search

Qual componente de controle de acesso implementação ou protocolo controla quem tem permissão para acessar uma rede?

1 anos atrás
Comentários: 0
Visualizações: 12

Determina se administradores e operadores de configuração de rede podem alterar as propriedades de componentes usados por uma conexão de rede local.

Show

Essa configuração determina se o botão Propriedades dos componentes de uma conexão de rede local está habilitado.

Se você habilitar essa configuração (e habilitar a configuração "Habilitar Configurações de Conexões de Rede para Administradores"), o botão Propriedades será desabilitado para administradores. Os operadores de configuração de rede são proibidos de acessar componentes de conexão, independentemente da configuração "Habilitar Configurações de Conexões de Rede para Administradores".

Importante: se "Habilitar Configurações de Conexões de Rede para Administradores" for desabilitada ou não for configurada, essa configuração não será aplicada aos administradores em computadores com versões posteriores ao Windows 2000.

Se você desabilitar essa configuração ou não a definir, o botão Propriedades será habilitado para administradores e operadores de configuração de rede.

A caixa de diálogo Propriedades de Conexão de Rede Local contém uma lista dos componentes de rede usados pela conexão. Para exibir ou alterar as propriedades de um componente, clique no nome do componente e no botão Propriedades abaixo da lista de componentes.

Observação: nem todos os componentes de rede têm propriedades configuráveis. Para componentes que não são configuráveis, o botão Propriedades está sempre desabilitado.

Observação: quando a configuração "Proibir o acesso a propriedades de uma conexão de rede local" é habilitada, os usuários têm o acesso bloqueado ao botão Propriedades para componentes de conexões de rede local.

Observação: os operadores de configuração de rede têm permissão apenas para alterar propriedades TCP/IP. As propriedades de todos os outros componentes não estão disponíveis para esses usuários.

Observação: usuários que não são administradores são proibidos de acessar as propriedades de componentes para uma conexão de rede local, independentemente desta configuração.

Suporte em: Somente os sistemas operacionais Microsoft Windows Server 2003, Windows XP e Windows 2000 Service Pack 1

Registry Hive HKEY_CURRENT_USER
Registry Path Software\Policies\Microsoft\Windows\Network Connections
Value Name NC_LanChangeProperties
Value Type REG_DWORD
Enabled Value 0
Disabled Value 1

networkconnections.admx

Avançar para o conteúdo principal

Não há mais suporte para esse navegador.

Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes.

Configurações de política de segurança

  • Artigo
  • 07/26/2022
  • 26 minutos para o fim da leitura

Neste artigo

Aplicável ao

  • Windows 10
  • Windows 11

Este tópico de referência descreve os cenários, arquitetura e processos comuns para configurações de segurança.

As configurações de política de segurança são regras que os administradores configuram em um computador ou em vários dispositivos para proteger recursos em um dispositivo ou rede. A extensão De configurações de segurança do snap-in editor local Política de Grupo permite definir configurações de segurança como parte de um GPO (objeto Política de Grupo). Os GPOs são vinculados a contêineres do Active Directory, como sites, domínios ou unidades organizacionais, e permitem que você gerencie configurações de segurança para vários dispositivos de qualquer dispositivo ingressado no domínio. As políticas de configurações de segurança são usadas como parte de sua implementação geral de segurança para ajudar a proteger controladores de domínio, servidores, clientes e outros recursos em sua organização.

As configurações de segurança podem controlar:

  • Autenticação de usuário em uma rede ou dispositivo.
  • Os recursos que os usuários têm permissão para acessar.
  • Se as ações de um usuário ou grupo devem ser registradas no log de eventos.
  • Associação em um grupo.

Para gerenciar configurações de segurança para vários dispositivos, você pode usar uma das seguintes opções:

  • Edite configurações de segurança específicas em um GPO.
  • Use o snap-in Modelos de Segurança para criar um modelo de segurança que contenha as políticas de segurança que você deseja aplicar e importe o modelo de segurança para um objeto Política de Grupo segurança. Um modelo de segurança é um arquivo que representa uma configuração de segurança e pode ser importado para um GPO, aplicado a um dispositivo local ou usado para analisar a segurança.

Para obter mais informações sobre como gerenciar configurações de segurança, consulte Administrar configurações de política de segurança.

A extensão Configurações de Segurança do Editor de Política de Grupo Local inclui os seguintes tipos de políticas de segurança:

  • Políticas de Conta. Essas políticas são definidas em dispositivos; eles afetam como as contas de usuário podem interagir com o computador ou domínio. As políticas de conta incluem os seguintes tipos de políticas:

    • Política de Senha. Essas políticas determinam as configurações de senhas, como imposição e tempos de vida. As políticas de senha são usadas para contas de domínio.
    • Política de Bloqueio de Conta. Essas políticas determinam as condições e o período de tempo em que uma conta será bloqueada para fora do sistema. As políticas de bloqueio de conta são usadas para contas de usuário local ou de domínio.
    • Política Kerberos. Essas políticas são usadas para contas de usuário de domínio; eles determinam configurações relacionadas a Kerberos, como tempos de vida de tíquete e imposição.

