Programiranje

Vadnica: veselje skupinskih pravilnikov sistema Windows Server

Ko je Microsoft pred skoraj 17 leti predstavil predmete skupinskih pravil (GPO) skupaj z Windows Server 2000, so bili nov vznemirljiv pristop k upravljanju uporabniških in sistemskih dovoljenj. Danes so preprosto del upravnega lesa, zato so nekateri IT-skrbniki pozabili, kako močne so lahko te nastavitve in kdaj jih je mogoče uporabiti za reševanje težav.

Ko bo sistem Windows Server 2016 izdan pozneje to jesen, bo ohranil tiste izjemno priročne GPO-je in jih pustil nespremenjene, razen dodajanja nekaterih nastavitev, značilnih za Windows Server 2016 in Windows 10. Če se ne pokvari ...

Orodja konzole za upravljanje pravilnikov skupine so nameščena z Active Directory, vendar za dejansko delovanje pravilnikov skupine potrebujete domenske storitve Active Directory (ADFS). Za nadzor strežnikov ali delovnih postaj morajo biti ti povezani z domeno. Čeprav je mogoče lokalne pravilnike konfigurirati za posamezne osebne računalnike (ki niso povezani z domeno), gre za enkraten scenarij, ki ne izkoristi bistvene vrednosti izvajanja skupinskih pravil za nadzor več sistemov in uporabnikov hkrati.

Obstaja na tisoče potencialnih konfiguracijskih nastavitev in možnosti za GPO. Najlažjo pot do nastavitve najdete tako, da v orodju Group Policy Management Console (GPMC) identificirate njeno lokacijsko pot, kot je prikazano na sliki 1. Lokacijska pot vam prikaže celotno pot do nastavitev, ki jih iščete, v na enak način lahko poiščete datoteko, ki je pokopana v več mapah.

Tri uporabe pravilnikov skupine so dobro izhodišče tako za skrbnika za začetnike kot za izkušenega skrbnika, ki je skupinske pravilnike vzel kot nekaj samoumevnega in prenehal iskati načine, kako jih uporabiti za nove potrebe. (Ko ste pripravljeni poglobiti se, ima Microsoft dobro, podrobno vadnico, ki podrobno preuči zapletenosti pravilnikov skupine.)

Primer GPO 1: Zagotovite zapletenost gesla

Če želite ustvariti pravilnik o zapletenosti gesla, ki velja za vse uporabnike v domeni, izvedite naslednje korake:

  1. Odprite konzolo za upravljanje pravilnika skupine.
  2. Razširite vsebnik Domains in izberite svoje ime domene.
  3. Z desno miškino tipko kliknite ime domene in izberite možnost Ustvari GPO v tej domeni in jo povežite tukaj.
  4. Poimenujte novega GPO (na primer Pravilnik o zapletenosti gesla) in kliknite V redu.
  5. Ko je pravilnik viden v vaši domeni, z desno miškino tipko kliknite pravilnik in izberite Uredi. S tem se odpre urejevalnik upravljanja pravilnika skupine (GPME).
  6. Razvrstite se do lokacijske poti v GPME, kot je prikazano na sliki 2: GPO_name\ Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Password Policy.
  7. Z desno tipko miške kliknite možnost Geslo mora izpolnjevati zahteve glede zapletenosti in kliknite Lastnosti, kot je prikazano na sliki 3.
  8. Potrdite polje Določite to nastavitev pravilnika, označite Omogočeno in kliknite V redu. Opomba: Za popolno razlago delovanja te nastavitve lahko kliknete tudi jeziček Explain.

V ta GPO lahko seveda vključite tudi druge nastavitve. Na primer, lahko omogočite zahteve glede zapletenosti in nastavite najmanjšo dolžino gesla na primer osem znakov.

Primer GPO 2: onemogočite pogone USB

Nekatere pravilnike je treba uporabiti situacijsko (za organizacijsko enoto, imenovano tudi OU), na primer onemogočiti naprave USB. Na primer, morda imate cestne bojevnike, ki na svojih prenosnikih potrebujejo dostop USB, medtem ko boste morda želeli zakleniti vrata USB internega računalnika.

