Приложение Ж. Защита групп администраторов в Active DirectoryAppendix G: Securing Administrators Groups in Active Directory

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Приложение Ж. Защита групп администраторов в Active DirectoryAppendix G: Securing Administrators Groups in Active Directory

Как и в случае с группами "Администраторы предприятия" (EA) и "Администраторы домена" (DA), членство в встроенной группе "Администраторы" (BA) должно быть обязательным только в сценариях сборки или аварийного восстановления.As is the case with the Enterprise Admins (EA) and Domain Admins (DA) groups, membership in the built-in Administrators (BA) group should be required only in build or disaster recovery scenarios. В группе администраторов не должно быть повседневных учетных записей пользователей, за исключением встроенной учетной записи администратора домена, если он защищен, как описано в приложении г. защита Built-In учетных записей администраторов в Active Directory.There should be no day-to-day user accounts in the Administrators group with the exception of the Built-in Administrator account for the domain, if it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

Администраторы по умолчанию являются владельцами большинства объектов AD DS в соответствующих доменах.Administrators are, by default, the owners of most of the AD DS objects in their respective domains. Членство в этой группе может потребоваться в сценариях сборки или аварийного восстановления, в которых требуется владение или возможность стать владельцем объектов.Membership in this group may be required in build or disaster recovery scenarios in which ownership or the ability to take ownership of objects is required. Кроме того, DAs и EAs наследуют ряд прав и разрешений, используя членство по умолчанию в группе администраторов.Additionally, DAs and EAs inherit a number of their rights and permissions by virtue of their default membership in the Administrators group. Вложенность групп по умолчанию для привилегированных групп в Active Directory не должна изменяться, а группа администраторов каждого домена должна быть защищена, как описано в следующих пошаговых инструкциях.Default group nesting for privileged groups in Active Directory should not be modified, and each domain's Administrators group should be secured as described in the step-by-step instructions that follow.

Для группы Администраторы в каждом домене леса:For the Administrators group in each domain in the forest:

  1. Удалите всех членов группы "Администраторы" с возможным исключением встроенной учетной записи администратора для домена, если оно защищено, как описано в приложении г. защита Built-In учетных записей администраторов в Active Directory.Remove all members from the Administrators group, with the possible exception of the built-in Administrator account for the domain, provided it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

  2. В объектах групповой политики, связанных с подразделениями, содержащими рядовые серверы и рабочие станции в каждом домене, Группа Ба должна быть добавлена к следующим правам пользователя в Computer \ политики \ параметры безопасности \ локальные политики \ назначение прав пользователя:In GPOs linked to OUs containing member servers and workstations in each domain, the BA group should be added to the following user rights in Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\ User Rights Assignment:

    • Запретить сетевой доступ к этому компьютеру.Deny access to this computer from the network

    • Отказ во входе в качестве пакетного заданияDeny log on as a batch job

    • Отказать во входе в качестве службыDeny log on as a service

  3. В подразделении контроллеров домена в каждом домене леса группе Администраторы должны быть предоставлены следующие права пользователя:At the domain controllers OU in each domain in the forest, the Administrators group should be granted the following user rights:

    • Доступ к этому компьютеру из сетиAccess this computer from the network

    • Локальный вход в системуAllow log on locally

    • Разрешить вход в систему через службу удаленных рабочих столовAllow log on through Remote Desktop Services

  4. Аудит следует настроить для отправки оповещений при внесении любых изменений в свойства или членство в группе "Администраторы".Auditing should be configured to send alerts if any modifications are made to the properties or membership of the Administrators group.

Пошаговые инструкции по удалению всех членов группы "Администраторы"Step-by-Step Instructions for Removing All Members from the Administrators Group

  1. В Диспетчер сервера щелкните средства и выберите Active Directory пользователи и компьютеры.In Server Manager, click Tools, and click Active Directory Users and Computers.

  2. Чтобы удалить всех членов из группы "Администраторы", выполните следующие действия.To remove all members from the Administrators group, perform the following steps:

    1. Дважды щелкните группу администраторов и перейдите на вкладку члены .Double-click the Administrators group and click the Members tab.

