Configure security policy settings

Applies to

Describes steps to configure a security policy setting on the local device, on a domain-joined device, and on a domain controller.

You must have Administrators rights on the local device, or you must have the appropriate permissions to update a Group Policy Object (GPO) on the domain controller to perform these procedures.

When a local setting is inaccessible, it indicates that a GPO currently controls that setting.

To configure a setting using the Local Security Policy console

To open Local Security Policy, on the Start screen, type secpol.msc, and then press ENTER.

Under Security Settings of the console tree, do one of the following:

• Click Account Policies to edit the Password Policy or Account Lockout Policy.
• Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.

When you find the policy setting in the details pane, double-click the security policy that you want to modify.

Modify the security policy setting, and then click OK.

• Some security policy settings require that the device be restarted before the setting takes effect.
• Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

To configure a security policy setting using the Local Group Policy Editor console

You must have the appropriate permissions to install and use the Microsoft Management Console (MMC), and to update a Group Policy Object (GPO) on the domain controller to perform these procedures.

Open the Local Group Policy Editor (gpedit.msc).

In the console tree, click Computer Configuration, click Windows Settings, and then click Security Settings.

Do one of the following:

• Click Account Policies to edit the Password Policy or Account Lockout Policy.
• Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.

In the details pane, double-click the security policy setting that you want to modify.

В If this security policy has not yet been defined, select the Define these policy settings check box.

Modify the security policy setting, and then click OK.

If you want to configure security settings for many devices on your network, you can use the Group Policy Management Console.

To configure a setting for a domain controller

The following procedure describes how to configure a security policy setting for only a domain controller (from the domain controller).

To open the domain controller security policy, in the console tree, locate GroupPolicyObject [ComputerName] Policy, click Computer Configuration, click Windows Settings, and then click Security Settings.

Do one of the following:

• Double-click Account Policies to edit the Password Policy, Account Lockout Policy, or Kerberos Policy.
• Click Local Policies to edit the Audit Policy, a User Rights Assignment, or Security Options.

In the details pane, double-click the security policy that you want to modify.

В If this security policy has not yet been defined, select the Define these policy settings check box.

Modify the security policy setting, and then click OK.

• Always test a newly created policy in a test organizational unit before you apply it to your network.
• When you change a security setting through a GPO and click OK, that setting will take effect the next time you refresh the settings.

Настройка групповых политик для настройки безопасности для системных служб

В этой статье описывается настройка групповых политик для настройки безопасности для системных служб.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 324802

Аннотация

В этой статье описывается использование групповой политики для установки безопасности системных служб для подразделения в Windows Server 2003.

При реализации безопасности в системных службах можно контролировать, кто может управлять службами на рабочей станции, рядовом сервере или контроллере домена. В настоящее время единственный способ изменить системную службу — это с помощью параметра компьютера групповой политики.

Если вы реализуете групповую политику в качестве политики домена по умолчанию, она применяется к всем компьютерам в домене. Если вы реализуете групповую политику в качестве политики контроллеров домена по умолчанию, она применяется только к серверам в подразделении контроллера домена. Можно создать подразделения, содержащие компьютеры рабочих станций, к которым можно применять политики. В этой статье описываются действия по реализации групповой политики в подразделении для изменения разрешений для системных служб.

Назначение разрешений системной службы

Нажмите кнопку «Начните», найдите пункт «Администрирование» и выберите «Пользователи и компьютеры Active Directory».

Щелкните правой кнопкой мыши домен, в который нужно добавить подразделение, выберите пункт «Новый», а затем щелкните «Подразделение».

Введите имя подразделения в поле «Имя» и нажмите кнопку «ОК».

Новое подразделение указано в дереве консоли.

Щелкните правой кнопкой мыши созданное подразделение и выберите «Свойства».

Перейдите на вкладку «Групповая политика» и выберите «Новый». Введите имя нового объекта групповой политики (например, используйте имя подразделения, для которого он реализован) и нажмите ввод.

Щелкните новый объект групповой политики в списке ссылок на объекты групповой политики (если он еще не выбран) и нажмите кнопку «Изменить».

Разойдите «Конфигурация компьютера», «Параметры Windows», «Параметры безопасности» и выберите «Системные службы».

В правой области дважды щелкните службу, к которой необходимо применить разрешения.

Отображается параметр политики безопасности для конкретной службы.

Щелкните, чтобы установить этот параметр политики.

Нажмите кнопку «Изменить безопасность».

Предоставление необходимых разрешений учетным записям пользователей и группам, а затем нажмите кнопку «ОК».

В режиме запуска выберите нужный режим запуска и нажмите кнопку «ОК».

Закроем редактор объектов групповой политики, нажмите кнопку «ОК», а затем закроете средство «Пользователи и компьютеры Active Directory».

Необходимо переместить учетные записи компьютеров, которые необходимо управлять, в подразделение. После того как учетные записи компьютеров будут содержаться в подразделении, авторизованный пользователь или группы смогут управлять службой.