  • Políticas locais. Essas políticas se aplicam a um computador e incluem os seguintes tipos de configurações de política:

    • Política de Auditoria. Especifique as configurações de segurança que controlam o log de eventos de segurança no log de segurança no computador e especifique quais tipos de eventos de segurança registrar (êxito, falha ou ambos).

      Observação

      Para dispositivos que executam o Windows 7 e posterior, recomendamos usar as configurações em Configuração Avançada de Política de Auditoria em vez das configurações de Política de Auditoria em Políticas Locais.

    • Atribuição de Direitos de Usuário. Especificar os usuários ou grupos que têm direitos ou privilégios de entrada em um dispositivo

    • Opções de segurança. Especifique as configurações de segurança para o computador, como nomes de administrador e conta de convidado; acesso a unidades de disquete e unidades de CD-ROM; instalação de drivers; prompts de entrada; e assim por diante.

  • Firewall do Windows com Segurança Avançada. Especifique as configurações para proteger o dispositivo em sua rede usando um firewall com estado que permite determinar qual tráfego de rede tem permissão para passar entre o dispositivo e a rede.

  • Políticas do Gerenciador de Lista de Rede. Especifique as configurações que você pode usar para definir diferentes aspectos de como as redes são listadas e exibidas em um dispositivo ou em muitos dispositivos.

  • Políticas de Chave Pública. Especifique as configurações para controlar a criptografia de sistema de arquivos, proteção de dados e criptografia de unidade do BitLocker, além de determinadas configurações de serviços e caminhos de certificado.

  • Políticas de restrição de software. Especifique as configurações para identificar o software e controlar sua capacidade de execução em seu dispositivo local, unidade organizacional, domínio ou site.

  • Políticas de Controle de Aplicativo. Especifique as configurações para controlar quais usuários ou grupos podem executar aplicativos específicos em sua organização com base em identidades exclusivas de arquivos.

  • Políticas de segurança de IP no computador local. Especifique configurações para garantir comunicações privadas e seguras em redes IP usando serviços de segurança criptográfica. O IPsec estabelece a confiança e a segurança de um endereço IP de origem para um endereço IP de destino.

  • Configuração avançada da Política de Auditoria. Especifique as configurações que controlam o registro em log de eventos de segurança no log de segurança no dispositivo. As configurações em Configuração Avançada de Política de Auditoria fornecem um controle mais refinado sobre quais atividades monitorar em vez das configurações da Política de Auditoria em Políticas Locais.

Gerenciamento de configurações de segurança baseadas em políticas

A extensão configurações de segurança Política de Grupo fornece uma infraestrutura de gerenciamento integrada baseada em políticas para ajudá-lo a gerenciar e impor suas políticas de segurança.

Você pode definir e aplicar políticas de configurações de segurança a usuários, grupos e servidores de rede e clientes por meio do Política de Grupo e Active Directory Domain Services (AD DS). Um grupo de servidores com a mesma funcionalidade pode ser criado (por exemplo, um servidor Microsoft Web (IIS) e, em seguida, objetos Política de Grupo podem ser usados para aplicar configurações de segurança comuns ao grupo. Se mais servidores forem adicionados a esse grupo posteriormente, muitas das configurações de segurança comuns serão aplicadas automaticamente, reduzindo a implantação e o trabalho administrativo.

Cenários comuns para usar políticas de configurações de segurança

As políticas de configurações de segurança são usadas para gerenciar os seguintes aspectos de segurança: política de contas, política local, atribuição de direitos de usuário, valores de registro, ACLs (listas de Controle de Acesso de arquivo e registro), modos de inicialização de serviço e muito mais.

Como parte de sua estratégia de segurança, você pode criar GPOs com políticas de configurações de segurança configuradas especificamente para as várias funções em sua organização, como controladores de domínio, servidores de arquivos, servidores membros, clientes e assim por diante.

Você pode criar uma estrutura de UO (unidade organizacional) que agrupa os dispositivos de acordo com suas funções. O uso de UOs é o melhor método para separar requisitos de segurança específicos para as diferentes funções em sua rede. Essa abordagem também permite aplicar modelos de segurança personalizados a cada classe de servidor ou computador. Depois de criar os modelos de segurança, você cria um novo GPO para cada uma das UOs e importa o modelo de segurança (arquivo .inf) para o novo GPO.

Importar um modelo de segurança para um GPO garante que todas as contas às quais o GPO é aplicado recebam automaticamente as configurações de segurança do modelo quando as configurações de Política de Grupo são atualizadas. Em uma estação de trabalho ou servidor, as configurações de segurança são atualizadas em intervalos regulares (com um deslocamento aleatório de no máximo 30 minutos) e, em um controlador de domínio, esse processo ocorrerá a cada poucos minutos se ocorrerem alterações em qualquer uma das configurações de GPO que se aplicam. As configurações também são atualizadas a cada 16 horas, independentemente de alguma alteração ter ocorrido ou não.

Observação

Essas configurações de atualização variam entre as versões do sistema operacional e podem ser configuradas.