      Снимок экрана, на котором показана вкладка "члены" для удаления всех членов из группы "Администраторы".

    2. Выберите участника группы, нажмите кнопку Удалить, выберите Да, а затем нажмите кнопку ОК.Select a member of the group, click Remove, click Yes, and click OK.

  3. Повторите шаг 2, пока не будут удалены все члены группы "Администраторы".Repeat step 2 until all members of the Administrators group have been removed.

Пошаговые инструкции по защите групп администраторов в Active DirectoryStep-by-Step Instructions to Secure Administrators Groups in Active Directory

  1. В Диспетчер сервера щелкните средства и выберите Групповая политика управление.In Server Manager, click Tools, and click Group Policy Management.

  2. В дереве консоли разверните узел < лес > \домаинс \ < Domain > , а затем Групповая политика объекты (где < лес — это > имя леса, а < домен > — имя домена, в котором вы хотите задать групповая политика).In the console tree, expand <Forest>\Domains\<Domain>, and then Group Policy Objects (where <Forest> is the name of the forest and <Domain> is the name of the domain where you want to set the Group Policy).

  3. В дереве консоли щелкните правой кнопкой мыши элемент Групповая политика объекты и выберите команду создать.In the console tree, right-click Group Policy Objects, and click New.

    Снимок экрана, на котором показано, где можно выбрать новое, чтобы защитить группы администраторов в Active Directory.

  4. В диалоговом окне Создание объекта групповой политики введите и нажмите кнопку ОК (где имя GPO — это имя этого объекта групповой политики).In the New GPO dialog box, type , and click OK (where GPO Name is the name of this GPO).

    Снимок экрана, на котором показано, где можно присвоить имя G P O в диалоговом окне Создание объекта групповой политики, чтобы защитить группы администраторов.

  5. В области сведений щелкните правой кнопкой мыши и выберите команду изменить.In the details pane, right-click , and click Edit.

  6. Перейдите к компьютеру \ политики \ Параметры безопасности Локальные политики и щелкните Назначение прав пользователя.Navigate to Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies, and click User Rights Assignment.

    Снимок экрана, на котором показано расположение для перемещения. чтобы защитить группы администраторов, можно выбрать параметр Администратор прав пользователя.

  7. Настройте права пользователя, чтобы запретить членам группы "Администраторы" доступ к рядовым серверам и рабочим станциям по сети, выполнив следующие действия.Configure the user rights to prevent members of the Administrators group from accessing member servers and workstations over the network by doing the following:

    1. Дважды щелкните " запретить доступ к этому компьютеру из сети" и выберите " определить параметры политики".Double-click Deny access to this computer from the network and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

    3. Введите Администраторы, щелкните Проверить имена и нажмите кнопку ОК.Type Administrators, click Check Names, and click OK.

      Снимок экрана, показывающий, как убедиться, что вы настроили права пользователя, чтобы запретить членам группы «Администраторы» доступ к серверам и рабочим станциям по сети.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  8. Настройте права пользователя, чтобы запретить членам группы "Администраторы" входить в систему в качестве пакетного задания, выполнив следующие действия.Configure the user rights to prevent members of the Administrators group from logging on as a batch job by doing the following:

    1. Дважды щелкните отклонить вход в качестве пакетного задания и выберите определить эти параметры политики.Double-click Deny log on as a batch job and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

    3. Введите Администраторы, щелкните Проверить имена и нажмите кнопку ОК.Type Administrators, click Check Names, and click OK.

      Снимок экрана, показывающий, как проверить, настроены ли права пользователя для запрета входа членов группы "Администраторы" в качестве пакетного задания.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  9. Настройте права пользователя, чтобы запретить членам группы "Администраторы" входить в систему как службу, выполнив следующие действия.Configure the user rights to prevent members of the Administrators group from logging on as a service by doing the following:

    1. Дважды щелкните запретить вход в качестве службы и выберите определить эти параметры политики.Double-click Deny log on as a service and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

    3. Введите Администраторы, щелкните Проверить имена и нажмите кнопку ОК.Type Administrators, click Check Names, and click OK.

