Programování

Výukový program: Radosti ze skupinových zásad systému Windows Server

Když společnost Microsoft před téměř 17 lety představila objekty zásad skupiny (GPO) spolu se systémem Windows Server 2000, představovaly nový vzrušující přístup ke správě uživatelských a systémových oprávnění. Dnes jsou prostě součástí administrativního zpracování dřeva a ve výsledku někteří IT administrátoři zapomněli, jak silná mohou být tato nastavení a kdy je lze použít k řešení problémů.

Když bude Windows Server 2016 vydán později letos na podzim, zachová si tyto skvělé GPO a ponechá je beze změny, kromě přidání některých nastavení specifických pro Windows Server 2016 a Windows 10. Pokud se nerozbije ...

Nástroje konzoly pro správu zásad skupiny jsou nainstalovány se službou Active Directory, ale pro skutečné fungování zásad skupiny potřebujete službu ADFS (Active Directory Domain Services). Chcete-li ovládat servery nebo pracovní stanice, musí být připojeny (aka „připojeny“) k doméně. I když lze místní zásady konfigurovat pro jednotlivé počítače (bez domén), jedná se o jednorázový scénář, který nezasahuje do základní hodnoty implementace zásad skupiny pro ovládání více systémů a uživatelů najednou.

Existují tisíce možných nastavení konfigurace a možností pro objekty GPO. Nejjednodušší způsob, jak najít cestu k nastavení, je identifikovat jeho cestu k umístění v nástroji Group Policy Management Console (GPMC), jak je znázorněno na obrázku 1. Cesta k umístění zobrazuje úplnou cestu k požadovanému nastavení v stejným způsobem můžete hledat soubor, který je uložen ve více složkách.

Tři použití zásad skupiny jsou dobrým výchozím bodem jak pro začátečníka, tak pro zkušeného správce, který zásady skupiny považoval za samozřejmost a přestal hledat způsoby, jak je použít pro nové potřeby. (Až budete připraveni hlouběji prozkoumat, Microsoft má dobrý podrobný výukový program, který vás seznámí se složitostmi skupinových zásad.)

Příklad GPO 1: Vynutit složitost hesla

Chcete-li vytvořit zásadu složitosti hesla, která platí pro všechny uživatele v doméně, proveďte následující kroky:

  1. Otevřete konzolu pro správu zásad skupiny.
  2. Rozbalte kontejner Domény a vyberte název své domény.
  3. Klikněte pravým tlačítkem na název domény a vyberte možnost Vytvořit GPO v této doméně a propojit jej zde.
  4. Pojmenujte nový objekt zásad skupiny (například Zásady složitosti hesla) a klikněte na OK.
  5. Jakmile je zásada ve vaší doméně viditelná, klikněte na ni pravým tlačítkem a zvolte Upravit. Otevře se editor správy zásad skupiny (GPME).
  6. Přejděte dolů na cestu k umístění v GPME, jak je znázorněno na obrázku 2: GPO_name\ Konfigurace počítače \ Zásady \ Nastavení systému Windows \ Nastavení zabezpečení \ Zásady účtu \ Zásady hesla.
  7. Klikněte pravým tlačítkem na možnost Heslo musí splňovat požadavky na složitost a klikněte na Vlastnosti, jak je znázorněno na obrázku 3.
  8. Zaškrtněte políčko Definovat toto nastavení zásad, zaškrtněte políčko Povoleno a poté klikněte na OK. Poznámka: Můžete také kliknout na kartu Vysvětlení a získat úplné vysvětlení toho, co toto nastavení dělá.

Samozřejmě existují i ​​další nastavení, která můžete zahrnout do tohoto GPO. Můžete například povolit požadavky na složitost a nastavit minimální délku hesla například na osm znaků.

Příklad GPO 2: Zakázat USB disky

Některé zásady je třeba aplikovat situačně (na organizační jednotku, alias organizační jednotku), například zakázat zařízení USB. Například můžete mít na svých laptopech silniční válečníky, kteří potřebují přístup USB, zatímco možná budete chtít uzamknout interní USB porty počítačů.