Usando configurações de segurança baseadas em Política de Grupo em conjunto com a delegação de administração, você pode garantir que configurações de segurança, direitos e comportamento específicos sejam aplicados a todos os servidores e computadores em uma UO. Essa abordagem simplifica a atualização de muitos servidores com outras alterações necessárias no futuro.

Dependências de outras tecnologias do sistema operacional

Para dispositivos que são membros de um domínio do Windows Server 2008 ou posterior, as políticas de configurações de segurança dependem das seguintes tecnologias:

  • Serviços de Domínio do Active Directory (AD DS)

    O serviço de diretório baseado no Windows, o AD DS, armazena informações sobre objetos em uma rede e disponibiliza essas informações para administradores e usuários. Usando o AD DS, você pode exibir e gerenciar objetos de rede na rede de um único local e os usuários podem acessar os recursos de rede permitidos usando uma única entrada.

  • Política de Grupo

    A infraestrutura no AD DS que permite o gerenciamento de configuração baseado em diretório das configurações de usuário e computador em dispositivos que executam o Windows Server. Usando o Política de Grupo, você pode definir configurações para grupos de usuários e computadores, incluindo configurações de política, políticas baseadas em registro, instalação de software, scripts, redirecionamento de pasta, Serviços de Instalação Remota, manutenção do Internet Explorer e segurança.

  • Sistema de nome de domínio (DNS)

    Um sistema de nomenclatura hierárquico usado para localizar nomes de domínio na Internet e em redes TCP/IP privadas. O DNS fornece um serviço para mapear nomes de domínio DNS para endereços IP e endereços IP para nomes de domínio. Esse serviço permite que usuários, computadores e aplicativos consultem o DNS para especificar sistemas remotos por nomes de domínio totalmente qualificados, em vez de por endereços IP.

  • Winlogon

    Uma parte do sistema operacional Windows que fornece suporte de logon interativo. O Winlogon foi projetado em torno de um modelo de logon interativo que consiste em três componentes: o executável do Winlogon, um provedor de credenciais e qualquer número de provedores de rede.

  • Configuração

    A configuração de segurança interage com o processo de instalação do sistema operacional durante uma instalação limpa ou atualização de versões anteriores do Windows Server.

  • SAM (Gerenciador de Contas de Segurança)

    Um serviço Windows usado durante o processo de entrada. O SAM mantém informações de conta de usuário, incluindo grupos aos quais um usuário pertence.

  • LSA (Autoridade de Segurança Local)

    Um subsistema protegido que autentica e conecta usuários ao sistema local. A LSA também mantém informações sobre todos os aspectos da segurança local em um sistema, coletivamente conhecido como a Política de Segurança Local do sistema.

  • Instrumentação de Gerenciamento do Windows (WMI)

    Um recurso do sistema operacional Microsoft Windows, wMI é a implementação da Microsoft do WBEM (gerenciamento corporativo do Web-Based), que é uma iniciativa do setor para desenvolver uma tecnologia padrão para acessar informações de gerenciamento em um ambiente corporativo. O WMI fornece acesso a informações sobre objetos em um ambiente gerenciado. Por meio do WMI e da API (interface de programação de aplicativos) WMI, os aplicativos podem consultar e fazer alterações nas informações estáticas no repositório CIM (Common Information Model) e informações dinâmicas mantidas pelos vários tipos de provedores.

  • RSoP (conjunto de políticas resultante)

    Uma infraestrutura de Política de Grupo aprimorada que usa o WMI para facilitar o planejamento e a depuração de configurações de política. O RSoP fornece métodos públicos que expõem o que uma extensão para Política de Grupo faria em uma situação de what-if e o que a extensão fez em uma situação real. Esses métodos públicos permitem que os administradores determinem facilmente a combinação de configurações de política que se aplicam ou se aplicarão a um usuário ou dispositivo.

  • Service Control Manager (SCM)

    Usado para configuração de segurança e modos de inicialização de serviço.

  • Registro

    Usado para configuração de valores e segurança do Registro.

  • Sistema de arquivos

    Usado para configuração de segurança.

  • Conversões do sistema de arquivos

    A segurança é definida quando um administrador converte um sistema de arquivos de FAT para NTFS.

  • Microsoft Management Console (MMC)

    A interface do usuário para a ferramenta Configurações de Segurança é uma extensão do snap-in MMC do Editor de Política de Grupo Local.

Políticas de configurações de segurança e Política de Grupo

A extensão Configurações de Segurança do Editor de Política de Grupo Local faz parte do conjunto de ferramentas Configuration Manager segurança. Os seguintes componentes estão associados às Configurações de Segurança: um mecanismo de configuração; um mecanismo de análise; uma camada de interface de modelo e banco de dados; lógica de integração de instalação; e a secedit.exe de linha de comando. O mecanismo de configuração de segurança é responsável por lidar com solicitações de segurança relacionadas ao editor de configuração de segurança para o sistema no qual ele é executado. O mecanismo de análise analisa a segurança do sistema para uma determinada configuração e salva o resultado. A camada de interface do modelo e do banco de dados lida com solicitações de leitura e gravação de e para o modelo ou banco de dados (para armazenamento interno). A extensão Configurações de Segurança do Editor Política de Grupo Local manipula Política de Grupo de um dispositivo local ou baseado em domínio. A lógica de configuração de segurança integra-se à instalação e gerencia a segurança do sistema para uma instalação limpa ou atualização para um sistema operacional Windows mais recente. As informações de segurança são armazenadas em modelos (arquivos .inf) ou no banco de dados Secedit.sdb.

