Programovanie

Výukový program: Radosti zo skupinových politík systému Windows Server

Keď spoločnosť Microsoft predstavila objekty skupinovej politiky (GPO) spolu so systémom Windows Server 2000 pred takmer 17 rokmi, predstavovali nový vzrušujúci prístup k správe používateľských a systémových povolení. Dnes sú jednoducho súčasťou administratívneho spracovania dreva a v dôsledku toho niektorí správcovia IT zabudli na to, aké silné môžu byť tieto nastavenia a kedy ich možno použiť na riešenie problémov.

Keď bude Windows Server 2016 vydaný neskôr na jeseň tohto roku, zachová si tieto šikovné GPO a ponechá ich nezmenené, okrem pridania niektorých nastavení špecifických pre Windows Server 2016 a Windows 10. Ak sa nezlomí ...

Nástroje konzoly na správu skupinovej politiky sú nainštalované v službe Active Directory, ale aby skupinové politiky skutočne fungovali, potrebujete služby Active Directory Domain Services (ADFS). Na riadenie serverov alebo pracovných staníc musia byť tieto servery pripojené k doméne. Aj keď je možné miestne politiky nakonfigurovať pre jednotlivé počítače (bez domén), jedná sa o jednorazový scenár, ktorý nezasahuje do základnej hodnoty implementácie skupinovej politiky pre riadenie viacerých systémov a používateľov naraz.

Existujú tisíce možných konfiguračných nastavení a možností pre objekty GPO. Najjednoduchší spôsob, ako nájsť cestu k nastaveniu, je identifikovať jeho cestu k umiestneniu v nástroji Group Policy Management Console (GPMC), ako je to znázornené na obrázku 1. Cesta k umiestneniu zobrazuje úplnú cestu k hľadaným nastaveniam v rovnakým spôsobom môžete hľadať súbor, ktorý je zakopaný vo viacerých priečinkoch.

Tri použitia skupinových politík sú dobrým východiskovým bodom pre začínajúceho správcu aj pre skúseného správcu, ktorý zásady skupiny považoval za samozrejmosť a prestal hľadať spôsoby, ako ich použiť pre nové potreby. (Keď budete pripravení ísť hlbšie, spoločnosť Microsoft má dobrý a podrobný návod, ktorý sa venuje zložitostiam skupinových politík.)

Príklad GPO 1: Vynútiť zložitosť hesla

Ak chcete vytvoriť politiku zložitosti hesla, ktorá sa vzťahuje na všetkých používateľov v doméne, postupujte takto:

  1. Otvorte konzolu na správu skupinovej politiky.
  2. Rozbaľte kontajner Domény a vyberte názov svojej domény.
  3. Pravým tlačidlom myši kliknite na názov domény a vyberte možnosť Vytvoriť objekt GPO v tejto doméne a prepojiť ho tu.
  4. Pomenujte nový objekt zásad skupiny (napríklad Zásady zložitosti hesla) a kliknite na tlačidlo OK.
  5. Keď sú pravidlá vo vašej doméne viditeľné, kliknite na ne pravým tlačidlom myši a vyberte príkaz Upraviť. Týmto sa otvorí editor správy zásad skupiny (GPME).
  6. Prejdite na cestu k umiestneniu v GPME, ako je to znázornené na obrázku 2: GPO_name\ Konfigurácia počítača \ Zásady \ Nastavenia systému Windows \ Nastavenia zabezpečenia \ Zásady účtu \ Zásady hesla.
  7. Pravým tlačidlom myši kliknite na možnosť Heslo musí spĺňať požiadavky na zložitosť a kliknite na položku Vlastnosti, ako je to znázornené na obrázku 3.
  8. Začiarknite políčko Definovať toto nastavenie politiky, začiarknite políčko Povolené a potom kliknite na tlačidlo OK. Poznámka: Môžete tiež kliknúť na kartu Vysvetlenie a získať úplné vysvetlenie toho, čo toto nastavenie robí.

Do tohto GPO samozrejme patria ďalšie nastavenia. Môžete napríklad povoliť požiadavky na zložitosť a nastaviť minimálnu dĺžku hesla, napríklad na osem znakov.

Príklad 2 GPO: Zakážte jednotky USB

Niektoré zásady je potrebné aplikovať situačne (na organizačnú jednotku, aka OU), napríklad na deaktiváciu zariadení USB. Napríklad môžete mať na svojich laptopoch bojovníkov na ceste, ktorí potrebujú prístup USB, zatiaľ čo možno budete chcieť uzamknúť USB porty vlastných počítačov.

