Все-таки архитектурные решения Windows довольно странные.
Даже в групповых политиках есть критические уязвимости, которые никто не закрывает годами.
Например в AD, основанной на Windows 2008 и выше (в том числе и Windows 2012R2) есть параметр политики, которым можно задать пароль для локального администратора на компьютерах, которые входят в домен. Но данный параметр хранится практически в открытом виде. Точнее он зашифрован, причем с помощью AES256, только вот ключ шифрования хранится в открытых источниках, да и сам файл доступен почти всем.
А теперь попробуем проэксплуатировать эту уязвимость.
Для начала создадим политику, в которой будет задаваться пароль локального администратора для членов домена.
Далее в политике перейдем по адресу:
Конфигурация компьютера – Настройка – Параметры панели управления – Локальные пользователи.
И создадим нового пользователя.
Как это сделать – видно на скриншоте.
После нажатия ок, нас предупредят, что это все не безопасно (но кто на это смотрит…).
Читать далее Получаем пароль локального Администратора из GPO (Groups.xml) →
Гораздо удобнее управлять принтерами пользователей централизованно, чем вручную устанавливать принтеры каждому пользователю.
Для того чтобы организовать общий доступ к принтерам нужно сначала установить все принтеры в AD и опубликовать их. Если структура компании не слишком территориально разрозненная – рекомендуем сделать для этого один ответственный за публикацию сервер (или группу серверов), а принтеры подключать к нему по сети (благо сейчас даже самые простые принтеры имеют локальную сеть на борту).
Доступ
Публикуем принтер в AD.
Для этого открываем свойства нужного принтера в системе и, переходим на вкладку доступ и ставим галочки напротив пунктов:
Общий доступ к данному принтеру
Прорисовка заданий печати на клиентских компьютерах
Внести в Active Directory
Так же нажимаем кнопку Дополнительные драйверы… и проверяем есть ли драйвера для x86 и x64 систем. Если нет – то добавляем. Это делается для совместимости со всеми рабочими станциями в сети.
Читать далее Добавление принтеров пользователям через групповые политики →
Очень удобно, когда все сервера и рабочие станции в AD имеют одинаковое время. Это избавляет от кучи проблем в структуре Active Directory.
Требования для статьи:
Будем считать, что у нас есть отдельные груповые политики для контроллера домена (или другого сервера, который будет выполнять эту роль) и для все остальных серверов и рабочих станций.
Синхронизацию сервера времени настраиваем с внешним сервером. Поэтому для сервера, который является центральным сервером времени, нужно открыть вовне порт 123, а так же для все остальных серверов и ПК должен быть открыт порт 123 во внутренней сети (NTP работает по этому порту).
Для того, чтобы это сделать открываем групповые политики
gpedit.msc
Поставшики времени
И переходим Конфигурация компьютера->Административные шаблоны->Система->Службы времени Windows->Поставшики времени
Читать далее Настройка синхронизации времени в домене Active Directory (через групповые политики) →
Безопасные и надежные IT решения