O diagrama a seguir mostra as Configurações de Segurança e os recursos relacionados.

Políticas de configurações de segurança e recursos relacionados

Qual componente de controle de acesso implementação ou protocolo controla quem tem permissão para acessar uma rede?

  • Scesrv.dll

    Fornece a funcionalidade principal do mecanismo de segurança.

  • Scecli.dll

    Fornece as interfaces do lado do cliente para o mecanismo de configuração de segurança e fornece dados para o RSoP (Conjunto de Políticas Resultante).

  • Wsecedit.dll

    A extensão Configurações de Segurança do Editor de Política de Grupo Local. scecli.dll é carregado no wsecedit.dll para dar suporte à interface do usuário de Configurações de Segurança.

  • Gpedit.dll

    O snap-in MMC do Editor de Política de Grupo Local.

Arquitetura de extensão de Configurações de Segurança

A extensão Configurações de Segurança do Editor de Política de Grupo Local faz parte das ferramentas de Configuration Manager segurança, conforme mostrado no diagrama a seguir.

Arquitetura de configurações de segurança

Qual componente de controle de acesso implementação ou protocolo controla quem tem permissão para acessar uma rede?

As ferramentas de configuração e análise de configurações de segurança incluem um mecanismo de configuração de segurança, que fornece computador local (membro não domínio) e configuração baseada em Política de Grupo-based e análise de políticas de configurações de segurança. O mecanismo de configuração de segurança também dá suporte à criação de arquivos de política de segurança. Os principais recursos do mecanismo de configuração de segurança são scecli.dll e scesrv.dll.

A lista a seguir descreve esses principais recursos do mecanismo de configuração de segurança e outros recursos relacionados às Configurações de Segurança.

  • scesrv.dll

    Esse .dll é hospedado no services.exe e é executado no contexto do sistema local. scesrv.dll fornece funcionalidades básicas de Configuration Manager segurança, como importação, configuração, análise e propagação de política.

    Scesrv.dll executa a configuração e a análise de vários parâmetros de sistema relacionados à segurança chamando APIs do sistema correspondentes, incluindo LSA, SAM e o Registro.

    Scesrv.dll expõe APIs como importar, exportar, configurar e analisar. Ele verifica se a solicitação é feita por LRPC (Windows XP) e falha na chamada, caso não seja.

    A comunicação entre partes da extensão configurações de segurança ocorre usando os seguintes métodos:

    • Chamadas COM (Component Object Model)
    • LRPC (Chamada de Procedimento Remoto Local)
    • Protocolo LDAP
    • ADSI (Interfaces de Serviço do Active Directory)
    • Bloco de Mensagens do Servidor (SMB)
    • Win32 APIs
    • Chamadas WMI (Instrumentação de Gerenciamento do Windows)

    Em controladores de domínio, scesrv.dll recebe notificações de alterações feitas no SAM e na LSA que precisam ser sincronizadas entre controladores de domínio. Scesrv.dll incorpora essas alterações ao GPO de Política do Controlador de Domínio Padrão usando APIs de modificação de modelo scecli.dll em processo. Scesrv.dll também executa operações de configuração e análise.

  • Scecli.dll

    Esse Scecli.dll é a interface ou wrapper do lado do cliente para scesrv.dll. scecli.dll é carregado no Wsecedit.dll para dar suporte a snap-ins do MMC. Ele é usado pela Instalação para configurar a segurança e a segurança padrão do sistema de arquivos, chaves do Registro e serviços instalados pelos arquivos .inf da API de Instalação.

    A versão de linha de comando das interfaces do usuário de configuração e análise de segurança, secedit.exe, usa scecli.dll.

    Scecli.dll implementa a extensão do lado do cliente para Política de Grupo.

    Scesrv.dll usa scecli.dll para baixar arquivos Política de Grupo aplicáveis do SYSVOL para aplicar Política de Grupo configurações de segurança ao dispositivo local.

    Scecli.dll registra a aplicação da política de segurança no WMI (RSoP).

    Scesrv.dll filtro de política usa scecli.dll para atualizar o GPO da Política de Controlador de Domínio Padrão quando são feitas alterações no SAM e LSA.

  • Wsecedit.dll

    A extensão configurações de segurança do snap-in Política de Grupo Editor de Objetos do Política de Grupo. Use essa ferramenta para definir as configurações de segurança em um objeto Política de Grupo para um site, domínio ou unidade organizacional. Você também pode usar as Configurações de Segurança para importar modelos de segurança para um GPO.

  • Secedit.sdb

    Este Secedit.sdb é um banco de dados permanente do sistema usado para propagação de política, incluindo uma tabela de configurações persistentes para fins de reversão.

