Programmēšana

Apmācība: Windows servera grupu politikas prieki

Kad gandrīz pirms 17 gadiem Microsoft kopā ar Windows Server 2000 ieviesa grupas politikas objektus (GPO), tie bija jauna aizraujoša pieeja lietotāju un sistēmas atļauju pārvaldībai. Šodien viņi vienkārši ir daļa no administratīvā koka, un tādēļ daži IT administratori ir aizmirsuši, cik spēcīgi var būt šie iestatījumi un kad tos var izmantot problēmu risināšanai.

Kad Windows Server 2016 tiks izlaists vēlāk šoruden, tas saglabās šos ļoti noderīgos GPO, atstājot tos nemainītus, izņemot dažus iestatījumus, kas īpaši saistīti ar Windows Server 2016 un Windows 10. Ja tas nav salauzts ...

Grupas politikas pārvaldības konsoles rīki ir instalēti kopā ar Active Directory, taču jums ir nepieciešami Active Directory domēna pakalpojumi (ADFS), lai grupas politikas tiešām darbotos. Lai kontrolētu serverus vai darbstacijas, tiem jābūt savienotiem (aka "pievienojušies") ar domēnu. Kaut arī vietējās politikas var konfigurēt individuāliem (bez domēna pievienotiem) datoriem, tas ir vienreizējs scenārijs, kas neizmanto grupas politikas ieviešanas pamatvērtību, lai vienlaikus kontrolētu vairākas sistēmas un lietotājus.

Ir tūkstošiem potenciālo GPO konfigurācijas iestatījumu un opciju. Vienkāršākais veids, kā atrast ceļu uz iestatījumu, ir noteikt tā atrašanās vietas ceļu grupas politikas pārvaldības konsoles (GPMC) rīkā, kā parādīts 1. attēlā. Atrašanās vietas ceļš parāda visu meklēto iestatījumu ceļu tāpat jūs varētu meklēt failu, kas ir aprakts vairākās mapēs.

Trīs grupas politikas izmantošanas veidi ir labs sākumpunkts gan iesācēju administratoram, gan pieredzējušam administratoram, kurš grupas politikas uzskata par pašsaprotamām un vairs nemeklē veidus, kā tos izmantot jaunām vajadzībām. (Kad esat gatavs iedziļināties, Microsoft rīcībā ir laba, detalizēta apmācība, kurā iekļauti grupas politikas sarežģījumi.)

1. GPO piemērs: Paroles sarežģītības nodrošināšana

Lai izveidotu paroles sarežģītības politiku, kas attiecas uz visiem domēna lietotājiem, veiciet šādas darbības:

  1. Atveriet grupas politikas pārvaldības konsoli.
  2. Izvērsiet konteineru Domēni un atlasiet sava domēna nosaukumu.
  3. Ar peles labo pogu noklikšķiniet uz domēna nosaukuma un izvēlieties opciju Izveidot GPO šajā domēnā un saistiet to šeit.
  4. Piešķiriet jaunajam GPO nosaukumu (piemēram, Paroles sarežģītības politika) un noklikšķiniet uz Labi.
  5. Kad politika ir redzama jūsu domēnā, ar peles labo pogu noklikšķiniet uz politikas un izvēlieties Rediģēt. Tādējādi tiek atvērts grupas politikas pārvaldības redaktors (GPME).
  6. Virzieties uz GPME atrašanās vietas ceļu, kā parādīts 2. attēlā: GPO_name\ Datora konfigurācija \ Politikas \ Windows iestatījumi \ Drošības iestatījumi \ Konta politikas \ Paroles politika.
  7. Ar peles labo pogu noklikšķiniet uz opcijas Parolei jāatbilst sarežģītības prasībām un noklikšķiniet uz Rekvizīti, kā parādīts 3. attēlā.
  8. Atzīmējiet izvēles rūtiņu Definēt šo politikas iestatījumu, atzīmējiet Iespējots un pēc tam noklikšķiniet uz Labi. Piezīme. Varat arī noklikšķināt uz cilnes Izskaidrot, lai iegūtu pilnīgu skaidrojumu par šī iestatījuma darbību.

Protams, šajā GPO varat iekļaut arī citus iestatījumus. Piemēram, varat iespējot sarežģītības prasības un iestatīt minimālo paroles garumu, teiksim, astoņas rakstzīmes.

2. GPO piemērs: atspējojiet USB diskus

Dažas politikas jāpiemēro situācijas ziņā (organizācijas vienībai, jeb OU), piemēram, USB ierīču atspējošana. Piemēram, jums var būt ceļu karotāji, kuru klēpjdatoros nepieciešama USB piekļuve, turpretī jūs varētu vēlēties bloķēt iekšējo datoru USB porti.