      Снимок экрана, показывающий, как проверить, настроены ли права пользователя для запрета входа членов группы "Администраторы" в качестве службы.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  10. Чтобы выйти из редактор "Управление групповыми политиками", в меню файл выберите команду выход.To exit Group Policy Management Editor, click File, and click Exit.

  11. В Групповая политика управления свяжите объект групповой политики с подразделениями рядового сервера и рабочей станции, выполнив следующие действия.In Group Policy Management, link the GPO to the member server and workstation OUs by doing the following:

    1. Перейдите к < лесу >> домен \домаинс \ < > (где < лес — это > имя леса, а < домен > — имя домена, в котором нужно задать групповая политика).Navigate to the <Forest>>\Domains\<Domain> (where <Forest> is the name of the forest and <Domain> is the name of the domain where you want to set the Group Policy).

    2. Щелкните правой кнопкой мыши подразделение, к которому будет применен объект GPO, и выберите команду связать существующий объект GPO.Right-click the OU that the GPO will be applied to and click Link an existing GPO.

      Снимок экрана, на котором показана связь с существующим параметром меню G P O при щелчке правой кнопкой мыши подразделения.

    3. Выберите только что созданный объект групповой политики и нажмите кнопку ОК.Select the GPO that you just created and click OK.

      Снимок экрана, на котором показано, где выбрать только что созданный объект групповой политики.

    4. Создайте ссылки на все подразделения, содержащие рабочие станции.Create links to all other OUs that contain workstations.

    5. Создайте ссылки на все подразделения, содержащие рядовые серверы.Create links to all other OUs that contain member servers.

      Важно!

      Если для администрирования контроллеров домена и Active Directory используются серверы переходов, убедитесь, что серверы переходов расположены в подразделении, к которому не привязаны объекты GPO.If jump servers are used to administer domain controllers and Active Directory, ensure that jump servers are located in an OU to which this GPOs is not linked.

      Примечание

      При реализации ограничений группы администраторов в объектах групповой политики Windows применяет параметры к членам локальной группы администраторов компьютера в дополнение к группе администраторов домена.When you implement restrictions on the Administrators group in GPOs, Windows applies the settings to members of a computer's local Administrators group in addition to the domain's Administrators group. Поэтому следует соблюдать осторожность при реализации ограничений в группе администраторов.Therefore, you should use caution when implementing restrictions in the Administrators group. Несмотря на то, что запрещена реализация сетевых, пакетных и служб для членов группы «Администраторы», не следует ограничивать локальные входы и входы с помощью службы удаленных рабочих столов.Although prohibiting network, batch, and service logons for members of the Administrators group is advised wherever it is feasible to implement, do not restrict local logons or logons through Remote Desktop Services. Блокирование этих типов входа в систему может заблокировать законное администрирование компьютера членами локальной группы "Администраторы".Blocking these logon types can block legitimate administration of a computer by members of the local Administrators group.

      На следующем снимке экрана показаны параметры конфигурации, которые блокируют неправильное использование встроенных локальных учетных записей и администраторов домена, а также неправильное использование встроенных локальных групп или группы «Администраторы домена».The following screenshot shows configuration settings that block misuse of built-in local and domain Administrator accounts, in addition to misuse of built-in local or domain Administrators groups. Обратите внимание, что право " запретить вход в службы удаленных рабочих столов пользователя" не включает в себя группу "Администраторы", так как она включает в себя этот параметр, а также запрещает эти входы для учетных записей, являющихся членами группы "Администраторы" локального компьютера.Note that the Deny log on through Remote Desktop Services user right does not include the Administrators group, because including it in this setting would also block these logons for accounts that are members of the local computer's Administrators group. Если службы на компьютерах настроены для работы в контексте любой из привилегированных групп, описанных в этом разделе, реализация этих параметров может привести к сбою служб и приложений.If services on computers are configured to run in the context of any of the privileged groups described in this section, implementing these settings can cause services and applications to fail. Поэтому, как и в случае со всеми рекомендациями в этом разделе, необходимо тщательно проверить параметры для применения в вашей среде.Therefore, as with all of the recommendations in this section, you should thoroughly test settings for applicability in your environment.