  • Bancos de dados de usuário

    Um banco de dados de usuário é qualquer banco de dados diferente do banco de dados do sistema criado pelos administradores para fins de configuração ou análise de segurança.

  • . Modelos inf

    Esses modelos são arquivos de texto que contêm configurações de segurança declarativas. Eles são carregados em um banco de dados antes da configuração ou da análise. Política de Grupo políticas de segurança são armazenadas em arquivos .inf na pasta SYSVOL dos controladores de domínio, onde são baixadas (usando cópia de arquivo) e mescladas no banco de dados do sistema durante a propagação da política.

Processos e interações da política de configurações de segurança

Para um dispositivo ingressado no domínio, em que Política de Grupo é administrado, as configurações de segurança são processadas em conjunto com Política de Grupo. Nem todas as configurações são configuráveis.

Política de Grupo processamento

Quando um computador é iniciado e um usuário entra, a política de computador e a política de usuário são aplicadas de acordo com a seguinte sequência:

  1. A rede é iniciada. O RPCSS (Serviço de Sistema de Chamadas de Procedimento Remoto) e o MUP (Provedor de Convenção de Nomenclatura Universal) são iniciados.

  2. Uma lista ordenada de Política de Grupo objetos é obtida para o dispositivo. A lista pode depender desses fatores:

    • Se o dispositivo faz parte de um domínio e, portanto, está sujeito a Política de Grupo por meio do Active Directory.
    • O local do dispositivo no Active Directory.
    • Se a lista de Política de Grupo Objetos foi alterada. Se a lista de Política de Grupo Objetos não tiver sido alterada, nenhum processamento será feito.

  3. A política do computador é aplicada. Essas configurações são aquelas em Configuração do Computador da lista coletada. Esse processo é síncrono por padrão e ocorre na seguinte ordem: local, site, domínio, unidade organizacional, unidade organizacional filho e assim por diante. Nenhuma interface do usuário é exibida enquanto as políticas do computador são processadas.

  4. Os scripts de inicialização são executados. Esses scripts são ocultos e síncronos por padrão; cada script deve ser concluído ou o tempo limite limite antes que o próximo seja iniciado. O tempo limite padrão é de 600 segundos. Você pode usar várias configurações de política para modificar esse comportamento.

  5. O usuário pressiona CTRL+ALT+DEL para entrar.

  6. Depois que o usuário é validado, o perfil do usuário é carregado; ele é regido pelas configurações de política que estão em vigor.

  7. Uma lista ordenada de Política de Grupo objetos é obtida para o usuário. A lista pode depender desses fatores:

    • Se o usuário faz parte de um domínio e, portanto, está sujeito a Política de Grupo por meio do Active Directory.
    • Se o processamento da política de loopback está habilitado e, nesse caso, o estado (Mesclar ou Substituir) da configuração de política de loopback.
    • O local do usuário no Active Directory.
    • Se a lista de Política de Grupo Objetos foi alterada. Se a lista de Política de Grupo Objetos não tiver sido alterada, nenhum processamento será feito.

  8. A política de usuário é aplicada. Essas configurações são aquelas em Configuração do Usuário da lista coletada. Essas configurações são síncronas por padrão e na seguinte ordem: local, site, domínio, unidade organizacional, unidade organizacional filho e assim por diante. Nenhuma interface do usuário é exibida enquanto as políticas de usuário são processadas.

  9. Os scripts de logon são executados. Política de Grupo scripts de logon baseados em Política de Grupo são ocultos e assíncronos por padrão. O script de objeto do usuário é executado por último.

  10. A interface do usuário do sistema operacional prescrita pelo Política de Grupo é exibida.

Política de Grupo de objetos

Um POLÍTICA DE GRUPO (GPO) é um objeto virtual identificado por um GUID (Identificador Global Exclusivo) e armazenado no nível de domínio. As informações de configuração de política de um GPO são armazenadas nos dois locais a seguir:

  • Política de Grupo contêineres no Active Directory.

    O Política de Grupo contêiner é um contêiner do Active Directory que contém propriedades de GPO, como informações de versão, status do GPO, além de uma lista de outras configurações de componente.

  • Política de Grupo modelos na SYSVOL (pasta de volume do sistema) de um domínio.

    O modelo Política de Grupo é uma pasta do sistema de arquivos que inclui dados de política especificados por arquivos .admx, configurações de segurança, arquivos de script e informações sobre aplicativos disponíveis para instalação. O Política de Grupo modelo está localizado na pasta SYSVOL na <domain>subpasta \Policies.

A estrutura GROUP_POLICY_OBJECT fornece informações sobre um GPO em uma lista de GPO, incluindo o número de versão do GPO, um ponteiro para uma cadeia de caracteres que indica a parte do Active Directory do GPO e um ponteiro para uma cadeia de caracteres que especifica o caminho para a parte do sistema de arquivos do GPO.

Política de Grupo de processamento

Política de Grupo configurações são processadas na seguinte ordem:

  1. Objeto Política de Grupo local.

    Cada dispositivo que executa um sistema operacional Windows começando com o Windows XP tem exatamente Política de Grupo objeto armazenado localmente.