Tako ustvarite takšno situacijsko politiko:

  1. V konzoli za upravljanje pravilnika skupine razširite ime domene in poiščite vsebnik predmetov pravilnika skupine. Običajno sta v tem vsebniku dva privzeta pravilnika (privzeti krmilnik domene in privzeti pravilnik domene), vendar se bo prikazal tudi, če ste konfigurirali pravilnik o zapletenosti gesla.
  2. Z desno tipko miške kliknite mapo Objekti pravilnika in kliknite Novo.
  3. Dajte novemu GPO ime, kot je Omejitev USB, in kliknite V redu.
  4. Izberite pravilnik in kliknite Uredi, da odprete urejevalnik upravljanja pravilnika skupine.
  5. Pomaknite se do GPO_name\ Computer Configuration \ Policies \ Administrative Templates \ System \ Removable Storage Access, kot prikazuje slika 4.
  6. Dvokliknite nastavitev, označite Enabled in nato V redu ali Uporabi.

Kot prikazuje slika 4, lahko izbirate med različnimi nastavitvami. Tu sem za konfiguracijo izbral možnost Vsi snemljivi razredi pomnilnika: Zavrni neomejen dostop. Če izberete jeziček Razširjeno, si lahko v podoknu z opisi ogledate izbrano nastavitev.

Upoštevajte, da ste na tej točki ustvarili samo nastavitve pravilnika; niste ga povezali z ničemer. Če ga želite povezati:

  1. Izberite domeno v konzoli za upravljanje pravilnika skupine ali organizacijsko enoto, ki jo imate.
  2. Z desno miškino tipko kliknite organizacijsko enoto (kot je prikazano na sliki 5) in izberite Poveži obstoječi GPO.
  3. Izberite GPO za omejitev USB in kliknite V redu.
  4. Z desno miškino tipko kliknite GPO, ki je zdaj povezan, in potrdite možnost Prisiljena, da jo uveljavite v tem GPO.

Nekaj ​​časa traja, da se pravilniki skupin uporabijo za sisteme in uporabnike, vendar lahko spremembe prisilite, tako da odprete ukazni poziv in vnesete gpupdate / force.

Ko je uporabljen ta pravilnik, mora uporabnik, ki poskuša predstaviti napravo USB, prejeti sporočilo »Dostop zavrnjen«.

Primer GPO 3: onemogočite ustvarjanje datotek PST

Vsi smo se spoprijeli z nočno moro skladnosti, ki izhaja iz uporabe datotek PST nabiralnika. Kako torej preprečiti, da bi jih uporabniki ustvarili? S politiko skupine, seveda. (Da, za to lahko uredite konfiguracijo registra, vendar je pravilnik skupine veliko lažji in hitrejši.)

Če želite spremeniti spremembe, morate najprej prenesti skrbniške predloge pravilnika skupine za različico sistema Office, ki mu naložite nastavitve. Ko so te predloge nameščene (kar bo morda zahtevalo nekaj dokončanja), uporabite dodatne nastavitve (prikazane na sliki 6) za nadzor te različice Officea s pravilnikom skupine.

Ko izberete raven spletnega mesta, domene ali organizacijske enote, na katero želite uporabiti pravilnik, in ste odprli urejevalnik upravljanja pravilnika skupine, pojdite na GPO_name\ User Configuration \ Policies \ Administrative Templates \ Microsoft Outlook 2016 \ Miscellaneous \ PST Settings.

Obstajata dve nastavitvi, ki ju boste morda želeli konfigurirati. Prvo je preprečiti uporabnikom dodajanje nove vsebine obstoječim datotekam PST, kar (kot že ime pove) preprečuje uporabnikom, da bi dodali več e-pošte v PST-je, ki jih že imajo. Druga nastavitev je Prepreči uporabnikom dodajanje PST-jev v Outlookove profile in / ali Prepreči uporabo skupnih PST-jev, ki blokirajo ustvarjanje novih datotek PST s strani uporabnikov.

Morda vam bo všeč tudi

$config[zx-auto] not found$config[zx-overlay] not found