Security Configuration and Analysis MMC - Операционные системы M$

02.09.2003, 17:36

Поставил Security Configuration and Analysis MMC
создал базу данных на темлейтеsecuredc.inf все это на DC
сделал Analyze Comuter Now

B Security Configuration=>Account Policies=>Account lockout threshold в столбце Database Settings находится
5 invalid logons attempts а в столбце Computer Settings находится
0 invalid logon attempts

открываю Local Security Settings
ставлю Account Policies=>Account lockout threshold на 5 invalid logons attempts

то же самое значение ставлю в Domain Controller Security Settings

Снова в Security Configuration and Analysis MMC делаю Analyze Comuter Now и получаю тот же результат

B Security Configuration=>Account Policies=>Account lockout threshold в столбце Database Settings находится 5 invalid logons attempts а в столбце Computer Settings находится 0 invalid logon attempts

т.е. ничего не изменилось

Почему ?

ShooTer · 03.09.2003, 11:36

Пусть меня поправят,если что...Но мне кажется,что надо настраивать Domain Security Settings ,потому Domain Controler перенимает ети настойки.

03.09.2003, 12:22

ShooTer
и в
Local Security Settings
и в
Domain Controller Security Settings
стоят одинаковые значения
а
Security Configuration and Analysis MMC
по казывает другое (см пост от 02-09-2003)
так что и где настраивать ???

Dead Man · 03.09.2003, 15:25

Ты reload делал ? Да и не мешало бы описать , над чем все эксперементы ведудтся ?

03.09.2003, 17:17

Dead Man

нет reload не делал, а что объязательно нужно ???

Win 2000 Advanc Server, DHCP, DNS, AD
один сервер в сети на нем и эксперементы ставим

ShooTer · 03.09.2003, 17:20

NarcomBAT
1. Reload делать обязательно после изменений (правой кнопкой крысы Security Settings - там Reload)
2. между Domain Security Settings и Domain Controller Security Settings большая разница. Внимательно читай топик.

Dead Man · 03.09.2003, 17:34

NarcomBAT
И Reload не всегда проходит, так что проверяй, вступили в силу обновления или нет.

03.09.2003, 19:35

ShooTer

после reload все получилось

.
настроил через Domain Security Settings

Domain Security Settings
Domain Controller Security Settings
Local Security Setting
так что использовать только Domain Security Settings а с остальными как ???
не трогать их вообще ???

ShooTer · 03.09.2003, 19:51

NarcomBAT

Из назавния ты можеш сделать выводы,что к чему относится.

П.С. Если помогло -рад, голоса расдаются под аватаром.

03.09.2003, 20:23

ShooTer

Ok! помогло

я попробовал что б не reload
secedit /refreshpolicy machine_policy /enforce
не помогает хотя в логе пишет мол групповая политика применена успешно
Security policy in Group policy object are appllied successfuly event ID 1704

только вот к чему применена политика к
Domain Security Settings или
Domain Controller Security Settings или
Local Security Setting ???

ShooTer · 03.09.2003, 20:50

NarcomBAT
Так как Групповые Политики могут быть применены на различных уровнях, есть возможность того, что политика, примененная на каком-то уровне (сайт), будет конфликтовать с установленной на другом уровне (например, OU). А раз так, то очень важно понимать порядок, в котором Групповые Политики применяются. Он таков:

Local Policy – Site – Domain – OU

Значение этого очень важно и вы должны понимать это. Представьте, что вы являетесь членом OU называемой «Продажи», расположенной на сайте, называемом Таллинн. Все Групповые Политики сливаются вместе. Так, если политика на уровне сайта говорит, чтобы обои рабочего стола были зелеными, а политика уровня OU удаляет команду Run, в результате вы получите зеленые обои и отсутствие команды Run. Однако, если здесь будут противоречивые требования, то настройки действуют по старшинству. Представьте, что политика сайта удаляет команду Run, а политика OU устанавливает ее – вы получите присутствующую команду Run, так как политика на уровне OU применяется после политики на уровне сайта. Заметьте, что нет необходимости выхода из системы и возврата в нее для обновления большинства основных установок Групповых Политик в Windows 2000. Установки Групповых Политик автоматически обновляются на клиентской системе каждые 90 минут по умолчанию (с 30-минутным сдвигом).