  2. Site.

    Todos Política de Grupo objetos que foram vinculados ao site serão processados em seguida. O processamento é síncrono e em uma ordem que você especifica.

  3. Domínio.

    O processamento de vários objetos vinculados Política de Grupo domínio é síncrono e em uma ordem especificada.

  4. Unidades organizacionais.

    Política de Grupo objetos vinculados à unidade organizacional mais alta na hierarquia do Active Directory são processados primeiro, em seguida, Política de Grupo objetos que estão vinculados à sua unidade organizacional filho e assim por diante. Por fim, os Política de Grupo que estão vinculados à unidade organizacional que contém o usuário ou o dispositivo são processados.

No nível de cada unidade organizacional na hierarquia do Active Directory, um, muitos ou Política de Grupo objetos podem ser vinculados. Se vários Política de Grupo objetos forem vinculados a uma unidade organizacional, o processamento deles será síncrono e em uma ordem especificada por você.

Essa ordem significa que o objeto Política de Grupo local é processado primeiro e os objetos Política de Grupo que estão vinculados à unidade organizacional da qual o computador ou usuário é um membro direto são processados por último, o que substitui os objetos Política de Grupo anteriores.

Essa ordem é a ordem de processamento padrão e os administradores podem especificar exceções a essa ordem. Um objeto Política de Grupo vinculado a um site, domínio ou unidade organizacional (não um objeto Política de Grupo local) pode ser definido como Imposto em relação a esse site, domínio **** ou unidade organizacional, para que nenhuma de suas configurações de política possa ser substituída. Em qualquer site, domínio ou unidade organizacional, você pode marcar Política de Grupo herança seletivamente como Herança de Bloco. Política de Grupo links de objeto definidos como Imposto são sempre aplicados, no entanto, e não podem ser bloqueados. Para obter mais informações, consulte Política de Grupo Básico – Parte 2: Noções básicas sobre quais GPOs aplicar.

Processamento de política de configurações de segurança

No contexto de Política de Grupo processamento, a política de configurações de segurança é processada na ordem a seguir.

  1. Durante Política de Grupo processamento, o mecanismo de Política de Grupo determina quais políticas de configurações de segurança serão aplicadas.

  2. Se houver políticas de configurações de segurança em um GPO, Política de Grupo invocará a extensão do lado do cliente das Configurações de Segurança.

  3. A extensão configurações de segurança baixa a política do local apropriado, como um controlador de domínio específico.

  4. A extensão Configurações de Segurança mescla todas as políticas de configurações de segurança de acordo com as regras de precedência. O processamento é de acordo com Política de Grupo de processamento local, site, domínio e unidade organizacional (UO), conforme descrito anteriormente na seção "Política de Grupo de processamento". Se vários GPOs estão em vigor para um determinado dispositivo e não há políticas conflitantes, as políticas são cumulativas e são mescladas.

    Este exemplo usa a estrutura do Active Directory mostrada na figura a seguir. Um determinado computador é um membro da OU2, ao qual o GPO GroupMembershipPolGPO está vinculado. Este computador também está sujeito ao GPO UserRightsPolGPO , que está vinculado à OU1, superior na hierarquia. Nesse caso, não existem políticas conflitantes para que o dispositivo receba todas as políticas contidas nos GPOs UserRightsPolGPO e GroupMembershipPolGPO .

    Vários GPOs e mesclagem de política de segurança

    Qual componente de controle de acesso implementação ou protocolo controla quem tem permissão para acessar uma rede?

  5. As políticas de segurança resultantes são armazenadas em secedit.sdb, o banco de dados de configurações de segurança. O mecanismo de segurança obtém os arquivos de modelo de segurança e os importa para secedit.sdb.

  6. As políticas de configurações de segurança são aplicadas aos dispositivos. A figura a seguir ilustra o processamento da política de configurações de segurança.

Processamento de política de configurações de segurança

Qual componente de controle de acesso implementação ou protocolo controla quem tem permissão para acessar uma rede?

Mesclagem de políticas de segurança em controladores de domínio

As políticas de senha, Kerberos e algumas opções de segurança são mescladas apenas de GPOs vinculados no nível raiz do domínio. Essa mesclagem é feita para manter essas configurações sincronizadas em todos os controladores de domínio no domínio. As seguintes opções de segurança são mescladas:

  • Segurança de rede: forçar a saída quando as horas de entrada expirarem
  • Contas: Status da conta de administrador
  • Contas: Status da conta de convidado
  • Contas: Renomear conta de administrador
  • Contas: Renomear conta de convidado

Existe outro mecanismo que permite que as alterações de política de segurança feitas pelos administradores usando contas líquidas sejam mescladas no GPO de Política de Domínio Padrão. As alterações de direitos de usuário feitas usando APIs de LSA (Autoridade de Segurança Local) são filtradas para o GPO da Política de Controladores de Domínio Padrão.