Lūk, kā jūs izveidojat šādu situācijas politiku:

  1. Grupas politikas pārvaldības konsolē izvērsiet domēna nosaukumu un meklējiet grupas politikas objektu konteineru. Parasti tajā konteinerā ir divas noklusējuma politikas (noklusējuma domēna kontrolleris un noklusējuma domēna politika), taču, ja esat konfigurējis paroles sarežģītības politiku, tā tiks parādīta arī.
  2. Ar peles labo pogu noklikšķiniet uz mapes Grupas politikas objekti un noklikšķiniet uz Jauns.
  3. Piešķiriet jaunajam GPO tādu nosaukumu kā USB ierobežojums un noklikšķiniet uz Labi.
  4. Atlasiet politiku un noklikšķiniet uz Rediģēt, lai atvērtu grupas politikas pārvaldības redaktoru.
  5. Virzieties uz GPO_name\ Computer Configuration \ Policies \ Administrative Templates \ System \ Removable Storage Access, kā parādīts 4. attēlā.
  6. Veiciet dubultklikšķi uz iestatījuma, pārbaudiet Iespējots un pēc tam noklikšķiniet uz Labi vai Lietot.

Kā parādīts 4. attēlā, ir dažādi iestatījumi, no kuriem izvēlēties. Lai konfigurētu, šeit esmu izvēlējies opciju Visas noņemamās krātuves klases: Deny All Access. Noklikšķinot uz cilnes Paplašināts, apraksta rūtī var redzēt atlasītā iestatījuma aprakstu.

Paturiet prātā, ka šajā brīdī esat izveidojis tikai politikas iestatījumu; jūs to neesat saistījis ne ar ko. Lai to saistītu:

  1. Grupas politikas pārvaldības konsolē atlasiet domēnu vai izveidoto organizatorisko vienību.
  2. Ar peles labo pogu noklikšķiniet uz organizatoriskās vienības (kā parādīts 5. attēlā) un atlasiet Saistīt esošu GPO.
  3. Atlasiet USB ierobežošanas GPO un noklikšķiniet uz Labi.
  4. Ar peles labo pogu noklikšķiniet uz GPO, kas tagad ir saistīts, un atzīmējiet opciju Enced, lai to ieviestu šajā GPO.

Ir vajadzīgs zināms laiks, līdz grupas politikas tiek piemērotas sistēmām un lietotājiem, taču varat piespiest veikt izmaiņas, atverot komandu uzvedni un ierakstot gpupdate / force.

Pēc šīs politikas piemērošanas lietotājam, kurš mēģina ieviest USB ierīci, jāsaņem ziņojums “piekļuve liegta”.

3. GPO piemērs: atspējojiet PST faila izveidi

Mēs visi esam tikuši galā ar atbilstības murgu, kas rodas, izmantojot PST pastkastes failus. Tātad, kā jūs novēršat lietotāju izveidi? Ar grupas politiku, protams. (Jā, ir reģistra konfigurācijas labojumi, kurus varat izmantot, lai to izdarītu, taču grupas politika ir daudz vienkāršāka un ātrāka.)

Lai veiktu izmaiņas, vispirms ir jālejupielādē grupas politikas administratīvās veidnes tai Office versijai, kurai iestatāt iestatījumus. Kad šīs veidnes ir instalētas (kas var prasīt nelielu izkopšanu), lietojat papildu iestatījumus (parādīti 6. attēlā), lai kontrolētu šo Office versiju, izmantojot grupas politiku.

Kad esat izvēlējies vietnes, domēna vai organizatoriskās vienības līmeni politikas piemērošanai un esat atvēris grupas politikas pārvaldības redaktoru, dodieties uz GPO_name\ Lietotāja konfigurācija \ Policies \ Administratīvās veidnes \ Microsoft Outlook 2016 \ Miscellaneous \ PST iestatījumi.

Varat konfigurēt divus iestatījumus. Pirmais ir Novērst lietotājus pievienot jaunu saturu esošajiem PST failiem, kas (kā norāda tā nosaukums) neļauj lietotājiem pievienot vairāk e-pasta ziņojumu jau esošajiem PST. Otrais iestatījums ir liegt lietotājiem pievienot PST Outlook profiliem un / vai novērst koplietošanas PST lietošanu, kas bloķē jaunu PST failu izveidi jūsu lietotājiem.

Jums varētu patikt arī

$config[zx-auto] not found$config[zx-overlay] not found