Vodič: Radost grupnih pravila sustava Windows Server

Kada je Microsoft prije gotovo 17 godina predstavio objekte grupnih pravila (GPO) zajedno sa sustavom Windows Server 2000, to je bio uzbudljiv novi pristup upravljanju korisničkim i sistemskim dozvolama. Danas su oni jednostavno dio administrativne stolarije i kao rezultat toga, neki su IT administratori zaboravili koliko te postavke mogu biti moćne i kada se mogu koristiti za rješavanje problema.

Kada se kasnije ove jeseni objavi Windows Server 2016, sačuvat će one tako zgodne GPO-ove, ostavljajući ih nepromijenjenima, osim dodavanja nekih postavki specifičnih za Windows Server 2016 i Windows 10. Ako se ne pokvari ...

Alati konzole za upravljanje politikama grupa instalirani su s Active Directoryom, ali trebaju vam Active Directory Domain Services (ADFS) da bi grupne politike stvarno funkcionirale. Da bi kontrolirali poslužitelje ili radne stanice, oni moraju biti povezani (ili "pridruženi") na domenu. Iako se lokalna pravila mogu konfigurirati za pojedinačna (ne-domeni pridružena) računala, to je jednokratni scenarij koji ne iskorištava suštinsku vrijednost implementacije grupnih pravila za kontrolu više sustava i korisnika odjednom.

Postoje tisuće potencijalnih postavki konfiguracije i opcija za GPO-ove. Najlakši način da pronađete put do postavke je identificiranje putanje do nje u alatu Group Policy Management Console (GPMC), kao što je prikazano na slici 1. Staza lokacije pokazuje vam puni put do postavki koje tražite, u na isti način na koji možete potražiti datoteku koja je zakopana u više mapa.

Tri upotrebe pravila grupe čine dobru polaznu točku i za administratora za početnike i za iskusnog administratora koji je pravila grupe prihvatio zdravo za gotovo i prestao tražiti načine da ih koristi za nove potrebe. (Kada budete spremni dublje kopati, Microsoft ima dobar, detaljan vodič koji ulazi u zamršenost pravila grupe.)

Primjer GPO-a 1: nametnite složenost lozinke

Da biste kreirali politiku složenosti lozinke koja se odnosi na sve korisnike u domeni, poduzmite sljedeće korake:

  1. Otvorite svoju konzolu za upravljanje grupnim pravilima.
  2. Proširite spremnik Domene i odaberite naziv domene.
  3. Desnom tipkom miša kliknite naziv domene i odaberite opciju Stvori GPO u ovoj domeni te ga povežite ovdje.
  4. Dajte imenu novom GPO-u (na primjer, Pravila složenosti lozinke) i kliknite U redu.
  5. Kada su pravila vidljiva na vašoj domeni, kliknite je desnom tipkom miša i odaberite Uredi. Ovo otvara uređivač upravljanja grupnim pravilima (GPME).
  6. Spustite se na putu mjesto u GPME, kao što je prikazano na slici 2: GPO_name\Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  7. Desnom tipkom miša kliknite opciju Lozinka mora ispunjavati zahtjeve složenosti i kliknite Svojstva, kao što je prikazano na slici 3.
  8. Označite okvir Definiraj ovu postavku pravila, označite Omogućeno, a zatim kliknite U redu. Napomena: Možete i kliknuti karticu Objasni za cjelovito objašnjenje onoga što ova postavka radi.

Postoje naravno i druge postavke koje možete uključiti u ovaj GPO. Na primjer, možete omogućiti zahtjeve složenosti i postaviti minimalnu duljinu lozinke na, recimo, osam znakova.

GPO primjer 2: Onemogućite USB pogone

Neke se politike moraju primijeniti situacijski (na organizacijsku jedinicu, poznatu i kao OU), poput onemogućavanja USB uređaja. Na primjer, možda imate ratnike na cestama kojima je potreban USB pristup na svojim prijenosnim računalima, dok biste možda htjeli zaključati USB priključke internih računala.

Evo kako kreirate takvu situacijsku politiku:

  1. U konzoli upravljanja grupnim pravilima proširite naziv domene i potražite spremnik Objekata pravila politike. U tom su spremniku obično dvije zadane politike (zadani kontroler domene i zadane domene), ali ako ste konfigurirali pravila složenosti lozinke, ona će se također prikazati.
  2. Desnom tipkom miške kliknite mapu Objekti pravila politike i kliknite Novo.
  3. Dajte novom GPO-u naziv poput USB Ograničenje i kliknite U redu.
  4. Odaberite pravilo i kliknite Uredi da biste otvorili Uređivač upravljanja grupnim pravilima.
  5. Dođite do GPO_name\Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access, kao što prikazuje slika 4.
  6. Dvaput kliknite postavku, označite Omogućeno, a zatim kliknite U redu ili Primijeni.

Kao što prikazuje slika 4, postoji izbor različitih postavki. Ovdje sam za konfiguriranje odabrao opciju Sve uklonjive klase pohrane: Zabrani pristup. Opis odabrane postavke možete vidjeti u oknu opisa ako kliknete karticu Prošireno.

Imajte na umu da ste u ovom trenutku stvorili samo postavke pravila; niste ga povezali ni s čim. Da biste ga povezali:

  1. Odaberite domenu u Konzoli za upravljanje grupnim pravilima ili organizacijsku jedinicu koju imate.
  2. Desnom tipkom miša kliknite organizacijsku jedinicu (kao što je prikazano na slici 5) i odaberite Poveži postojeći GPO.
  3. Odaberite GPO ograničenja za USB i kliknite U redu.
  4. Desnom tipkom miša kliknite GPO koji je sada povezan i označite opciju Prinudno da biste ga primijenili na tom GPO-u.

Potrebno je neko vrijeme da bi se grupne politike primijenile na sustave i korisnike, ali promjene možete prisiliti na primjenu otvaranjem naredbenog retka i tipkanjem gpupdate /force.

Jednom kada se ovo pravilo primijeni, korisnik koji pokuša predstaviti USB uređaj trebao bi dobiti poruku "odbijen pristup".

GPO primjer 3: Onemogućite stvaranje PST datoteke

Svi smo se suočili s košmarom o usklađenosti koji dolazi od korištenja datoteka PST poštanskog sandučića. Pa kako spriječiti korisnike da ih kreiraju? Uz grupnu politiku, naravno. (Da, postoje uređivanja konfiguracije registra koja možete koristiti za to, ali pravila grupe su puno lakša i brža.)

Da biste unijeli promjene, prvo morate preuzeti administrativne predloške pravila grupe za verziju sustava Office kojoj namećete postavke. Jednom kada se ti predlošci instaliraju (što može zahtijevati neko finaliziranje), primjenjujete dodatne postavke (prikazane na slici 6) za kontrolu te verzije sustava Office putem pravila grupe.

Nakon što odaberete razinu web mjesta, domene ili organizacijske jedinice za primjenu pravila i otvorite Uređivač upravljanja grupnim pravilima, dođite do GPO_name\User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous\PST Settings.

Dvije su postavke koje biste željeli konfigurirati. Prvo je spriječiti korisnike da dodaju novi sadržaj u postojeće PST datoteke, što (kao što mu i samo ime govori) sprječava korisnike da dodaju više e-pošte u PST-ove koje već imaju. Druga je postavka Sprečiti korisnike da dodaju PST-ove u Outlook profile i / ili spriječiti upotrebu ekskluzivnih PST-ova, koji blokiraju stvaranje novih PST datoteka od strane vaših korisnika.