      Снимок экрана, на котором показаны параметры конфигурации, блокирующие неправильное использование встроенных локальных учетных записей и администраторов домена.

Пошаговые инструкции по предоставлению прав пользователя группе "Администраторы"Step-by-Step Instructions to Grant User Rights to the Administrators Group

  1. В Диспетчер сервера щелкните средства и выберите Групповая политика управление.In Server Manager, click Tools, and click Group Policy Management.

  2. В дереве консоли разверните узел \домаинс \ , а затем Групповая политика объекты (где — имя леса, а — имя домена, в котором нужно задать групповая политика).In the console tree, expand \Domains\, and then Group Policy Objects (where is the name of the forest and is the name of the domain where you want to set the Group Policy).

  3. В дереве консоли щелкните правой кнопкой мыши элемент Групповая политика объекты и выберите команду создать.In the console tree, right-click Group Policy Objects, and click New.

    Снимок экрана, на котором показано меню, отображаемое при щелчке правой кнопкой мыши групповая политика объекты.

  4. В диалоговом окне Создание объекта групповой политики введите и нажмите кнопку ОК (где — это имя этого объекта групповой политики).In the New GPO dialog box, type , and click OK (where is the name of this GPO).

    Снимок экрана, на котором показано, где присвоить имя G P O, чтобы можно было защитить группы администраторов.

  5. В области сведений щелкните правой кнопкой мыши и выберите команду изменить.In the details pane, right-click , and click Edit.

  6. Перейдите к компьютеру \ политики \ Параметры безопасности Локальные политики и щелкните Назначение прав пользователя.Navigate to Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies, and click User Rights Assignment.

    Снимок экрана, на котором показано, где можно перемещаться, чтобы выбрать администратора прав пользователя для защиты групп администраторов.

  7. Настройте права пользователя, чтобы разрешить членам группы "Администраторы" доступ к контроллерам домена по сети, выполнив следующие действия.Configure the user rights to allow members of the Administrators group to access domain controllers over the network by doing the following:

    1. Дважды щелкните доступ к этому компьютеру из сети и выберите определить параметры политики.Double-click Access to this computer from the network and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

    3. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

      Снимок экрана, показывающий, как проверить, настроены ли права пользователя на разрешение доступа к контроллерам домена по сети для членов группы "Администраторы".

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  8. Настройте права пользователя, чтобы разрешить членам группы "Администраторы" выполнять локальный вход, выполнив следующие действия.Configure the user rights to allow members of the Administrators group to log on locally by doing the following:

    1. Дважды щелкните параметр Разрешить локальный вход в систему и выберите определить эти параметры политики.Double-click Allow log on locally and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

    3. Введите Администраторы, щелкните проверить имена и нажмите кнопку ОК.Type Administrators, click Check Names, and click OK.

      Снимок экрана, показывающий, как проверить, настроены ли права пользователя на разрешение локального входа членам группы "Администраторы".

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  9. Настройте права пользователя, чтобы разрешить членам группы "Администраторы" выполнять вход через службы удаленных рабочих столов, выполнив следующие действия.Configure the user rights to allow members of the Administrators group to log on through Remote Desktop Services by doing the following:

    1. Дважды щелкните элемент Разрешить вход через службы удаленных рабочих столов и выберите определить эти параметры политики.Double-click Allow log on through Remote Desktop Services and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

    3. Введите Администраторы, щелкните Проверить имена и нажмите кнопку ОК.Type Administrators, click Check Names, and click OK.

      Снимок экрана, показывающий, как убедиться, что вы настроили права пользователя, чтобы разрешить членам группы "Администраторы" входить в систему с помощью службы удаленных рабочих столов.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  10. Чтобы выйти из редактор "Управление групповыми политиками", в меню файл выберите команду выход.To exit Group Policy Management Editor, click File, and click Exit.

