Samouczek: Radość z zasad grupy systemu Windows Server

Kiedy Microsoft wprowadził obiekty zasad grupy (GPO) wraz z Windows Server 2000 prawie 17 lat temu, były one ekscytującym nowym podejściem do zarządzania uprawnieniami użytkowników i systemu. Dziś są po prostu częścią stolarki administracyjnej, w wyniku czego niektórzy administratorzy IT zapomnieli, jak potężne mogą być te ustawienia i kiedy można ich używać do rozwiązywania problemów.

Kiedy Windows Server 2016 zostanie wydany później tej jesieni, zachowa te bardzo przydatne obiekty GPO, pozostawiając je niezmienione, z wyjątkiem dodania niektórych ustawień specyficznych dla Windows Server 2016 i Windows 10. Jeśli nie jest zepsuty ...

Narzędzia konsoli zarządzania zasadami grupy są instalowane z usługą Active Directory, ale do działania zasad grupy potrzebne są usługi domenowe w usłudze Active Directory (ADFS). Aby kontrolować serwery lub stacje robocze, muszą być one połączone (czyli „przyłączone”) do domeny. Chociaż zasady lokalne można skonfigurować dla pojedynczych komputerów (nie przyłączonych do domeny), jest to scenariusz jednorazowy, który nie wykorzystuje podstawowej wartości wdrażania zasad grupy w celu kontrolowania wielu systemów i użytkowników jednocześnie.

Istnieją tysiące potencjalnych ustawień i opcji konfiguracji obiektów zasad grupy. Najłatwiejszym sposobem znalezienia drogi do ustawienia jest określenie jego ścieżki lokalizacji w narzędziu konsoli zarządzania zasadami grupy (GPMC), jak pokazano na rysunku 1. Ścieżka lokalizacji pokazuje pełną ścieżkę do szukanych ustawień w w ten sam sposób możesz szukać pliku, który jest zakopany w wielu folderach.

Trzy zastosowania zasad grupowych stanowią dobry punkt wyjścia zarówno dla początkującego administratora, jak i dla doświadczonego administratora, który uznał zasady grupowe za coś oczywistego i przestał szukać sposobów wykorzystania ich do nowych potrzeb. (Kiedy jesteś gotowy, aby zagłębić się w szczegóły, firma Microsoft ma dobry, szczegółowy samouczek, który omawia zawiłości zasad grupowych).

Przykład GPO 1: wymuszanie złożoności hasła

Aby utworzyć zasadę złożoności haseł, która ma zastosowanie do wszystkich użytkowników w domenie, wykonaj następujące kroki:

  1. Otwórz konsolę zarządzania zasadami grupy.
  2. Rozwiń kontener Domeny i wybierz nazwę swojej domeny.
  3. Kliknij prawym przyciskiem myszy nazwę domeny i wybierz opcję Utwórz obiekt zasad grupy w tej domenie i połącz go tutaj.
  4. Nadaj nowemu obiektowi zasad grupy nazwę (na przykład Zasady złożoności haseł) i kliknij OK.
  5. Gdy zasada będzie widoczna w Twojej domenie, kliknij ją prawym przyciskiem myszy i wybierz Edytuj. Spowoduje to otwarcie Edytora zarządzania zasadami grupy (GPME).
  6. Wiertarka do ścieżki lokalizacji w GPME, jak to pokazano na rysunku 2: GPO_name\Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  7. Kliknij prawym przyciskiem myszy opcję Hasło musi spełniać wymagania dotyczące złożoności i kliknij opcję Właściwości, jak pokazano na rysunku 3.
  8. Zaznacz pole Define This Policy Setting, zaznacz Enabled, a następnie kliknij OK. Uwaga: możesz także kliknąć kartę Wyjaśnij, aby uzyskać pełne wyjaśnienie, do czego służy to ustawienie.

Istnieją oczywiście inne ustawienia, które możesz uwzględnić w tym obiekcie zasad grupy. Na przykład możesz włączyć wymagania dotyczące złożoności i ustawić minimalną długość hasła na, powiedzmy, osiem znaków.