Домены

Домен в Windows 2000 очень напоминает домен в Windows NT. Для различных намерений и целей, домен является логической группой пользователей и компьютеров (объектов), которые связаны как единица для администрирования и репликации. Прежде всего домен –это административная единица. Следовательно, администратор этого домена может его администрировать и для этого не нужен никто другой. Кроме того, все контроллеры одного домена должны осуществлять репликацию друг с другом. Мы ссылаемся на это как на топологию репликации. В Windows 2000 домены именуются в соответствии с соглашением об именовании DNS, а не именовании NetBIOS. Примером имени домена в Active Directory может быть 2000trainers.com. В Windows NT имели ограничения по величине, до которой они могли увеличиваться и этот размер ограничивался допустимым размером базы данных SAM (40 Мб или около того). Поэтому приходилось создавать множества доменов в компании, в которой действовали тысячи пользователей и компьютеров. Теперь же множество доменов не являются необходимостью в подобном сценарии под Windows 2000, так как Active Directory может вместить в себя многие миллионы объектов. Учетные записи пользователей в Windows 2000 существуют так же как и в Windows NT.

Контроллеры доменов

Конечно, у вас не может быть домена без по крайней мере одного контроллера домена, ведь где-то же должна храниться база данных Active Directory. В отличие от Windows NT, где была только одна копия базы, позволяющая делать запись (хранящаяся на PDC; копии, хранящиеся на BDC имели атрибут «только для чтения»), в Windows 2000 каждый контроллер домена имеет копию базы данных Active Directory, в которую можно производить запись. Поэтому все контроллеры домена в среде Active Directory достаточно равноправны. Однако, это усложняет картину, так как теперь каждый контроллер домена может делать записи в базу данных. Как и в NT 4, у вас должно быть как минимум два контроллера в домене для целей избыточности, а, как правило, и гораздо больше, в зависимости от размера организации.

Раздел «домен» реплицируется между контроллерами только внутри одного домена, в то время как разделы «конфигурация» и «схема» реплицируются в каждый из доменов, расположенных в лесу.

04.09.2003, 13:34

ShooTer

Спасибо будет над чем подумать

ShooTer · 04.09.2003, 18:36

NarcomBAT
Читай литературу про AD и вообше про Windows 2000 Server.

02.09.2003, 17:36	# 1
NarcomBAT Guest Сообщения: n/a	Security Configuration and Analysis MMC Поставил Security Configuration and Analysis MMC создал базу данных на темлейтеsecuredc.inf все это на DC сделал Analyze Comuter Now B Security Configuration=>Account Policies=>Account lockout threshold в столбце Database Settings находится 5 invalid logons attempts а в столбце Computer Settings находится 0 invalid logon attempts открываю Local Security Settings ставлю Account Policies=>Account lockout threshold на 5 invalid logons attempts то же самое значение ставлю в Domain Controller Security Settings Снова в Security Configuration and Analysis MMC делаю Analyze Comuter Now и получаю тот же результат B Security Configuration=>Account Policies=>Account lockout threshold в столбце Database Settings находится 5 invalid logons attempts а в столбце Computer Settings находится 0 invalid logon attempts т.е. ничего не изменилось Почему ?

03.09.2003, 11:36	# 2
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	Пусть меня поправят,если что...Но мне кажется,что надо настраивать Domain Security Settings ,потому Domain Controler перенимает ети настойки. __________________ "That vulnerability is completely theoretical."

03.09.2003, 15:25	# 4
Dead Man Administrator Регистрация: 03.06.2002 Адрес: R.I.P Сообщения: 4 424	Ты reload делал ? Да и не мешало бы описать , над чем все эксперементы ведудтся ? __________________ Когда я поднимался по лестнице, я встретил человека которого там не было, его и сегодня там не было. Хоть бы он ушёл...

03.09.2003, 17:20	# 6
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	NarcomBAT 1. Reload делать обязательно после изменений (правой кнопкой крысы Security Settings - там Reload) 2. между Domain Security Settings и Domain Controller Security Settings большая разница. Внимательно читай топик. __________________ "That vulnerability is completely theoretical."

03.09.2003, 17:34	# 7
Dead Man Administrator Регистрация: 03.06.2002 Адрес: R.I.P Сообщения: 4 424	NarcomBAT И Reload не всегда проходит, так что проверяй, вступили в силу обновления или нет. __________________ Когда я поднимался по лестнице, я встретил человека которого там не было, его и сегодня там не было. Хоть бы он ушёл...

03.09.2003, 12:22	# 3
NarcomBAT Guest Сообщения: n/a	ShooTer и в Local Security Settings и в Domain Controller Security Settings стоят одинаковые значения а Security Configuration and Analysis MMC по казывает другое (см пост от 02-09-2003) так что и где настраивать ???

