Zasady grupy
Zadania do wykonania
• Proszę wyczyścić stare i niepotrzebne ustawienia związane z poprzednią instrukcją.
• Proszę dla użytkowników z drugiej grupy organizacyjnej zablokować możliwość zmiany pulpitu i edycji rejestru.
• Proszę dla użytkownika g1u1 wyłączyć obsługę notatnika (notepad.exe, nawet w polskiej wersji).
• Proszę ustawić, aby moje dokument wszystkich użytkowników były przechowywane na serwerze w osobnych katalogach. Proszę sprawdzić, czy na pewno to działa przeglądając zawartość katalogów na serwerze po wylogowaniu klientów.
• Proszę wymusić instalację przeglądarki Chrome na komputerach klientów.
• Proszę popatrzeć, czy można wybrać jakieś dodatkowe opcje związane z instalacją tego oprogramowania podczas dodawania tej paczki.
• Czy można wymusić instalację programów dostarczonych w formacie .exe?
Czyszczenie niepotrzebnych ustawień
• Proszę wyłączyć profile mobilne, automatyczne montowanie dysku zdalnego (sieciowego) oraz skrypt startowy
◦ start → Server Manager → Tools → Active Directory Users and Computers → nazwa domeny, tutaj domena*.local → ewentualne jednostki organizacyjne, nazwy
użytkowników, tutaj JOrg1, JOrg2 →g1u1, g1u2,g2u1,g2u2 → profile → profile path= „”, logon script = „”, local path;
Podstawowe operacje związane z zasadami grupy
• Aby zarządzać grupą należy użyć przystawki start → Server Manager → Tools → Group Policy Management . Zasady można wprowadzać za tworząc reguły w odpowiednich miejscach. Ich priorytet to (w kolejności rosnącej)
◦ Ustawienia lokalne dla komputera klienta,
◦ Ustawienia przypisane danej lokacji („Sites”)
◦ Ustawienia domyślne domeny
◦ Ustawienia dla jednostek organizacyjnych.
Nie trudno się domyślić, iż najwięcej uwagi poświęcone zostanie ustawieniom dotyczącym jednostce organizacyjnej.
• W celu utworzenia reguły dla jednostki organizacyjnej należy wybrać nazwa grupy
organizacyjnej, na przykład JOrg1→Create a GPO in this Domain and link it here→ ustaw jakąś sensowną nazwę, na przykład jorg1_zasady. Po utworzeniu powinien się pojawić nowy obiekt w Group Policy Object oraz odnośnik do niego w odpowiedniej grupie roboczej. W celu edycji należy nazwa grup zasad( na przykład jorg1_zasady) → Edit.
• Powinna się pojawić przystawka Group Policy Management Editor, w której można edytować zasady bezpieczeństwa. Za pomocą tej przystawki można edytować zasady skojarzone z użytkownikiem, albo komputerem (klienta).
• Można za pomocą edycji link do grupy zasad wewnątrz jednostki organizacyjnej→Security Filtering bardziej dokładnie określić kogo mają dotyczyć te zasady (na przykład pojedynczego użytkownika, cała jednostka organizacyjna to „Authenticated Users”). Aby użyć reguł dla poj.
użytkownika, a nie całej grupy należy wybrać Delegates→Authenticated User→odznaczyć
„apply rules”, zaznaczyć „read rules”.
• Po wprowadzeniu zasad zostaną one automatyczne zastosowane dopiero po kilku minutach, aby przyspieszyć ten proces najlepiej uruchomić komendę gpupdate /force na serwerze, a następnie przelogować się klientem. Nowe zasady powinny zostać wprowadzone.
• Częsty błąd: Przy podawaniu kogo ma dotyczyć dana grupa zasad (w okienku Group Policy Management) należy podać: Scope → Links → .. kogo mają dotyczyć te zasady grupy;
natomiast scope → links → Security filtering = Authenticated Users
Wybrane zasady grupy
• User Configuration → Policies → Administrative Templates.. → Control Panel – w tym miejscu znajdują się główne opcje sterujące dostępem do Panelu sterowania i ustawień pochodnych, które można zmienić w panelu sterowania.