Considerações especiais para controladores de domínio

Se um aplicativo for instalado em um PDC (controlador de domínio primário) com função mestra de operações (também conhecida como operações mestras individuais flexíveis ou FSMO) e o aplicativo fizer alterações nos direitos do usuário ou na política de senha, essas alterações deverão ser comunicadas para garantir que a sincronização entre controladores de domínio ocorra. Scesrv.dll recebe uma notificação de quaisquer alterações feitas no SAM (gerenciador de contas de segurança) e LSA que precisam ser sincronizadas entre controladores de domínio e incorpora as alterações no GPO de Política do Controlador de Domínio Padrão usando APIs de modificação de modelo do scecli.dll.

Quando as configurações de segurança são aplicadas

Depois de editar as políticas de configurações de segurança, as configurações são atualizadas nos computadores na unidade organizacional vinculada ao objeto Política de Grupo nas seguintes instâncias:

  • Quando um dispositivo é reiniciado.
  • A cada 90 minutos em uma estação de trabalho ou servidor e a cada 5 minutos em um controlador de domínio. Esse intervalo de atualização é configurável.
  • Por padrão, as configurações de política de segurança fornecidas pelo Política de Grupo também são aplicadas a cada 16 horas (960 minutos), mesmo que um GPO não tenha sido alterado.

Persistência da política de configurações de segurança

As configurações de segurança podem persistir mesmo que uma configuração não esteja mais definida na política que a aplicou originalmente.

As configurações de segurança podem persistir nos seguintes casos:

  • A configuração não foi definida anteriormente para o dispositivo.
  • A configuração é para um objeto de segurança do Registro.
  • As configurações são para um objeto de segurança do sistema de arquivos.

Todas as configurações aplicadas por meio da política local ou por meio de um objeto Política de Grupo são armazenadas em um banco de dados local em seu computador. Sempre que uma configuração de segurança é modificada, o computador salva o valor da configuração de segurança no banco de dados local, que mantém um histórico de todas as configurações que foram aplicadas ao computador. Se uma política definir primeiro uma configuração de segurança e, em seguida, não definir mais essa configuração, a configuração assume o valor anterior no banco de dados. Se um valor anterior não existir no banco de dados, a configuração não será revertida para nada e permanecerá definida como está. Às vezes, esse comportamento é chamado de "tatuagem".

As configurações de segurança de registro e arquivo manterão os valores aplicados por meio Política de Grupo até que essa configuração seja definida para outros valores.

Permissões necessárias para que a política seja aplicada

As permissões Política de Grupo e Leitura são necessárias para que as configurações de um objeto Política de Grupo se apliquem a usuários ou grupos e computadores.

Política de segurança de filtragem

Por padrão, todos os GPOs têm leitura e aplicação Política de Grupo permitidos para o grupo Usuários Autenticados. O grupo Usuários Autenticados inclui usuários e computadores. As políticas de configurações de segurança são baseadas em computador. Para especificar quais computadores cliente terão ou não um objeto Política de Grupo aplicado a eles, você pode negar a eles a permissão Aplicar Política de Grupo ou Ler nesse objeto Política de Grupo. Alterar essas permissões permite limitar o escopo do GPO a um conjunto específico de computadores em um site, domínio ou UO.

Observação

Não use a filtragem de política de segurança em um controlador de domínio, pois isso impediria a aplicação da política de segurança a ele.

Migração de GPOs que contêm configurações de segurança

Em algumas situações, talvez você queira migrar GPOs de um ambiente de domínio para outro. Os dois cenários mais comuns são migração de teste para produção e migração de produção para produção. O processo de cópia de GPO tem implicações para alguns tipos de configurações de segurança.

Os dados de um único GPO são armazenados em vários locais e em vários formatos; alguns dados estão contidos no Active Directory e outros dados são armazenados no compartilhamento SYSVOL nos controladores de domínio. Determinados dados de política podem ser válidos em um domínio, mas podem ser inválidos no domínio para o qual o GPO está sendo copiado. Por exemplo, os SIDs (Identificadores de Segurança) armazenados nas configurações de política de segurança geralmente são específicos do domínio. Portanto, copiar GPOs não é tão simples quanto pegar uma pasta e copiá-la de um dispositivo para outro.

As políticas de segurança a seguir podem conter entidades de segurança e podem exigir mais trabalho para movê-las com êxito de um domínio para outro.

  • Atribuição de direitos de usuário
  • Grupos restritos
  • Serviços
  • Sistema de arquivos
  • Registro
  • A DACL do GPO, se você optar por preservá-la durante uma operação de cópia

Para garantir que os dados sejam copiados corretamente, você pode usar Política de Grupo Console de Gerenciamento (GPMC). Quando há uma migração de um GPO de um domínio para outro, o GPMC garante que todos os dados relevantes sejam copiados corretamente. O GPMC também oferece tabelas de migração, que podem ser usadas para atualizar dados específicos do domínio para novos valores como parte do processo de migração. O GPMC oculta grande parte da complexidade envolvida nas operações de migração de GPO e fornece mecanismos simples e confiáveis para executar operações como cópia e backup de GPOs.