  11. В Групповая политика управления свяжите объект групповой политики с подразделением контроллеров домена, выполнив следующие действия.In Group Policy Management, link the GPO to the domain controllers OU by doing the following:

    1. Перейдите к \домаинс \ (где — имя леса, а — имя домена, в котором вы хотите задать групповая политика).Navigate to the \Domains\ (where is the name of the forest and is the name of the domain where you want to set the Group Policy).

    2. Щелкните правой кнопкой мыши подразделение контроллеров домена и выберите команду связать существующий объект GPO.Right-click the domain controllers OU and click Link an existing GPO.

      Снимок экрана, на котором показана ссылка на существующий пункт меню GPO при попытке связать G P O с подразделением контроллеров домена.

    3. Выберите только что созданный объект групповой политики и нажмите кнопку ОК.Select the GPO that you just created and click OK.

      Снимок экрана, на котором показано, где выбрать объект групповой политики, который вы только что создали при связывании G P O с рабочими станциями и сервером.

Этапы проверкиVerification Steps

Проверьте параметры объекта групповой политики "запретить доступ к этому компьютеру из сети"Verify "Deny access to this computer from the network" GPO Settings

С любого рядового сервера или рабочей станции, на который не влияют изменения объекта групповой политики (например, "сервер переходов"), попытайтесь получить доступ к рядовому серверу или рабочей станции по сети, на которую влияют изменения объекта групповой политики.From any member server or workstation that is not affected by the GPO changes (such as a "jump server"), attempt to access a member server or workstation over the network that is affected by the GPO changes. Чтобы проверить параметры объекта групповой политики, попытайтесь выполнить сопоставление системного диска с помощью команды net use .To verify the GPO settings, attempt to map the system drive by using the NET USE command.

  1. Войдите в систему локально, используя учетную запись, которая является членом группы "Администраторы".Log on locally using an account that is a member of the Administrators group.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  3. В поле поиска введите командную строку, щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора , чтобы открыть командную строку с повышенными привилегиями.In the Search box, type command prompt, right-click Command Prompt, and then click Run as administrator to open an elevated command prompt.

  4. При появлении запроса на подтверждение повышения прав нажмите кнопку Да.When prompted to approve the elevation, click Yes.

    Снимок экрана, посвященный диалоговому окну "контроль учетных записей пользователей".

  5. В окне командной строки введите net use \ \ <Server Name> \C $, где <Server Name> — это имя рядового сервера или рабочей станции, доступ к которой осуществляется по сети.In the Command Prompt window, type net use \\<Server Name>\c$, where <Server Name> is the name of the member server or workstation you're attempting to access over the network.

  6. На следующем снимке экрана показано сообщение об ошибке, которое должно появиться.The following screenshot shows the error message that should appear.

    Снимок экрана, на котором выделено сообщение об ошибке при входе.

Проверка параметров объекта групповой политики "запретить вход в систему в качестве пакетного задания"Verify "Deny log on as a batch job" GPO Settings

Войдите в систему с любого рядового сервера или рабочей станции, затронутой изменением объектов групповой политики.From any member server or workstation affected by the GPO changes, log on locally.

Создание пакетного файлаCreate a Batch File
  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  2. В поле поиска введите Блокнот и щелкните Блокнот.In the Search box, type notepad, and click Notepad.

  3. В блокноте введите dir c:.In Notepad, type dir c:.

  4. Щелкните файл и выберите Сохранить как.Click File, and click Save As.

  5. В поле имя файла введите . bat (где — имя нового пакетного файла).In the File name field, type .bat (where is the name of the new batch file).

Планирование задачиSchedule a Task
  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  2. В поле поиска введите Task Scheduler (планировщик заданий) и нажмите кнопку планировщик задач.In the Search box, type task scheduler, and click Task Scheduler.

    Примечание

    На компьютерах под управлением Windows 8 в поле поиска введите Schedule Tasks (расписание задач) и щелкните Schedule Tasks (планирование задач).On computers running Windows 8, in the Search box, type schedule tasks, and click Schedule tasks.

