Zasady grup GPO Mariusz Dubacki Cel lekcji Zapoznanie
Zasady grup GPO Mariusz Dubacki
Cel lekcji • Zapoznanie ze sposobami realizacji zasad grupy w systemie Windows Server
Czym są zasady grupy?
Zasady grupy • Zasady grupy to potężne narzędzie udostępnione administratorom systemów Windows w celu łatwiejszego zarządzania ustawieniami stacji roboczych. • Jak to rozwiązać? : Wyobraźmy sobie sytuację, w której musimy skonfigurować komputery w taki sposób, aby użytkownicy nie mogli dokonywać zmian konfiguracyjnych, w taki sposób, aby mogli uruchamiać tylko konkretne aplikacje lub też tak, aby mieli dostęp do tylko niezbędnych im do pracy składników systemu.
Zasady grupy 1. Jesteśmy w stanie wykonać te czynności konfigurując każdy komputer z osobna, jest to jednak czynność bardzo czasochłonna i niewygodna, a stopień tej „niewygody” wzrasta wraz z liczbą komputerów, którymi zarządzamy. 2. Można również napisać skrypt, który wykona te zadania i uruchomić go na wszystkich komputerach, ale i to nie jest zbyt wygodne rozwiązanie, a czasem wręcz niemożliwe ponieważ nie wszystkie nasze pomysły możemy w skrypcie zapisać. 3. I tutaj z pomocą przychodzą nam zasady grupy.
Zasady grupy wykorzystują scentralizowany system zarządzania, co oznacza, że konfiguracja tych zasad odbywa się na serwerze i poprzez odpowiednie mechanizmy rozsyłana jest na komputery klienckie.
• Wszystkie ustawienia przez nas zdefiniowane przechowywane są w obiektach zasad grupy (ang. Group Policy Objects), a do zarządzania tymi obiektami służy konsola zarządzania zasadami grupy (ang. Group Policy Management Console).
Główne typy ustawień GPO ustawienia komputera computer configuration ustawienia, które stosowane są dla komputerów bez względu na to, który użytkownik jest zalogowany i wprowadzane są podczas uruchamiania systemu operacyjnego (później są odświeżane co 90 -120 minut) ustawienia użytkownika user configuration ustawienia, które wprowadzane są podczas logowania użytkownika, bez względu na to na jaki komputer się loguje (również są one później odświeżane są co 90 -120 minut)
Główne typy ustawień • W ramach tych dwóch grup, możemy stosować setki różnych ustawień np. – zabronić dostępu do rejestru – pozwolić na uruchamianie tylko konkretnych aplikacji – zabronić dostępu do panelu sterowania – zabronić „włączenia” urządzeń wymiennych
Start -> Narzędzia administracyjne -> Zarządzanie zasadami grupy
Default Domain Policy • Default Domain Policy - link do domyślnych zasad przypisanych do całej domeny (znajduje się on bezpośrednio pod nazwą domeny, co oznacza, że jest stosowany właśnie do całej domeny). • Kliknij na Default Domain Policy, a następnie Ustawienia. jakie ustawienia są włączone?
Domain Controllers • Domain Controllers - jednostka organizacyjna, w której możemy umieszczać linki do zasad stosowanych dla kontrolera domeny (czyli naszego serwera). Domyślnie znajduje się tu Default Domain Controllers Policy.
Group Policy Objects • Obiekty zasad grupy (Group Policy Objects) - folder w którym znajdują się wszystkie zasady, które będą przez nas tworzone i stosowane. Po instalacji serwera znajdują się tam dwie wspomniane wcześniej.
Filtry usługi WMI • WMI Filters jest to folder, w którym możemy umieszczać filtry WMI, pozwalające określać zakres stosowania zasad na podstawie właściwości komputera, takich jak np. rodzaj zainstalowanego systemu operacyjnego.
Początkowe obiekty zasad grupy • Starter GPOs – zasady grup dla XP i Visty.
Tworzymy pierwszą zasadę grupy
Tworzymy pierwszą zasadę grupy 1. W domenie tworzymy jednostkę organizacyjną Prezesi. 2. W tej jednostce tworzymy użytkownika prezes 1
Tworzymy pierwszą zasadę grupy 3. Uruchamiamy Zarządzanie zasadami grupy
• Klikamy w element Użytkownicy uwierzytelnieni (Authenticated Users) i wybieramy Usuń. dlaczego ich usuwamy?
Dodajemy prezesa 1
Próba dostępu do Panelu Sterowania na stacji roboczej
• Jeśli zasady wprowadzamy kiedy już użytkownik jest zalogowany wówczas zaczną one działać dopiero po określonym czasie lub przy następnym zalogowaniu. • Możemy również zasady odświeżyć stosując polecenie konsoli Windows na stacji roboczej gpupdate /force wówczas zasada zacznie działać od razu.
• W tym przykładzie został stworzony obiekt zasad grupy działający dla jednego użytkownika, istnieje również możliwość przypisywania zasad dla wielu użytkowników, grupy lub też konkretnych komputerów.
- Slides: 33