03.09.2003, 17:17	# 5
NarcomBAT Guest Сообщения: n/a	Dead Man нет reload не делал, а что объязательно нужно ??? Win 2000 Advanc Server, DHCP, DNS, AD один сервер в сети на нем и эксперементы ставим

03.09.2003, 19:35	# 8
NarcomBAT Guest Сообщения: n/a	ShooTer после reload все получилось . настроил через Domain Security Settings Domain Security Settings Domain Controller Security Settings Local Security Setting так что использовать только Domain Security Settings а с остальными как ??? не трогать их вообще ???

03.09.2003, 19:51	# 9
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	NarcomBAT Из назавния ты можеш сделать выводы,что к чему относится. П.С. Если помогло -рад, голоса расдаются под аватаром. __________________ "That vulnerability is completely theoretical."

03.09.2003, 20:23	# 10
NarcomBAT Guest Сообщения: n/a	ShooTer Ok! помогло я попробовал что б не reload secedit /refreshpolicy machine_policy /enforce не помогает хотя в логе пишет мол групповая политика применена успешно Security policy in Group policy object are appllied successfuly event ID 1704 только вот к чему применена политика к Domain Security Settings или Domain Controller Security Settings или Local Security Setting ???

03.09.2003, 20:50	# 11
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	NarcomBAT Так как Групповые Политики могут быть применены на различных уровнях, есть возможность того, что политика, примененная на каком-то уровне (сайт), будет конфликтовать с установленной на другом уровне (например, OU). А раз так, то очень важно понимать порядок, в котором Групповые Политики применяются. Он таков: Local Policy – Site – Domain – OU Значение этого очень важно и вы должны понимать это. Представьте, что вы являетесь членом OU называемой «Продажи», расположенной на сайте, называемом Таллинн. Все Групповые Политики сливаются вместе. Так, если политика на уровне сайта говорит, чтобы обои рабочего стола были зелеными, а политика уровня OU удаляет команду Run, в результате вы получите зеленые обои и отсутствие команды Run. Однако, если здесь будут противоречивые требования, то настройки действуют по старшинству. Представьте, что политика сайта удаляет команду Run, а политика OU устанавливает ее – вы получите присутствующую команду Run, так как политика на уровне OU применяется после политики на уровне сайта. Заметьте, что нет необходимости выхода из системы и возврата в нее для обновления большинства основных установок Групповых Политик в Windows 2000. Установки Групповых Политик автоматически обновляются на клиентской системе каждые 90 минут по умолчанию (с 30-минутным сдвигом). Домены Домен в Windows 2000 очень напоминает домен в Windows NT. Для различных намерений и целей, домен является логической группой пользователей и компьютеров (объектов), которые связаны как единица для администрирования и репликации. Прежде всего домен –это административная единица. Следовательно, администратор этого домена может его администрировать и для этого не нужен никто другой. Кроме того, все контроллеры одного домена должны осуществлять репликацию друг с другом. Мы ссылаемся на это как на топологию репликации. В Windows 2000 домены именуются в соответствии с соглашением об именовании DNS, а не именовании NetBIOS. Примером имени домена в Active Directory может быть 2000trainers.com. В Windows NT имели ограничения по величине, до которой они могли увеличиваться и этот размер ограничивался допустимым размером базы данных SAM (40 Мб или около того). Поэтому приходилось создавать множества доменов в компании, в которой действовали тысячи пользователей и компьютеров. Теперь же множество доменов не являются необходимостью в подобном сценарии под Windows 2000, так как Active Directory может вместить в себя многие миллионы объектов. Учетные записи пользователей в Windows 2000 существуют так же как и в Windows NT. Контроллеры доменов Конечно, у вас не может быть домена без по крайней мере одного контроллера домена, ведь где-то же должна храниться база данных Active Directory. В отличие от Windows NT, где была только одна копия базы, позволяющая делать запись (хранящаяся на PDC; копии, хранящиеся на BDC имели атрибут «только для чтения»), в Windows 2000 каждый контроллер домена имеет копию базы данных Active Directory, в которую можно производить запись. Поэтому все контроллеры домена в среде Active Directory достаточно равноправны. Однако, это усложняет картину, так как теперь каждый контроллер домена может делать записи в базу данных. Как и в NT 4, у вас должно быть как минимум два контроллера в домене для целей избыточности, а, как правило, и гораздо больше, в зависимости от размера организации. Раздел «домен» реплицируется между контроллерами только внутри одного домена, в то время как разделы «конфигурация» и «схема» реплицируются в каждый из доменов, расположенных в лесу. __________________ "That vulnerability is completely theoretical."

04.09.2003, 13:34	# 12
NarcomBAT Guest Сообщения: n/a	ShooTer Спасибо будет над чем подумать

04.09.2003, 18:36	# 13
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	NarcomBAT Читай литературу про AD и вообше про Windows 2000 Server. __________________ "That vulnerability is completely theoretical."