  3. Щелкните действие и выберите создать задачу.Click Action, and click Create Task.

  4. В диалоговом окне Создание задачи введите (где — имя новой задачи).In the Create Task dialog box, type (where is the name of the new task).

  5. Перейдите на вкладку действия и нажмите кнопку создать.Click the Actions tab, and click New.

  6. В поле действие выберите запустить программу.In the Action field, select Start a program.

  7. В поле Программа/сценарий нажмите кнопку Обзор, найдите и выберите пакетный файл, созданный в разделе Создание пакетного файла , и нажмите кнопку Открыть.In the Program/script field, click Browse, locate and select the batch file created in the Create a Batch File section, and click Open.

  8. Нажмите кнопку ОК.Click OK.

  9. Перейдите на вкладку Общие .Click the General tab.

  10. В поле Параметры безопасности щелкните изменить пользователя или группу.In the Security options field, click Change User or Group.

  11. Введите имя учетной записи, которая является членом группы "Администраторы", нажмите кнопку Проверить имена и нажмите кнопку ОК.Type the name of an account that is a member of the Administrators group, click Check Names, and click OK.

  12. Выберите выполнить, если пользователь вошел в систему или не хранит пароль.Select Run whether the user is logged on or not and Do not store password. Задача будет иметь доступ только к локальным ресурсам компьютера.The task will only have access to local computer resources.

  13. Нажмите кнопку ОК.Click OK.

  14. Появится диалоговое окно, запрашивающее учетные данные пользователя для выполнения задачи.A dialog box should appear, requesting user account credentials to run the task.

  15. После ввода пароля нажмите кнопку ОК.After entering the password, click OK.

  16. Появится диалоговое окно, похожее на следующее.A dialog box similar to the following should appear.

    Снимок экрана, на котором выделено диалоговое окно планировщик задач.

Проверка параметров объекта групповой политики "запретить вход в качестве службы"Verify "Deny log on as a service" GPO Settings
  1. Войдите в систему с любого рядового сервера или рабочей станции, затронутой изменением объектов групповой политики.From any member server or workstation affected by the GPO changes, log on locally.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  3. В поле поиска введите Services и щелкните службы.In the Search box, type services, and click Services.

  4. Выберите и дважды щелкните Диспетчер очереди печати.Locate and double-click Print Spooler.

  5. Перейдите на вкладку Вход в систему.Click the Log On tab.

  6. В поле Вход в качестве выберите Эта учетная запись.In the Log on as field, select This account.

  7. Нажмите кнопку Обзор, введите имя учетной записи, которая является членом группы "Администраторы", нажмите кнопку Проверить имена и нажмите кнопку ОК.Click Browse, type the name of an account that is a member of the Administrators group, click Check Names, and click OK.

  8. В полях пароль и Подтверждение пароля введите пароль выбранной учетной записи и нажмите кнопку ОК.In the Password and Confirm password fields, type the selected account's password, and click OK.

  9. Еще три раза нажмите кнопку ОК .Click OK three more times.

  10. Щелкните правой кнопкой мыши Диспетчер очереди печати и выберите команду перезапустить.Right-click Print Spooler and click Restart.

  11. При перезапуске службы появится диалоговое окно, похожее на следующее.When the service is restarted, a dialog box similar to the following should appear.

    Защита групп администраторов

Отмена изменений в службе диспетчера очереди печатиRevert Changes to the Printer Spooler Service
  1. Войдите в систему с любого рядового сервера или рабочей станции, затронутой изменением объектов групповой политики.From any member server or workstation affected by the GPO changes, log on locally.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  3. В поле поиска введите Services и щелкните службы.In the Search box, type services, and click Services.

  4. Выберите и дважды щелкните Диспетчер очереди печати.Locate and double-click Print Spooler.

  5. Перейдите на вкладку Вход в систему.Click the Log On tab.

  6. В поле Вход в качестве выберите пункт Локальная системная учетная запись и нажмите кнопку ОК.In the Log on as field, click Local System account, and click OK.