Параметры групповой политики в проверке подлинности Windows
В этом справочном разделе для ИТ-специалистов описывается использование и влияние параметров групповой политики в процессе проверки подлинности.
Вы можете управлять проверкой подлинности в операционных системах Windows, добавляя учетные записи пользователей, компьютеров и служб в группы, а затем применяя политики проверки подлинности к этим группам. Эти политики определяются как локальные политики безопасности и как административные шаблоны, также называемые параметрами групповой политики. Оба набора могут быть настроены и распределены по всей организации с помощью групповой политики.
Примечание.
Функции, представленные в Windows Server 2012 R2, позволяют настраивать политики проверки подлинности для целевых служб или приложений, часто называемых силосами проверки подлинности, с помощью защищенных учетных записей. Сведения о том, как это сделать в Active Directory, см. в разделе "Настройка защищенных учетных записей".
Например, можно применить следующие политики к группам на основе их функции в организации:
Вход локально или в домен
Вход через сеть
Сброс учетных записей
Создание учетных записей
В следующей таблице перечислены группы политик, относящиеся к проверке подлинности, а также ссылки на документацию, которая поможет вам настроить эти политики.
| Группа политик | Расположение | Description |
|---|---|---|
| Политика паролей | Политика локального компьютера\Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетной записи | Политики паролей влияют на характеристики и поведение паролей. Политики паролей используются для учетных записей домена или локальных учетных записей пользователей. Они определяют параметры паролей, например принудительное применение и время существования. Сведения о конкретных параметрах см. в разделе "Политика паролей". |
| Политика блокировки учетных записей | Политика локального компьютера\Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетной записи | Параметры политики блокировки учетных записей отключают учетные записи после заданного количества неудачных попыток входа. С помощью этих параметров можно обнаруживать и блокировать попытки разорвать пароли. Сведения о параметрах политики блокировки учетных записей см. в разделе "Политика блокировки учетных записей". |
| Политика Kerberos | Политика локального компьютера\Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетной записи | Параметры, связанные с Kerberos, включают время существования билета и правила принудительного применения. Политика Kerberos не применяется к локальным базам данных учетных записей, так как протокол проверки подлинности Kerberos не используется для проверки подлинности локальных учетных записей. Поэтому параметры политики Kerberos можно настроить только с помощью объекта групповой политики домена по умолчанию, в котором он влияет на вход в домен. Сведения о параметрах политики Kerberos для контроллера домена см. в статье "Политика Kerberos". |
| Политика аудита | Политика локального компьютера\Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Аудит политики | Политика аудита позволяет управлять доступом к объектам, таким как файлы и папки, а также управлять учетными записями пользователей и групп, а также входами пользователей и входами пользователей в систему. Политики аудита могут указать категории событий, которые требуется выполнить аудит, задать размер и поведение журнала безопасности, а также определить, какие объекты необходимо отслеживать и какой тип доступа требуется отслеживать. |
| Назначение прав пользователя | Политика локального компьютера\Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя | Права пользователей обычно назначаются на основе групп безопасности, к которым принадлежит пользователь, например администраторы, пользователи Power Users или Users. Параметры политики в этой категории обычно используются для предоставления или запрета доступа к компьютеру на основе метода доступа и членства в группах безопасности. |
| Параметры безопасности | Локальная политика компьютера\Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности | Политики, относящиеся к проверке подлинности, включают: -Приборы |
| Делегирование учетных данных | Конфигурация компьютера\Административные шаблоны\Делегирование систем\учетных данных | Делегирование учетных данных — это механизм, позволяющий использовать локальные учетные данные в других системах, в частности серверы-члены и контроллеры домена в домене. Эти параметры применяются к приложениям с помощью поставщика поддержки безопасности учетных данных (Cred SSP). Подключение к удаленному рабочему столу является примером. |
| KDC | Конфигурация компьютера\Административные шаблоны\System\KDC | Эти параметры политики влияют на то, как центр распространения ключей (KDC), являющийся службой на контроллере домена, обрабатывает запросы проверки подлинности Kerberos. |
| Kerberos | Конфигурация компьютера\Административные шаблоны\System\Kerberos | Эти параметры политики влияют на настройку Kerberos для поддержки утверждений, защиты Kerberos, составной проверки подлинности, идентификации прокси-серверов и других конфигураций. |
| Вход в систему | Конфигурация компьютера\Административные шаблоны\System\Logon | Эти параметры политики определяют, как система представляет интерфейс входа для пользователей. |
| Вход в сеть | Конфигурация компьютера\Административные шаблоны\Системный\Net Вход | Эти параметры политики определяют, как система обрабатывает запросы на вход в сеть, включая поведение указателя контроллера домена. Дополнительные сведения о том, как указатель контроллера домена помещается в процессы репликации, см. в разделе "Общие сведения о репликации между сайтами". |
| Биометрия | Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Биометрические данные | Эти параметры политики обычно разрешают или запрещают использование биометрических данных в качестве метода проверки подлинности. Дополнительные сведения о реализации биометрических данных Windows см. в обзоре Windows Biometric Framework. |
| Пользовательский интерфейс учетных данных | Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Пользовательский интерфейс учетных данных | Эти параметры политики определяют, как учетные данные управляются в точке входа. |
| Синхронизация паролей | Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Синхронизация паролей | Эти параметры политики определяют, как система управляет синхронизацией паролей между операционными системами под управлением Windows и UNIX. Дополнительные сведения см. в разделе "Синхронизация паролей". |
| Смарт-карта | Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Смарт-карта | Эти параметры политики управляют тем, как система управляет входами смарт-карт. |
| Параметры входа в Систему Windows | Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Параметры входа в Систему Windows | Эти параметры политики определяют, когда и как доступны возможности входа. |
| CTRL+ALT+DEL Параметры | Конфигурация компьютера\Административные шаблоны\Компоненты Windows\CTRL+ALT+DEL Параметры | Эти параметры политики влияют на внешний вид и специальные возможности для функций пользовательского интерфейса входа (Secure Desktop), таких как диспетчер задач и блокировка клавиатуры компьютера. |
| Вход в систему | Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Вход | Эти параметры политики определяют, могут ли процессы выполняться при входе пользователя. |