в Windows 10

В этой статье показаны действия, с помощью которых можно включить или отключить сетевое обнаружение в операционной системе Windows 10.

Сетевое обнаружение — это параметр сети, который определяет, может ли компьютер находить другие компьютеры и устройства в сети и могут ли другие компьютеры в сети обнаруживать ваш компьютер.

По умолчанию при первом подключении к новой сети (проводной или беспроводной), мастер сетевого расположения предложит вам разрешить другим компьютерам и устройствам в этой сети обнаруживать ваш ПК.

В зависимости от выбранного сетевого расположения Windows автоматически назначит сети состояние обнаружения сети и откроет соответствующие порты Брандмауэра Windows для этого состояния.

В случае необходимости, можно включить или отключить сетевое обнаружение, при этом не изменяя сетевое расположение. Например для сетевого профиля «Частная сеть», по умолчанию ваш компьютер является обнаруживаемым и виден другим компьютерам в сети, но можно сделать свой компьютер невидимым для других устройств отключив сетевое обнаружение.

Сетевое обнаружение требует, чтобы службы указанные ниже, были включены, настроены на автоматический режим и запущены:

  1. DNS-клиент (DNS-Client — Dnscache)
  2. Хост поставщика функции обнаружения (Function Discovery Provider Host — fdPHost)
  3. Публикация ресурсов обнаружения функции (Function Discovery Resource Publication — FDResPub)
  4. Обнаружение SSDP (SSDP Discovery — SSDPSRV)

Управление через параметры общего доступа

Чтобы включить или отключить сетевое обнаружение, нажмите на панели задач кнопку Пуск и далее выберите Параметры или нажмите на клавиатуре сочетание клавиш + I.

В открывшемся окне «Параметры Windows» выберите Сеть и Интернет.

Затем на вкладке Состояние, в правой части окна в разделе «Изменение сетевых параметров» выберите Параметры общего доступа.

В открывшемся окне «Дополнительные параметры общего доступа», разверните нужный профиль сети (по умолчанию будет открыт текущий профиль) для которого требуется включить или отключить сетевое обнаружение, установите переключатель в соответствующее положение и нажмите кнопку Сохранить изменения .

В профиле частной сети можно также включить или выключить автоматическую настройку подключенных к сети устройств, если включено обнаружение сети.

Читайте также:  Настройка прицела cs go dathost

Управление через командную строку и Windows PowerShell

Данный способ позволяет включить или отключить сетевое обнаружение для всех сетевых профилей.

Команды для русскоязычной локализации Windows

Чтобы включить сетевое обнаружение для всех сетевых профилей, откройте командную строку или консоль Windows PowerShell от имени администратора и выполните следующую команду:

netsh advfirewall firewall set rule group=»Обнаружение сети» new enable=Yes

Чтобы отключить сетевое обнаружение для всех сетевых профилей, откройте командную строку или консоль Windows PowerShell от имени администратора и выполните следующую команду:

netsh advfirewall firewall set rule group=»Обнаружение сети» new enable=No

Команды для английской локализации Windows

Чтобы включить сетевое обнаружение для всех сетевых профилей, откройте командную строку или консоль Windows PowerShell от имени администратора и выполните следующую команду:

netsh advfirewall firewall set rule group=»Network Discovery» new enable=Yes

Чтобы отключить сетевое обнаружение для всех сетевых профилей, откройте командную строку или консоль Windows PowerShell от имени администратора и выполните следующую команду:

netsh advfirewall firewall set rule group=»Network Discovery» new enable=No

Источник

Доступ к компьютеру с помощью параметра политики безопасности сети Access this computer from the network — security policy setting

Область применения Applies to

В этой статье описаны рекомендации, расположение, значения, Управление политиками и параметры безопасности для доступа к компьютеру из параметра политики сетевой безопасности. Describes the best practices, location, values, policy management, and security considerations for the Access this computer from the network security policy setting.

