headermask image

Распространяем политику IPSec через GPO

В предыдущих статьях я рассказал как создавать новую политику IPSec, каким образом распространять данную политику с помощью экспорта и импорта. В данной же статье я расскажу о другом методе распространения политик IPSec – использование Active Directory Group Policy Objects (или GPO).

Давайте представим что нам необходимо заблокировать весь ICMP трафик для множества компьютеров локальной сети. Для того чтобы все работало, необходимо следующее:

  • Должна существовать инфраструктура Active Directory (и работать без ошибок…).
  • На всех компьютерах, которые необходимо настроить, должна быть установлена операционная система Windows 2000 или выше.
  • Необходимо создать OU, в котором разместить компьютеры. Можно обойтись и без этого, и настраивать GPO на доменному уровне. Данная политики будет действовать на всех членов домена.

Далее нам необходимо настроить политику IPSec внутри GPO. Единственное отличие в том, что раньше мы настраивали данную политику на один компьютер, а теперь мы редактируем политику сразу для большой сети.

Приступим.

  1. Откройте Active Directory Users & Computers. Нажмите правой кнопкой на домене (или на определенном контейнере, в который вы перенесли нужные компютеры). Выберите Properties.

ipsec_agent1.gif

  1. В окне Properties нажмите на вкладку Group Policy. Нажмите New для настройки новой групповой политики. Назовите данную политику соответствующим образом, например Secure Services.
  1. Нажмите Edit для редактирования  GPO.
  2. Перейдите в Computer Settings > Windows Settings > Security Settings > IP Security Policies on Active Directory. Теперь вы можете вручную настраивать политику IPSec. К примеру посмотрите эту статью.

ipsec_gpo.gif

Или, если вы уже настраивали политику, импортируйе её как файл .IPSEC.

ipsec_gpo1.gif

ipsec_gpo2.gif

  1. После этого запустите политику, нажав Assign.

ipsec_gpo3.gif

  1. Для того чтобы изменения вступили в силу, либо перезапустите клиентские компютеры, либо обновите политики командй:
    secedit /refreshpolicy machine_policy /enforce

    В Windows XP или Windows Server 2003 вы должны ввести:

    gpupdate /force

Автор: Daniel Petri

Постовой

Настоящий Vertu – легендарный мобильный телефон. Спеши притронуться к легенде сам.

Смоленские нерудные материалы – у нас вы можете купить строительный песок, щебень, получить грамотные консультации и помощь.

Похожие посты
  • Экспорт и импорт политик IPSec
  • Блокируем ICMP трафик с помощью IPSec
  • Настройка Site-to-Site VPN между Forefront TMG и Cisco PIX/ASA, часть 2
  • Настройка Windows Server 2008 R2 в качестве RADIUS сервера для Cisco ASA, часть 3
  • Создание IPSEC VPN туннеля между Linux и Cisco PIX
  • В Server 2008 несколько политик паролей в домене
  • Устранение ошибки DCOM 10009 в Exchange 2010 SP1
  • Настройки групповой политики: как хранятся настройки, часть 1
  • Обзор DirectAccess в Windows Server 2008 R2 и Windows 7. Часть 1
  • Установка хостинг панели ISPConfig 3 на Ubuntu 9.04