Takto vytváříte takovou situační politiku:

  1. V konzole pro správu zásad skupiny rozbalte název domény a vyhledejte kontejner Objekty zásad skupiny. V tomto kontejneru jsou obvykle dvě výchozí zásady (Výchozí řadič domény a Výchozí zásady domény), ale pokud jste nakonfigurovali Zásady složitosti hesla, také se zobrazí.
  2. Klepněte pravým tlačítkem myši na složku Objekty zásad skupiny a klepněte na příkaz Nový.
  3. Pojmenujte nový objekt zásad skupiny jako USB Restriction a klikněte na OK.
  4. Vyberte zásady a kliknutím na Upravit otevřete editor správy zásad skupiny.
  5. Navigovat do GPO_name\ Konfigurace počítače \ Zásady \ Šablony pro správu \ Systém \ Přístup k vyměnitelnému úložišti, jak ukazuje obrázek 4.
  6. Poklepejte na nastavení, zaškrtněte políčko Povoleno a poté klepněte na OK nebo Použít.

Jak ukazuje obrázek 4, můžete si vybrat z různých nastavení. Tady jsem vybral možnost Konfigurovat všechny vyměnitelné třídy úložiště: Odepřít veškerý přístup. Popis vybraného nastavení můžete zobrazit v podokně popisu, pokud kliknete na kartu Rozšířené.

Pamatujte, že jste v tomto okamžiku vytvořili pouze nastavení zásad; nespojili jste to s ničím. Chcete-li jej propojit:

  1. Vyberte doménu v konzole pro správu zásad skupiny nebo organizační jednotku, kterou máte zavedenou.
  2. Klikněte pravým tlačítkem na organizační jednotku (jak je znázorněno na obrázku 5) a vyberte Propojit existující objekt zásad skupiny.
  3. Vyberte GPO USB Restriction a klikněte na OK.
  4. Klikněte pravým tlačítkem na objekt GPO, který je nyní propojen, a zaškrtnutím možnosti Vynutit jej vynuťte přes tento objekt GPO.

Použití skupinových zásad na systémy a uživatele nějakou dobu trvá, ale vynutit změny lze vynutit otevřením příkazového řádku a zadáním gpupdate / síla.

Jakmile se tato zásada uplatní, měl by uživatel, který se pokusí zavést zařízení USB, dostat zprávu „přístup odepřen“.

Příklad GPO 3: Zakázat vytváření souborů PST

Všichni jsme se zabývali noční můrou dodržování předpisů, která vychází z používání souborů poštovních schránek PST. Jak tedy zabránit uživatelům v jejich vytváření? Samozřejmě s politikou skupiny. (Ano, můžete k tomu použít úpravy konfigurace registru, ale zásady skupiny jsou mnohem jednodušší a rychlejší.)

Chcete-li provést změny, musíte si nejprve stáhnout šablony pro správu zásad skupiny pro verzi Office, na kterou ukládáte nastavení. Jakmile jsou tyto šablony nainstalovány (což může vyžadovat určité finagling), použijete další nastavení (zobrazené na obrázku 6) pro ovládání této verze Office prostřednictvím zásad skupiny.

Jakmile vyberete úroveň webu, domény nebo organizační jednotky, na kterou chcete zásady použít, a otevřete editor správy zásad skupiny, přejděte na GPO_name\ User Configuration \ Policies \ Administrative Templates \ Microsoft Outlook 2016 \ Miscellaneous \ PST Settings.

Možná budete chtít nakonfigurovat dvě nastavení. Prvním z nich je Zabránit uživatelům v přidávání nového obsahu do existujících souborů PST, což (jak název napovídá) brání uživatelům v přidávání více e-mailů k PST, které již mají. Druhým nastavením je Zabránit uživatelům v přidávání PST do profilů aplikace Outlook a / nebo Zabránit použití exkluzivních PST ve sdílení, které blokují vytváření nových souborů PST vašimi uživateli.

$config[zx-auto] not found$config[zx-overlay] not found