Przykład GPO 2: Wyłącz dyski USB

Niektóre zasady muszą być stosowane sytuacyjnie (do jednostki organizacyjnej, czyli jednostki organizacyjnej), na przykład wyłączanie urządzeń USB. Na przykład możesz mieć wojowników drogowych, którzy potrzebują dostępu do USB na swoich laptopach, podczas gdy możesz chcieć zablokować porty USB wewnętrznych komputerów.

Oto jak tworzysz taką politykę sytuacyjną:

  1. W konsoli zarządzania zasadami grupy rozwiń nazwę domeny i poszukaj kontenera Group Policy Objects. Zazwyczaj w tym kontenerze znajdują się dwie domyślne zasady (domyślny kontroler domeny i domyślne zasady domeny), ale jeśli skonfigurowano zasadę złożoności haseł, zostaną one również wyświetlone.
  2. Kliknij prawym przyciskiem myszy folder Group Policy Objects i kliknij New.
  3. Nadaj nowemu obiektowi GPO nazwę, taką jak Ograniczenie USB, i kliknij OK.
  4. Wybierz zasadę i kliknij Edytuj, aby otworzyć Edytor zarządzania zasadami grupy.
  5. Przejdź do GPO_name\Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access, jak pokazano na rysunku 4.
  6. Kliknij dwukrotnie ustawienie, zaznacz opcję Włączone, a następnie kliknij przycisk OK lub Zastosuj.

Jak pokazano na rysunku 4, do wyboru jest wiele różnych ustawień. Tutaj wybrałem opcję All Removable Storage Classes: Deny All Access, aby skonfigurować. Po kliknięciu zakładki Rozszerzone możesz zobaczyć opis wybranego ustawienia w panelu opisu.

Pamiętaj, że w tym momencie utworzyłeś tylko ustawienie zasad; nie powiązałeś tego z niczym. Aby to połączyć:

  1. Wybierz domenę w Konsoli zarządzania zasadami grupy lub posiadaną jednostkę organizacyjną.
  2. Kliknij prawym przyciskiem myszy jednostkę organizacyjną (jak pokazano na rysunku 5) i wybierz Połącz istniejący obiekt zasad grupy.
  3. Wybierz obiekt GPO z ograniczeniami USB i kliknij OK.
  4. Kliknij prawym przyciskiem myszy obiekt zasad grupy, który jest teraz połączony i zaznacz opcję Wymuszone, aby wymusić stosowanie go w tym obiekcie zasad grupy.

Zastosowanie zasad grupowych do systemów i użytkowników zajmuje trochę czasu, ale można wymusić wprowadzenie zmian, otwierając wiersz polecenia i wpisując gpupdate /force.

Po zastosowaniu tej zasady użytkownik, który próbuje wprowadzić urządzenie USB, powinien otrzymać komunikat „odmowa dostępu”.

Przykład GPO 3: Wyłącz tworzenie plików PST

Wszyscy mieliśmy do czynienia z koszmarem zgodności wynikającym z używania plików skrzynek pocztowych PST. Jak więc uniemożliwić użytkownikom ich tworzenie? Oczywiście z polityką grupową. (Tak, istnieją edycje konfiguracji rejestru, których możesz użyć, aby to zrobić, ale zasady grupy są znacznie łatwiejsze i szybsze).

Aby wprowadzić zmiany, musisz najpierw pobrać szablony administracyjne zasad grupy dla wersji pakietu Office, na którą nakładasz ustawienia. Po zainstalowaniu tych szablonów (co może wymagać pewnych czynności), należy zastosować dodatkowe ustawienia (pokazane na rysunku 6), aby kontrolować tę wersję pakietu Office za pomocą zasad grupy.

Po wybraniu poziomu witryny, domeny lub jednostki organizacyjnej do zastosowania zasad i po otwarciu Edytora zarządzania zasadami grupy przejdź do GPO_name\User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous\PST Settings.

Możesz chcieć skonfigurować dwa ustawienia. Pierwszym jest Uniemożliwianie użytkownikom dodawania nowej zawartości do istniejących plików PST, co (jak sama nazwa wskazuje) uniemożliwia użytkownikom dodawanie większej liczby wiadomości e-mail do już posiadanych plików PST. Drugie ustawienie to Zapobiegaj dodawaniu plików PST przez użytkowników do profili programu Outlook i / lub Zapobiegaj używaniu plików PST z wyłącznym udostępnianiem, które blokuje tworzenie nowych plików PST przez użytkowników.