Сегодняшняя статья — заключительная часть темы настройки параметров безопасности серверов на базе Windows. Чтобы закрепить знания на практике, рекомендуем вам арендовать Windows-сервер на сайте http://www.datahouse.ru/price/msk_colocation и протестировать настройки на реальном сервере.
Последствия назначений разрешений (permissions) по умолчанию
У вас теперь есть четкое понимание разрешений (permissions) по умолчанию, назначаемых в Windows Server 2003. Давайте познакохмимся с некоторыми проблемами, с которыми вы, возможно, сталкиваетесь, используя эти параметры, заданные по умолчанию, и приложения своих пользователей.
Устаревшие приложения
Поскольку у членов группы «Пользователи» (Users) есть очень немного установленных по умолчанию разрешений (прав доступа), вы могли бы обнаружить, что они неспособны запускать более старые приложения, которые не были разработаны для среды Windows Server 2003. В частности, многие устаревшие приложения требуют больших разрешений (прав доступа) для ресурсов операционной системы, таких как системный реестр, чем предоставляются группе «Пользователи» (Users) по умолчанию. Одна из стратегий, которую вы можете использовать, чтобы разрешить эту проблему, должна добавить пользователей таких приложений к группе «Опытные пользователи» (Power Users).
[notification type=»notification_info» ]Примечание. Приложения, которые Microsoft определила как сертифицированные для работы с Windows Server 2003. гарантированно будут работать должным образом, даже если пользователь является членом только группы «Пользователи» (Users).[/notification]
В некоторых случаях вы, возможно, не захотите добавлять пользователей более старых приложений в группу «Опытные пользователи» (Power Users). Это типично, потому что вы не хотите дать им доступ к правам пользователей и разрешениям (rights and permissions) этой группы, например, предоставить им возможность создания новых локальных учетных записей пользователей. К сожалению, вы не сможете удалить права пользователей и разрешения (rights and permissions) из группы «Опытные пользователи» (Power Users). Вместо этого вы должны предоставлять необходимые права пользователей и разрешения (rights and permissions) на выполнение более старых приложений группе «Пользователи» (Users). Вы можете легко сделать это, применяя готовый шаблон безопасности compatws.inf к такому серверу путем использования групповой политики или утилиты командной строки Secedit.
Для применения шаблона безопасности compatws.inf к серверу:
1. Откройте окно ввода командной строки.
2. Введите: secedit /configure /cfg compatws.inf /db compatws.sdb.
Другие приложения
Независимо от того, сертифицировано ли приложение для Windows Server 2003, мы рекомендуем протестировать его до развертывания на настольных компьютерах своих пользователей. Поступая так, вы можете быстро проверить, работает ли приложение должным образом с разрешениями (permissions) безопасности по умолчанию. Чтобы протестировать приложение, выполните следующие задачи:
1. Войдите в систему как «Администратор».
2. Установите приложение.
3. Создайте неадминистративную учетную запись пользователя в случае необходимости.
4. Войдите как пользователь «не-Администратор» и проверьте, что приложение выполняется должньш образом.