Разрешить вход в качестве службы. Политики назначения прав пользователей
В предыдущих статьях, посвященных локальным политикам безопасности, вы узнали о принципах работы политик учетных записей и политик аудита. Владея приобретенными знаниями, вы можете значительно обезопасить учетные данные ваших пользователей и отслеживать попытки несанкционированного доступа. Стоит учесть, что пользователи не владеют достаточной базой знаний по обеспечению безопасности и даже у обычного пользователя может быть достаточно привилегий для нанесения ущерба своей системе и даже компьютерам в вашей интрасети. Избежать подобных проблем помогают локальные политики безопасности назначения прав пользователя, о чем, собственно, и пойдет речь в данной статье. При помощи политик назначения прав пользователя вы можете сами определить, для каких пользователей или групп пользователей будут предоставлены различные права и привилегии. Оперируя данными политиками, вы можете не волноваться за то, что пользователи будут выполнять действия, которые им делать не положено. Для назначения прав доступны 44 политики безопасности, о применении которых далее пойдет речь.
Политики назначения прав пользователей
Как говорилось выше, для назначения прав пользователей существует 44 политики безопасности. Далее вы сможете ознакомиться с восемнадцатью политиками безопасности, которые отвечают за назначение различных прав для пользователей или групп вашей организации.
- Архивация файлов и каталогов . При помощи данной политики вы можете указать пользователей или группы, предназначенные для выполнения операций резервного копирования файлов, каталогов, разделов реестра и других объектов, которые подлежат архивации. Данная политика предоставляет доступ для следующих разрешений:
- Обзор папок/Выполнение файлов
- Содержимое папки/Чтение данных
- Чтение атрибутов
- Чтение расширенных атрибутов
- Чтение разрешений
«Администраторы» и «Операторы архивации» , а на контроллерах домена – «Операторы архивации» и «Операторы сервера» .
На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Операторы архивации» , а на контроллерах домена – «Операторы архивации» и «Операторы сервера» .
По умолчанию, как на рабочих станциях, так и на контроллерах домена, данные привилегии предоставляются группам «Администраторы» и «Операторы архивации» .
По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.
По умолчанию, такими правами обладают только администраторы рабочих станций и контроллеров домена.
По умолчанию, все пользователи, прошедшие проверку подлинности, на контроллерах домена могут добавлять до десяти компьютеров.
По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.
На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Операторы архивации» , «Пользователи» и «Все» . На контроллерах домена – «Администраторы» , «Проверенные пользователи» , «Контроллеры домена предприятия» и «Все» .
На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» , «Операторы архивации» и «Пользователи» (только на рабочих станциях), а на контроллерах домена – «Администраторы» , «Операторы архивации» , «Операторы сервера» и «Операторы печати» .
На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» , а на контроллерах домена – «Администраторы» и «Операторы печати» .
По умолчанию, как на рабочих станциях, так и на контроллерах домена, данные привилегии предоставляются учетным записям «Сетевая служба» и «Локальная служба» .
По умолчанию, как на рабочих станциях, так и на серверах, всем разрешено входить в систему как клиенту удаленных рабочих столов.
По умолчанию всем пользователям разрешен вход в систему.
По умолчанию никому не разрешено изменять метки объектов.
На рабочих станциях и контроллерах домена, по умолчанию данные привилегии предоставляются группам «Администраторы» .
На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Локальная служба» , а на контроллерах домена – «Администраторы» , «Операторы сервера» и «Локальная служба» .
На рабочих станциях и контроллерах домена по умолчанию данные привилегии предоставляются группам «Администраторы» и «Пользователи» .
Применение политик назначение прав пользователей
В этом примере я расскажу, как можно назначить права для одной из групп вашей организации на контроллере домена. Выполните следующие действия:
Заключение
В данной статье мы продолжили изучение политик безопасности, а именно, узнали о политиках назначения прав пользователей. При помощи политик назначения прав пользователя вы можете сами определить, для каких пользователей или групп пользователей будут предоставлены различные права и привилегии. Подробно описаны 18 из 44 политик безопасности. На приведенном в статье примере вы также узнали о том, как можно применить данные политики в организации. В следующей статье вы узнаете политиках, управляющих журналами событий.