Настройка параметров политики безопасности Configure security policy settings

Область применения Applies to

Описание действий по настройке параметра политики безопасности на локальном устройстве, на устройстве, которое присоединилось к домену, и на контроллере домена. Describes steps to configure a security policy setting on the local device, on a domain-joined device, and on a domain controller.

Для выполнения этих процедур необходимы права администраторов на локальном устройстве или соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена. You must have Administrators rights on the local device, or you must have the appropriate permissions to update a Group Policy Object (GPO) on the domain controller to perform these procedures.

Если локальный параметр недоступен, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is inaccessible, it indicates that a GPO currently controls that setting.

Настройка параметра с помощью консоли «Локализованная политика безопасности» To configure a setting using the Local Security Policy console

Чтобы открыть локализованную политику безопасности, на экране «Начните» введите secpol.mscи нажмите ввод. To open Local Security Policy, on the Start screen, type secpol.msc, and then press ENTER.

В области «Параметры безопасности» дерева консоли сделайте одно из следующих параметров: Under Security Settings of the console tree, do one of the following:

• Щелкните «Политики учетных записей», чтобы изменить политику паролей или политику блокировки учетных записей. Click Account Policies to edit the Password Policy or Account Lockout Policy.
• Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности. Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.

При нажатии параметра политики в области сведений дважды щелкните политику безопасности, которую необходимо изменить. When you find the policy setting in the details pane, double-click the security policy that you want to modify.

Измените параметр политики безопасности и нажмите кнопку «ОК». Modify the security policy setting, and then click OK.

• Некоторые параметры политики безопасности требуют перезапуска устройства до того, как параметр вступает в силу. Some security policy settings require that the device be restarted before the setting takes effect.
• Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Настройка параметра политики безопасности с помощью консоли редактора локальных групповых политик To configure a security policy setting using the Local Group Policy Editor console

Для выполнения этих процедур необходимы соответствующие разрешения для установки и использования консоли управления (MMC) и обновления объекта групповой политики (GPO) на контроллере домена. You must have the appropriate permissions to install and use the Microsoft Management Console (MMC), and to update a Group Policy Object (GPO) on the domain controller to perform these procedures.

Откройте редактор локальных групповых политик (gpedit.msc). Open the Local Group Policy Editor (gpedit.msc).

В дереве консоли щелкните «Конфигурация компьютера», «Параметры Windows» и выберите «Параметры безопасности». In the console tree, click Computer Configuration, click Windows Settings, and then click Security Settings.

Выполните одно из следующих действий. Do one of the following:

• Щелкните «Политики учетных записей», чтобы изменить политику паролей или политику блокировки учетных записей. Click Account Policies to edit the Password Policy or Account Lockout Policy.
• Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности. Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.

В области сведений дважды щелкните параметр политики безопасности, который необходимо изменить. In the details pane, double-click the security policy setting that you want to modify.

Если эта политика безопасности еще не определена, выберите этот параметр. If this security policy has not yet been defined, select the Define these policy settings check box.

Измените параметр политики безопасности и нажмите кнопку «ОК». Modify the security policy setting, and then click OK.

Если вы хотите настроить параметры безопасности для многих устройств в сети, можно использовать консоль управления групповыми политиками. If you want to configure security settings for many devices on your network, you can use the Group Policy Management Console.

Настройка параметра для контроллера домена To configure a setting for a domain controller

В следующей процедуре описывается настройка параметра политики безопасности только для контроллера домена (из контроллера домена). The following procedure describes how to configure a security policy setting for only a domain controller (from the domain controller).

Чтобы открыть политику безопасности контроллера домена, в дереве консоли найдите политику GroupPolicyObject [Имя компьютера], выберите «Конфигурация компьютера»,«Параметры Windows» и «Параметры безопасности». **** To open the domain controller security policy, in the console tree, locate GroupPolicyObject [ComputerName] Policy, click Computer Configuration, click Windows Settings, and then click Security Settings.

Выполните одно из следующих действий. Do one of the following:

• Дважды щелкните «Политики учетных записей», **** чтобы изменить политику паролей, **** политику блокировки учетных записей или политику Kerberos. Double-click Account Policies to edit the Password Policy, Account Lockout Policy, or Kerberos Policy.
• Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности. Click Local Policies to edit the Audit Policy, a User Rights Assignment, or Security Options.

В области сведений дважды щелкните политику безопасности, которую необходимо изменить. In the details pane, double-click the security policy that you want to modify.

Если эта политика безопасности еще не определена, выберите этот параметр. If this security policy has not yet been defined, select the Define these policy settings check box.

Измените параметр политики безопасности и нажмите кнопку «ОК». Modify the security policy setting, and then click OK.

• Всегда проверяйте созданную политику в тестовом подразделении, прежде чем применять ее к сети. Always test a newly created policy in a test organizational unit before you apply it to your network.
• При изменении параметра безопасности с **** помощью GPO и нажатии кнопки «ОК» этот параметр вступает в силу при следующем обновлении параметров. When you change a security setting through a GPO and click OK, that setting will take effect the next time you refresh the settings.