Как отключить встроенную учетную запись Администратор с помощью групповой политики (GPO) в windows server 2008R2/2012R2
Как отключить встроенную учетную запись Администратор с помощью групповой политики (GPO) в windows server 2008R2/2012R2
Ранее мы научились как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 / 2012R2. Делали мы это для большей безопасности, так как логин вашего администратора злоумышленикам узнать гораздо сложнее, а вот логин Администратор, тот что встроенный знают все поэтому его нужно отключить, когда у вас 5 компьютеров все замечательно пробежался и все, а если 500, то тут либо скрипт либо самое правильное, это создать групповую политику, этим мы и займемся.
Идем в управление групповой политикой
Как отключить встроенную учетную запись Администратор с помощью групповой политики (GPO) в windows server 2008R2-2012R2-01
Создаем новый объект групповой политики и линуем его на нужном уровне.
Как отключить встроенную учетную запись Администратор с помощью групповой политики (GPO) в windows server 2008R2-2012R2-02
Задаем понятное имя
Как отключить встроенную учетную запись Администратор с помощью групповой политики (GPO) в windows server 2008R2-2012R2-03
После создания, давайте ее настроим щелкаем правым кликом изменить
Как отключить встроенную учетную запись Администратор с помощью групповой политики (GPO) в windows server 2008R2-2012R2-04
Идем Конфигурация компьютера-конфигурация windows-Параметры безопасности-Локальные политики-Параметры-Учетные записи: Состояние учетной записи Администратор.
Как отключить встроенную учетную запись Администратор с помощью групповой политики (GPO) в windows server 2008R2-2012R2-05
Заходим в параметр и задаем Отключен.
Как отключить встроенную учетную запись Администратор с помощью групповой политики (GPO) в windows server 2008R2-2012R2-06
Идем на любой компьютер, где мы хотели отключить учетную запись Администратора. Смотрим, что сейчас учетка включена.
Как отключить встроенную учетную запись Администратор с помощью групповой политики (GPO) в windows server 2008R2-2012R2-07
Обновляем принудительно групповую политику. Открываем cmd и пишем gpupdate /force
Как отключить встроенную учетную запись Администратор с помощью групповой политики (GPO) в windows server 2008R2-2012R2-08
И видим, что учетка Администратор отключена.
Управление групповыми политиками Active Directory (AD GPO)
В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.
Виртуальный сервер на базе Windows
- Лицензия включена в стоимость
- Тестирование 3-5 дней
- Безлимитный трафик
Что такое групповые политики и зачем они нужны?
Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.
Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.
Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу. Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды. С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.
Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.
Компоненты GPO
Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.
Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики. MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее). Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.
Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.
Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Установка и обновление ПО.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.
Оснастка Управление групповыми политиками
После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:
Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.
Оснастка выглядит следующим образом:
Создание объектов групповой политики
Для создания объекта групповой политики перейдите во вкладку Forest -> Domains -> -> Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.
В открывшемся окне в поле Name введите удобное для вас имя групповой политики.
После этого вы увидите созданный объект в списке.
Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.
В редакторе групповых политик перейдите по иерархии User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.
В открывшемся окне отметьте Enable для включения правила и при необходимости напишите комментарий. Нажмите OK для сохранения изменений.
На этом создание объекта групповой политики закончено.
Поиск объектов групповой политики
Как правило в корпоративных средах большое количество объектов GPO, чтобы было проще найти нужный, оснастка обладает встроенным поиском. Для этого выберете ваш лес и в контекстном меню кликните Search.
Открывшееся окно поиска интуитивно понятно для работы. В первую очередь выберете конкретный домен для поиска, также можно производить поиск во всех доменах сразу. Далее выберете нужный пункт поиска, задайте условие и значение. В примере ниже производился поиск объектов групповой политики, в которых встречается слово Default.
Удаление объекта групповой политики
Если экземпляр GPO больше не нужен, его можно удалить. Выберете объект для удаления и с помощью правой кнопки мыши выберете опцию Delete.
Управление локальными групповыми политиками
В инструкции описана процедура настройки и управления локальными групповыми политиками сервера Windows.
Что это такое?
Объект групповой политики является компонентом групповой политики, который используется в системах Microsoft для управления учетными записями пользователей и действиями пользователя. Редактор локальной групповой политики — это оснастка Microsoft Management Console (MMC), которая обеспечивает единый пользовательский интерфейс, с помощью которого можно управлять локальными групповыми политиками.
В редакторе локальной групповой политики администратор может редактировать локальные GPO, пользовательские настройки и определять сценарии для определенных задач и процессов.
О том как настроить GPO в домене Active Directory читайте инструкцию:
Управление групповыми политиками Active Directory (AD GPO)
Открытие редактора групповой политики Windows
Чтобы открыть консоль управления GP (Group Policy) откройте окно Run с помощью комбинации клавиш Win+R, в открывшемся окне введите:
В результате перед вами откроется редактор GP.
Использование локальных групповых политик
Пример 1 Настройка запрета установки программ для пользователей
Откройте редактор GPO, в древовидной структур найдите Computer Configuration → Administrative Templates → Windows Components → Windows Installer . В правой части окна выберете Prohibit User Installs. С помощью двойного щелчка мыши откройте настройки.
В открывшемся окне выберете опцию Enabled, а в выпадающем списке Hide User Installs. В результате пользователей сервера пропадет возможность установки приложений и программ без прав администратора.
Пример 2 Настройка запрета запуска программ для пользователей
Откройте редактор GP, в древовидной структур найдите User Configuration → Administrative Templates → System . В правой части окна выберете Don’t run spicified Windows Applications. С помощью двойного щелчка мыши откройте настройки политики.
В открывшемся окне выберете опцию Enabled, а и нажмите кнопку Show. В открывшийся список введите приложения, запуск которых будет запрещен для пользователя от имени которого производятся настройки.