Tu je príklad, ako vytvoríte takúto situačnú politiku:

  1. V konzole na správu skupinovej politiky rozbaľte názov domény a vyhľadajte kontajner Objekty skupinovej politiky. Spravidla sú v tomto kontajneri dve predvolené zásady (predvolený radič domény a predvolené pravidlá domény), ale ak ste nakonfigurovali politiku zložitosti hesla, tiež sa zobrazí.
  2. Pravým tlačidlom myši kliknite na priečinok Objekty skupinovej politiky a kliknite na položku Nové.
  3. Nový GPO pomenujte ako USB Restriction a kliknite na OK.
  4. Vyberte politiku a kliknutím na Upraviť otvorte Editor správy skupinových politík.
  5. Prejdite na GPO_name\ Konfigurácia počítača \ Politiky \ Šablóny pre správu \ Systém \ Prístup k vymeniteľnému úložisku, ako ukazuje obrázok 4.
  6. Dvakrát kliknite na nastavenie, začiarknite políčko Povolené a potom kliknite na tlačidlo OK alebo Použiť.

Ako ukazuje obrázok 4, môžete si vybrať z rôznych nastavení. Tu som vybral na konfiguráciu možnosť Všetky triedy vymeniteľného úložiska: Zakázať všetok prístup. Ak kliknete na kartu Rozšírené, na table s popisom sa zobrazí popis vybratého nastavenia.

Nezabudnite, že v tomto okamihu ste vytvorili iba nastavenie politiky. ty si to s ničím nespájal. Prepojenie:

  1. Vyberte doménu v konzole na správu skupinovej politiky alebo organizačnú jednotku, ktorú máte zavedenú.
  2. Pravým tlačidlom myši kliknite na organizačnú jednotku (ako je znázornené na obrázku 5) a vyberte príkaz Prepojiť existujúci objekt GPO.
  3. Vyberte objekt USB Restriction GPO a kliknite na tlačidlo OK.
  4. Pravým tlačidlom myši kliknite na objekt GPO, ktorý je teraz prepojený, a začiarknutím možnosti Vynútené ho vynútite prostredníctvom tohto objektu GPO.

Aplikácia skupinových politík na systémy a používateľov trvá nejaký čas, zmeny však môžete vynútiť otvorením príkazového riadku a zadaním príkazu gpupdate / sila.

Po uplatnení tejto zásady by mal používateľ, ktorý sa pokúša predstaviť zariadenie USB, dostať správu „Prístup odmietnutý“.

Príklad GPO 3: Zakázať vytváranie súborov PST

Všetci sme sa zaoberali nočnou morou dodržiavania predpisov, ktorá vyplýva z používania súborov poštových schránok PST. Ako teda zabrániť používateľom, aby ich vytvorili? Samozrejme so skupinovou politikou. (Áno, môžete na to použiť úpravy konfigurácie registra, ale skupinová politika je oveľa ľahšia a rýchlejšia.)

Ak chcete vykonať zmeny, musíte si najskôr stiahnuť šablóny na správu politiky skupiny pre verziu balíka Office, do ktorej ukladáte nastavenia. Po nainštalovaní týchto šablón (ktoré môžu vyžadovať určité doplnenie) môžete použiť ďalšie nastavenia (zobrazené na obrázku 6) na riadenie tejto verzie balíka Office prostredníctvom skupinovej politiky.

Keď ste si vybrali úroveň webu, domény alebo organizačnej jednotky, na ktorú chcete politiku použiť, a otvorili ste Editor správy zásad skupiny, prejdite na GPO_name\ Konfigurácia používateľa \ Politiky \ Šablóny pre správu \ Microsoft Outlook 2016 \ Rôzne \ Nastavenia PST.

Možno budete chcieť nakonfigurovať dve nastavenia. Prvým je Zabrániť používateľom v pridávaní nového obsahu k existujúcim súborom PST, čo (ako naznačuje jeho názov) bráni používateľom v pridávaní ďalších e-mailov k súborom PST, ktoré už majú. Druhým nastavením je Prevent Users in Adding PSTs to Outlook Profiles alebo Prevent Use Sharing-Exclusive PSTs, ktorá blokuje vytváranie nových PST súborov vašimi užívateľmi.

$config[zx-auto] not found$config[zx-overlay] not found