• User Configuration → Policies → Administrative Templates.. → Control Panel → Display, Printer, Personalization – ustawienia związane z ekranem, drukarkami i ustawieniami personalnymi jak ustawienia pulpitu, czy kształtu kursora
• User Configuration → Policies → Administrative Templates.. →System→ .. - wybrane
ustawienia takie jak blokada uruchamiania określonych programów, edytora rejestru, konsoli itp
• User Configuration → Policies → Administrative Templates.. →System→ Removable Storage Access – zarządza uprawnieniami związanymi z dyskami przenośnymi
• Computer Configuration → Policies → Administrative Templates→ System → Display highly detailed status information – wymusza na kliencie podawanie większej liczby informacji związanych z obsługą domeny MS
• User Configuration → Policies → Windows Settings → Folder Redirection – Opcja ta zmienia położenie katalogów skojarzonych dla pojedynczego użytkownika, takich jak „moje
dokumenty”, „moje obrazy” itp. Korzystanie z tego podobne jest do używania profili
mobilnych, lecz szybsze i nieco ograniczone. Może z tej funkcjonalności skorzystać za pomocą dodatkowych opcji Basic – redirect everyone’s folder to the same location; Root Path = ścieżka do nowego miejsca przechowywania tego katalogu, na
przykład \\10.10.*.1\składowisko_jakieś\katalog_na_profil ; odznaczamy Grant the user exclusive rights to the document.
Częsty błąd: powinno się podać jako ścieżkę do przechowywania nie cały udział (nie
\\serwer\udzialX\) a katalog wewnątrz udziału (\\serwer\udzialX\katalog)
◦
Automatyczne instalowanie, dla klienta niech się stanie
Często zachodzi potrzeba automatycznego zainstalowania oprogramowania dla całej grupy roboczej.
• Należy ściągnąć instalkę w formacie .msi i umieścić ją w udostępnionym katalogu, na przykład w \\10.10.*1\instalki.
• Dla wygody najlepiej stworzyć nową jednostkę organizacyjną, na przykład JOrgInstalki w Active Directory Users and Computers.
• Następnie trzeba przenieść wybrane komputery w Active Directory Users and Computers, które ma dotyczyć instalacja do tej jednostki organizacyjnej domena*.local→Computers→nazwa_komputera→ Move → nazwa_jednostki_z_instalkami, na przykład JOrgInstalki.
• Kolejną rzeczą jest stworzenie w nowych zasad dla jednostki org. związanej z instalkami (tutaj to JOrgInstalki)
• Za pomocą przystawki Group Policy Managament Editor trzeba wymusić zainstalowanie konkretnego oprogramowania. Odpowiednie ustawienia znajdują się w User Configuration → Policies → Software Settings → Software Installation →New → Package → adres paczki
dostępny dla klienta (w formacie UNC, na przykład
\\10.10.*1\instalki\bardzo_ważny_soft.msi). Deployment method: Assigned.
• Następnie należy zmienić opcje przydzielone dodanej paczce instalacyjnej. User Configuration → Policies → Software Settings → Software Installation → Nazwa_paczki → Properties → Deployment→ Deployment Options→ zaznaczyć Install..at logon i Uninstall
• Wygodnie jest włączyć opcję zbezpieczeń Computer Configuration → Policies → Administrative Templates→ System → Display highly detailed status information, która w czasie logowania klienta poinformuje go, iż następuje instalowanie nowego oprogramowania.
• Po wprowadzonych zmianach sugeruje się użycie komendy gpupdate /force najpierw na serwerze, a następnie u klienta.
• Następnie w czasie logowaniu klienta powinna się automatycznie instalować paczka z oprogramowaniem.
Niestety ta funkcja jest bardzo często problematyczna, dodatkowo zwykle wymaga odczekania kilku minut, aby wprowadziły się zmiany i użycie gpupdate /force
Dodatkowe badanie wprowadzonych zasad
Często zachodzi potrzeba znalezienia błędu związanego z wprowadzonymi zasadami, lub przyjrzeniu się własnemu dziełu. Do tego celu służy komenda gpresult /H raport.html, która tworzy raport w formacie html odnośnie wprowadzonych zasad grupy.