Чтобы не применять шаблоны безопасности на каждом компьютере по отдельности, можно посредством групповой политики развернуть их на нескольких компьютеров. Для этого необходимо импортировать шаблон безопасности в объект групповой политики (GPO), обрабатываемый компьютерами, к которым должен быть применен шаблон. После обновления политики все компьютеры, находящиеся в сфере действия GPO, получат требуемые параметры безопасности.
Шаблоны безопасности применимы только к узлу групповой политики Конфигурация компьютера (Computer Configuration). Прежде чем развернуть параметры безопасности, обратите особое внимание на структуру доменов и подразделений организации. При необходимости внесите изменения, гарантирующие применение параметров безопасности только к нужным компьютерам. По сути, это означает, что вам потребуется создать подразделения для различных типов компьютеров организации, а затем переместить в них учетные записи этих компьютеров. Затем вы создадите GPO и свяжете его с нужными подразделениями. Типичный набор подразделений выглядит примерно так:
• Контроллеры домена Подразделение для контроллеров домена; создается в домене автоматически.
• Защищенные рядовые серверы Подразделение для серверов, требующих уровня безопасности выше обычного.
• Рядовые серверы Подразделение для серверов с обычными параметрами безопасности.
• Защищенные рабочие станции Подразделение для рабочих станций, требующих уровня безопасности выше обычного.
• Рабочие станции Подразделение для рабочих станций с обычными параметрами безопасности.
• Компьютеры удаленного доступа Подразделение для компьютеров, пользующихся удаленным доступом к сети организации.
• Компьютеры с ограниченным доступом Подразделение для компьютеров, требующих ограничений по параметрам безопасности, например, для компьютеров в учебных аудиториях или лабораториях.
Чтобы развернуть шаблон безопасности в GPO компьютера, выполните следующие действия:
1. Настройте и протестируйте шаблон безопасности. Убедившись, что он вам подходит, откройте специально созданный GPO, связанный с определенным уровнем структуры Active Directory. В редакторе политики откройте узел Конфигурация компьютера\Конфигурация Windows\ Параметры безопасности (Computer Configuration\Windows Settings\ Security Settings).
2. Щелкните правой кнопкой узел Параметры безопасности (Security Settings) и выберите, в контекстном меню команду Импорт политики (Import Policy).
3. В диалоговом окне Импорт политики из (Import Policy From) выберите шаблон безопасности и щелкните Открыть (Open).
4. Убедившись, что импорт параметров прошел без неожиданностей, и проверив настройку параметров безопасности, закройте редактор политики. Повторите этот процесс для каждого шаблона безопасности и настроенного GPO компьютера. При стандартной конфигурации групповой политики передача параметров безопасности компьютерам организации произойдет в течение полутора-двух часов.