Тут ничего подробно расписывать не буду, да и не занимаюсь я администрированием сети, пусть лучше этим займется мастер своего дела - системный администратор.2. Блокируем начало сеансов
Запускаем консоль администрирования серверов 1С:Предприятие, открываем свойства информационной базы и устанавливаем галочку для свойства Блокировка начала сеансов включена . Учтите, что как только вы примените данное свойства, начало любых сеансов будет блокироваться, поэтому для выполнения следующего пункта конфигуратор должен быть запущен до применения свойства.3. Делаем резервную копию
Тут уж как вам душа велит. Как по мне, самый простой и надежный способ создания резервной копии - это выгрузка информационной базы через конфигуратор.4. Задаем локальные политики безопасности
Открываем консоль "Локальная политика безопасности" (в командной строке набираем secpol.msc). Переходим в раздел Локальные политики -> Назначение прав пользователя и добавляем доменного пользователя в политики (см. рисунок 1):- Вход в качестве пакетного задания (Log on as batch job) - обеспечивает функционирование Планировщика заданий без необходимости для пользователя лично заходить в компьютер под своей учетной записью;
- Вход в качестве службы (Log on as service) - позволяет запустить от имени пользователя какой-либо процесс как службу.
- Доступ к компьютеру из сети (Access this computer from the network) - пользователь имеет право подключаться к компьютеру из сети;
- Локальный вход в систем у (Allow log on locally) - пользователь имеет право запускать интерактивный сеанс на компьютере;
- Разрешить вход через службу удаленных рабочих столов (Allow log on through Remote Desktop Services) - пользователь имеет право входа в систему удаленного компьютера через подключение к службам удаленных рабочих столов.
5. Добавляем доменного пользователя в группы
Открываем консоль "Управление компьютером", переходим в раздел Служебные программы -> Локальные пользователи -> Пользователи и смотрим в каких группах состоит локальный пользователь от имени которого работает служба "Агент сервера 1С:Предприятие" (обычно это пользователь USR1CV8) (см. рисунок 2).В эти же группы добавляем доменного пользователя.
6. Запускаем агента от имени доменного пользователя
Открываем консоль "Службы", находим в списке службу "Агент сервера 1С:Предприятие" и открываем её свойства. На вкладке Общие останавливаем службу, на вкладке Вход в систему вместо локального пользователя указываем доменного (см. рисунок 3).Переходим обратно на вкладку Общие и запускаем службу. Если все правильно настроено, то служба стартует без проблем.
Вы можете сказать, что 2-ой и 3-й пункты избыточны, но лучше перебздеть, чем недобздеть. Инструкция справедлива не только для доменного пользователя, но и для локального.
При создании в планировщике windows задания и попытке его запустить выскакивает ошибка Данное задание требует, чтобы указанная учетная запись пользователя имела права вход в качестве пакетного задания. Дело в том что учетной записи от имени которой пытаюсь запустить не хватает прав.
Эта настройка безопасности позволяет пользователю входить в систему с помощью средства обработки пакетных заданий.
Например, если пользователь инициирует задание с помощью планировщика заданий, планировщик обеспечивает ему вход в систему как пакетному пользователю, а не как интерактивному.
Примечание
- В операционных системах Windows 2000 Server, Windows 2000 Professional, Windows XP Professional. и семейства Windows Server 2003 планировщик заданий автоматически предоставляет это право как обязательное.
Решить данную проблему можно либо в локальной либо в групповой политике прописать нужный параметр и дать нужному пользователю права по пути Учетной записи, от имени которой должно выполнятся задание, в "Локальной политике безопасности\Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя" должно быть выделено право "Вход в качестве пакетного задания" (В аноязычном интерфейсе будет в "Local policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\" выделятся "Log on as a batch job").
по умолчанию права в этой группе имеют Администраторы и Операторы архива, их не забудьте сюда добавить в групповой политике, а то затрете их права.