Windows - Active Directory elérésének szabályozása

forráskód letöltése
Az Active Directory egyik előnye - bizonyos körülmények között - biztonsági szempontból hátrányt is jelenthet. Arról van szó, hogy a hálózat számára szánt néhány információt megosztott mappákban tárol, amit a felhasználók is elérhetnek. Hogy lehet letiltani ezeknek a mappáknak a megjelenítését? Továbbá hogy lehet beállítani, hogy mi legyen a bejelentkezésnél megjelenített alapértelmezett tartomány? Ezekre a kérdésekre adunk választ az alábbiakban.
Cikkünkhöz mellékelt "HideADFolders.reg" futtatása után letiltja az Active Directory mappák megjelenítését.
Active Directory mappák elrejtése a felhasználók elől
Alapértelmezésben az Active Directory több megosztott mappával rendelkezik, ezekben a hálózat egésze számára tárol információkat. Ilyen mappákban található a csoportházirend, a visszavont és hatályos hitelességi bizonyítványok, parancsfájlok, stb. Ha egy felhasználó bejelentkezik a tartományba és elindít a saját gépén egy Windows Intézőt (Windows Explorer), akkor a hálózati helyeket tartalmazó mappában lehetősége van tallózni a kiszolgáló fenti beállításait tároló megosztások között. Természetesen minden megosztás rendelkezik NTFS jogokkal és lényegi kárt nem tehet bennük egy átlagos felhasználó. De mindenképpen figyelembe kell venni azt a lehetőséget, hogy így gyakorlatilag bárkinek lehetősége van arra, hogy a kiszolgálót "piszkálja", az esetleges vírustámadásokról és betörési kísérletekről nem is beszélve. Sokkal praktikusabb lenne, ha nem jelennének meg a fenti megosztások a kliens gépeken, de ez nem befolyásolná a mindennapi munkát. Tehát továbbra is megmaradnának a keresési funkciók, elérhető lenne a csoportházirend, stb. A megvalósítás több módon is lehetséges, az egyik megoldást az egyik érintett objektum szolgáltatja és ez a csoportházirend.
Indítsuk el a tartományvezérlőn a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) MMC konzolt és tallózzunk el a klienseket magába foglaló szervezeti egységhez. Kattintsunk rá a jobboldali egérgombbal és válasszuk a "Tulajdonságok" ("Properties") menüt. Lépjünk a "Csoportházirend" ("Group Policy") oldalra és nyomjuk le a "Szerkesztés" ("Edit") gombot. Keressük meg a következő házirendpontot: Felhasználó konfigurációja > Felügyeleti sablonok > Asztal > Active Directory > Az Active Directory mappa elrejtése (User Configuration > Administrative Templates > Desktop > Active Directory > Hide Active Directory folder). Nyissuk meg és kattintsuk be az "Engedélyezve" ("Enabled") rádiógombot. Az "OK" gombokkal lépjünk ki a beállító ablakokból.
Másik megoldás a kliensek regisztrációs adatbázisában történő változtatás. Hátránya (de bizonyos körülmények között ez előny is lehet), hogy csak egy gépet és azon is csak az aktuális felhasználót érinti a beállítás, míg a csoportházirendben központilag egyszerre vontuk meg az összes ügyfél jogosultságát. Indítsuk el a REGEDIT.EXE programot (Start > Futtatás > regedit (Start > Run > regedit)) és keressük meg a következő helyet:
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Directory UI]
Előfordulhat, hogy a "Windows\Directory UI" kulcsok már nem léteznek. Ebben az esetben az Új > Kulcs (New Key) menüvel létre kell hozni őket. Ha megvagyunk, hozzunk létre egy új duplaszó (REG_DWORD) típusú bejegyzést "HideDirectoryFolder" és állítsuk az értékét 1-re. A változtatás érvényre jutásához jelentkezzünk ki, majd vissza.
Alapértelmezett tartománynév beállítása
Tartományi hálózatban a kliens gépek bejelentkező ablakában választhatunk, hogy a helyi gépre vagy a tartományba akarunk bejelentkezni. Az ablak legördülő menüjében mindig az utolsó hely jelenik meg. Hol tárolódik, hogy mi volt az utolsó hely? Hogy lehet ezt megváltoztatni létrehozva egy alapértelmezett beállítást? Az első kérdésre a válasz: a regisztrációs adatbázisban. Keressük meg a következő kulcsot:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Ezen belül pedig a "DefaultDomainName" nevű karakterláncot (REG_SZ). A bejegyzés tárolja a keresett információt. Kattintsunk rá kétszer és írjuk át az értékét, ha nem adjuk meg következetesen vagy elírjuk a tartománynevet, nem kapunk hibaüzenetet. Ekkor a Windows választ helyettünk.