Справочные материалы Reference

Параметр политики сети «доступ к компьютеру » определяет, какие пользователи могут подключаться к устройству из сети. The Access this computer from the network policy setting determines which users can connect to the device from the network. Эта возможность требуется для ряда сетевых протоколов, включая протоколы на основе SMB, NetBIOS, общую файловую систему Интернета (CIFS), а также модель объектных объектов и COM+. This capability is required by a number of network protocols, including Server Message Block (SMB)-based protocols, NetBIOS, Common Internet File System (CIFS), and Component Object Model Plus (COM+).

Пользователи, устройства и учетные записи служб получают или удаляют доступ к этому компьютеру от пользователя сети , явно или неявно добавить или удалить из группы безопасности, которой предоставлено это право. Users, devices, and service accounts gain or lose the Access this computer from network user right by being explicitly or implicitly added or removed from a security group that has been granted this user right. Например, учетная запись пользователя или компьютера может быть явно добавлена в пользовательскую или встроенную группу безопасности или может быть неявно добавлена в вычисляемую группу безопасности, такую как пользователи домена, прошедшие проверку подлинности или контроллеры домена предприятия. For example, a user account or a machine account may be explicitly added to a custom security group or a built-in security group, or it may be implicitly added by Windows to a computed security group such as Domain Users, Authenticated Users, or Enterprise Domain Controllers. По умолчанию учетным записям пользователей и компьютеров предоставлено разрешение на доступ к этому компьютеру от пользователя сети , если вычислительные группы, например пользователи с проверкой подлинности, а также контроллеры домена, группа контроллеров домена предприятия, определены в объекте групповой политики контроллера домена по умолчанию. By default, user accounts and machine accounts are granted the Access this computer from network user right when computed groups such as Authenticated Users, and for domain controllers, the Enterprise Domain Controllers group, are defined in the default domain controllers Group Policy Object (GPO).

Константа: SeNetworkLogonRight Constant: SeNetworkLogonRight

Возможные значения Possible values

  • Определяемый пользователей список учетных записей User-defined list of accounts
  • Не определено Not defined

Рекомендации Best practices

  • На настольных устройствах и на рядовых серверах предоставьте это право только пользователям и администраторам. On desktop devices or member servers, grant this right only to users and administrators.
  • На контроллерах домена предоставьте это право только пользователям, прошедшим проверку подлинности, контроллерам домена предприятия и администраторам. On domain controllers, grant this right only to authenticated users, enterprise domain controllers, and administrators.
  • Этот параметр включает группу » все » для обеспечения обратной совместимости. This setting includes the Everyone group to ensure backward compatibility. После обновления Windows после проверки правильности миграции всех пользователей и групп следует удалить группу » все » и использовать вместо нее группу » прошедшие проверку «. Upon Windows upgrade, after you have verified that all users and groups are correctly migrated, you should remove the Everyone group and use the Authenticated Users group instead.
Читайте также:  Lg spirit настройка звука

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

В приведенной ниже таблице перечислены фактические и действующие значения политики по умолчанию для самых последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера GPO Server type of GPO Значение по умолчанию Default value
Политика домена по умолчанию Default domain policy Не определено Not defined
Политика контроллера домена по умолчанию Default domain controller policy Все пользователи, администраторы, прошедшие проверку подлинности, контроллеры домена предприятия, Windows 2000 совместимый доступ Everyone, Administrators, Authenticated Users, Enterprise Domain Controllers, Pre-Windows2000 Compatible Access
Параметры по умолчанию отдельного сервера Stand-alone server default settings Все, администраторы, пользователи, операторы архивации Everyone, Administrators, Users, Backup Operators
Действующие параметры по умолчанию для контроллера домена Domain controller effective default settings Все пользователи, администраторы, прошедшие проверку подлинности, контроллеры домена предприятия, Windows 2000 совместимый доступ Everyone, Administrators, Authenticated Users, Enterprise Domain Controllers, Pre-Windows2000 Compatible Access
Действующие параметры по умолчанию для рядового сервера Member server effective default settings Все, администраторы, пользователи, операторы архивации Everyone, Administrators, Users, Backup Operators
Параметры по умолчанию, действующие на клиентском компьютере Client computer effective default settings Все, администраторы, пользователи, операторы архивации Everyone, Administrators, Users, Backup Operators

