2008 R2

exo · Конфигурация компьютера

Цитата mr.Brightside:

- При помощи dcgpofix восстановил настроенные дефолтные политки на стандартные дефолтные политики »

установите где-нибудь виртуальный тестовый контроллер домена. посмотрите на политики по умолчанию... сравните с вашими, восстановленными...

Цитата mr.Brightside:

Я сделал так: gpmc.msc есть OU "Domain Controllers". Для этого контейнера создал политику "Безопасность КД" и связал его с этим OU. Фильтр содержит "прошедшие проверку". Применятся ли таким образом политики безопасности для КД? Если нет, то как правильно? »

всё правильно сделали.

mr.Brightside · Отправлено: **15:25, 27-02-2012** | #3

Цитата exo:

всё правильно сделали. »

Так, а не нужно для этой моей политики еще указывать фильтр для машин КД?

Я имею ввиду, что вот сейчас эта политика привязана к OU Domain Controllers, она применяется для "прошедших проверку". Но, ведь прошедшие проверку - это учетные записи.

А я настраиваю безопасность в разделе конфигурация компьютера, - значит, где то должно быть указано, к каким компьютерам я применяю эту политику? Значит, надо явно указать действие политик на машины-КД?

Или я чего то неправильно понимаю?

exo · Конфигурация компьютера

Цитата mr.Brightside:

Так, а не нужно для этой моей политики еще указывать фильтр для машин КД? »

если она применена к:

Цитата mr.Brightside:

OU "Domain Controllers". Для этого контейнера »

то там кроме контроллера домена никого нет, а он входит в группу Авторизованные пользователи.

Цитата mr.Brightside:

Но, ведь прошедшие проверку - это учетные записи »

посмотрите фильтр для политики "Default Domain Controllers Policy"
Авторизованные пользователи - это все, кто прошли проверку. Если контроллер домена не пройдёт проверку - у вас ничего не будет работать.

восстановленные политики ещё не сравнивали?

mr.Brightside · Отправлено: **16:54, 27-02-2012** | #5

Цитата exo:

восстановленные политики ещё не сравнивали? »

Цитата exo:

установите где-нибудь виртуальный тестовый контроллер домена. посмотрите на политики по умолчанию »

Пока еще нет, сейчас сравню

С прошедшими проверку все понятно, спасибо большое! Это и учетки и компьютеры. Политики применятся ТОЛЬКО для моих двух КД, потому что GPO привязана к контейнеру, где только два эти КД и присутствуют.

mr.Brightside · Отправлено: **20:14, 27-02-2012** | #6

Цитата exo:

восстановленные политики ещё не сравнивали?

Да, вроде одинаковые

У меня есть еще вопрос, может подскажите...

Хочу запретить КД и доменным машинам использовать NTLMv1/LM, так, чтобы они давали отлуп, если в сети появлялась бы машина, которая бы проводила аутентификацию по ntlm v1 или LM.

Установил следующие политики и соответствующие значения:

- Сетевая безопасность: уровень проверки подлинности LAN Manager - Отправлять только NTLMv2 ответ, отказывать LM и NTLM

- Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) - Требовать 128-битовое шифрование

- Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) - Требовать сеансовую безопасность на базе NTLMv2

Ребутнул КД, политики применились - в RSoP'е это видно, но все равно пускает по ntlm v1 не доменную машину (это видно в логе).

Код:

GPO: Безопасность - КД
                Политика:             @wsecedit.dll,-59059
                Параметр:          MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
                Параметры компьютера: 5

Аналогично и для обычной доменной машины - я все равно могу войти по ntlmv1 и ничего у меня не отбрасывается.

Тогда я вообще запретил траффик ntlm. Аналогично - политики применились, но я могу ходить с НЕдоменной машины на доменные и КД через ntlm v1:

Код:

Вход с учетной записью выполнен успешно.

Субъект:
	ИД безопасности:		NULL SID
	Имя учетной записи:		-
	Домен учетной записи:		-
	Код входа:		0x0

Тип входа:			3

Новый вход:
	ИД безопасности:		АНОНИМНЫЙ ВХОД
	Имя учетной записи:		АНОНИМНЫЙ ВХОД
	Домен учетной записи:		NT AUTHORITY
	Код входа:		0x2447d2
	GUID входа:		{00000000-0000-0000-0000-000000000000}

Сведения о процессе:
	Идентификатор процесса:		0x0
	Имя процесса:		-

Сведения о сети:
	Имя рабочей станции:	MR_BRIGHTSIDE
	Сетевой адрес источника:	192.168.0.133
	Порт источника:		62940

Сведения о проверке подлинности:
	Процесс входа:		NtLmSsp 
	Пакет проверки подлинности:	NTLM
	Промежуточные службы:	-
	Имя пакета (только NTLM):	NTLM V1
	Длина ключа:		128

exo · Конфигурация компьютера

Цитата mr.Brightside:

Да, вроде одинаковые »

странно... у меня добавились политики от 2003 домена...

Цитата mr.Brightside:

Хочу запретить КД и доменным машинам использовать NTLMv1/LM »

http://technet.microsoft.com/en-us/l...53(WS.10).aspx

но если я не ошибаюсь NTLMv1 отключен по умолчанию в 7\2008R2

mr.Brightside · Отправлено: **11:20, 28-02-2012** | #8

Цитата exo:

но если я не ошибаюсь NTLMv1 отключен по умолчанию в 7\2008R2 »

у меня авторизация проходит по ntlm v1

сейчас проделаю шаги из инструкции и посмотрим!

Спасибо за помощь!

mr.Brightside · Отправлено: **16:44, 28-02-2012** | #9

Не могу понять

отключил, ребутнул КД

На один войти не могу, пишет, что запрос не поддерживается:

Сделал то же самое на рабочих КД. На одном все верно отработало и не пускает, на второй пускает... При этом, я не вижу никаких записей в логах по поводу того, какой протокол аутентификации был использован...