Nesta seção

TópicoDescrição
Administrar as configurações de política de segurança Este artigo discute diferentes métodos para administrar as configurações de política de segurança em um dispositivo local ou em uma organização de pequeno ou médio porte.
Definir configurações de política de segurança Descreve as etapas para definir uma configuração de política de segurança no dispositivo local, em um dispositivo ingressado no domínio e em um controlador de domínio.
Referência de configurações de política de segurança Essa referência de configurações de segurança fornece informações sobre como implementar e gerenciar políticas de segurança, incluindo opções de configuração e considerações de segurança.

Comentários

Enviar e exibir comentários de

Qual componente de controle de acesso implementação ou protocolo controla o que os usuários podem fazer na rede?

Qual componente de controle de acesso, implementação ou protocolo audita quais ações de usuários são executadas na rede? Explicação: A última prancha na estrutura AAA é a contabilidade, que mede os recursos que um usuário consome durante o acesso.

Qual guia permite que um administrador de rede configure uma WLAN específica com uma política WPA2?

Clique na guia Segurança para acessar todas as opções disponíveis para proteger a LAN. O administrador da rede deseja proteger a camada 2 com WPA2-PSK. WPA2 e 802.1X são configurados por padrão.

Qual método de autenticação armazena nomes de usuário e senhas no roteador e é ideal para redes pequenas?

Autenticação AAA Local AAA local armazena nomes de usuário e senhas localmente em um dispositivo de rede como o roteador Cisco. Os usuários se autenticam no banco de dados local, conforme mostrado na figura. AAA local é ideal para redes pequenas. O cliente estabelece uma conexão com o roteador.

componente controle acesso implementação protocolo controla permissão acessar rede

Postagens relacionadas

Qual componente celular está presente tanto em célula eucarionte e não aparece em células procariontes *?
Qual componente celular está presente tanto em célula eucarionte e não aparece em células procariontes *?

Which type of conflict is best described as interpersonal opposition based on dislike or disagreement among individuals?
Which type of conflict is best described as interpersonal opposition based on dislike or disagreement among individuals?

How do you mix short acting and intermediate insulin?
How do you mix short acting and intermediate insulin?

Can u pin someone on Snapchat on Android?
Can u pin someone on Snapchat on Android?

What total appears in row 6 of your query result?
What total appears in row 6 of your query result?

Subcutaneous injection maximum volume Pediatric
Subcutaneous injection maximum volume Pediatric

Says that behavior that is rewarded will increase, while behavior that is punished will decrease.
Says that behavior that is rewarded will increase, while behavior that is punished will decrease.

Which psychological changes is associated with aging?
Which psychological changes is associated with aging?

Which of the following stressors is likely to produce less strain than the other stressors?
Which of the following stressors is likely to produce less strain than the other stressors?

How many Litres of water must be added to 75 Litres of milk that contains 13% water to make it 25% water in it?
How many Litres of water must be added to 75 Litres of milk that contains 13% water to make it 25% water in it?

What sum of money will amount to 72900 at 8% per annum for 2 years if the interest is payable annually?
What sum of money will amount to 72900 at 8% per annum for 2 years if the interest is payable annually?

Publicidade

ÚLTIMAS NOTÍCIAS

Which type of conflict is best described as interpersonal opposition based on dislike or disagreement among individuals?
1 anos atrás . por KnownHierarchy
How do you mix short acting and intermediate insulin?
1 anos atrás . por UntrainedSnack
Can u pin someone on Snapchat on Android?
1 anos atrás . por FullHardship
What total appears in row 6 of your query result?
1 anos atrás . por UnmovedRatification
Subcutaneous injection maximum volume Pediatric
1 anos atrás . por AppreciativeStillness
Says that behavior that is rewarded will increase, while behavior that is punished will decrease.
1 anos atrás . por IneffableInvasion
Which psychological changes is associated with aging?
1 anos atrás . por IncredulousFertilization
Which of the following stressors is likely to produce less strain than the other stressors?
1 anos atrás . por MigratoryOunce
How many Litres of water must be added to 75 Litres of milk that contains 13% water to make it 25% water in it?
1 anos atrás . por MortalRoadblock
What sum of money will amount to 72900 at 8% per annum for 2 years if the interest is payable annually?
1 anos atrás . por SuspendedUnification

Toplistas

#1
Top 8 resultado do jogo do bicho de hoje das 14 2022
2 anos atrás
#2
Top 5 treino para academia masculino 2022
1 anos atrás
#3
Top 6 comida tipica dos negros 2022
1 anos atrás
#4
Top 6 como ser ponto de coleta mercado livre 2022
1 anos atrás
#5
Top 7 sonhar com criança da o quê no jogo do bicho 2022
2 anos atrás
#6
Top 7 com quanto tempo escuta o coração do bebe 2022
2 anos atrás
#7
Top 8 resultado do jogo do bicho 14 30 2022
1 anos atrás
#8
Top 5 cha dos famosos para emagrecer 2022
1 anos atrás
#9
Top 7 receita de brownie sem ovo 2022
2 anos atrás
#10
Top 7 tua palavra é lampada para os meus pes senhor 2022
2 anos atrás

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

hometrzhko
direito autoral © 2024 estudarpara Inc.