Управление политикой Policy management

При изменении этого права пользователь может вызвать проблемы с доступом пользователей и служб, выполнив указанные ниже действия. When modifying this user right, the following actions might cause users and services to experience network access issues:

  • Удаление группы безопасности «контроллеры домена предприятия» Removing the Enterprise Domain Controllers security group
  • Удаление группы пользователей, прошедших проверку подлинности или явная группа, которая позволяет пользователям, компьютерам и учетным записям служб подключаться к компьютерам по сети с помощью прав пользователя. Removing the Authenticated Users group or an explicit group that allows users, computers, and service accounts the user right to connect to computers over the network
  • Удаление всех учетных записей пользователей и компьютеров Removing all user and machine accounts

Перезагрузка устройства не требуется, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Групповая политика Group Policy

Параметры применяются в указанном ниже порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

  1. Параметры локальной политики Local policy settings
  2. Параметры политики сайта Site policy settings
  3. Параметры политики домена Domain policy settings
  4. Параметры политики подразделения OU policy settings

Если локальная настройка недоступна, это указывает на то, что объект GPO, который в настоящее время управляет этим параметром. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Пользователи, которые могут подключаться к сети с помощью своего устройства, могут получить доступ к ресурсам на оконечных устройствах, для которых у них есть разрешение. Users who can connect from their device to the network can access resources on target devices for which they have permission. Например, для подключения к общим принтерам и папкам необходим доступ к этому компьютеру с помощью права пользователя сети. For example, the Access this computer from the network user right is required for users to connect to shared printers and folders. Если это право пользователя назначено группе » все «, пользователи в этой группе смогут читать файлы в этих общих папках. If this user right is assigned to the Everyone group, anyone in the group can read the files in those shared folders. Это маловероятно, так как группы, созданные по умолчанию как минимум для Windows Server2008R2 или Windows7, не включают группу » все «. This situation is unlikely because the groups created by a default installation of at least Windows Server2008R2 or Windows7 do not include the Everyone group. Тем не менее, если устройство Обновлено, а исходное устройство включает группу » все » в составе своих определенных пользователей и групп, эта группа перемещается в рамках процесса обновления и находится на устройстве. However, if a device is upgraded and the original device includes the Everyone group as part of its defined users and groups, that group is transitioned as part of the upgrade process and is present on the device.

Противодействие Countermeasure

Ограничьте доступ этого компьютера от пользователя «сеть » только теми пользователями и группами, которым требуется доступ к компьютеру. Restrict the Access this computer from the network user right to only those users and groups who require access to the computer. Например, если вы настраиваете этот параметр политики для группы администраторов и пользователей , пользователи, которые входят в домен, смогут получать доступ к ресурсам, предоставленным на серверах домена, если члены группы » Пользователи домена » включены в локальную группу » Пользователи «. For example, if you configure this policy setting to the Administrators and Users groups, users who log on to the domain can access resources that are shared from servers in the domain if members of the Domain Users group are included in the local Users group.

Примечание Если вы используете IPsec для обеспечения безопасности сетевых подключений в Организации, убедитесь, что группа, которая содержит учетные записи компьютеров, имеет это право. Note If you are using IPsec to help secure network communications in your organization, ensure that a group that includes machine accounts is given this right. Это право требуется для успешной проверки подлинности компьютера. This right is required for successful computer authentication. Назначение этого права пользователям, прошедшим проверку подлинности или доменным компьютерам , соответствует этим требованиям. Assigning this right to Authenticated Users or Domain Computers meets this requirement.

Источник

Adblock
detector