Ohjelmointi

Opetusohjelma: Windows Serverin ryhmäkäytäntöjen ilot

Kun Microsoft esitteli ryhmäkäytäntöobjektit (GPO) yhdessä Windows Server 2000: n kanssa lähes 17 vuotta sitten, ne olivat jännittävä uusi lähestymistapa käyttäjien ja järjestelmän käyttöoikeuksien hallintaan. Nykyään ne ovat yksinkertaisesti osa hallinnollista puutyötä, ja tämän seurauksena jotkut IT-järjestelmänvalvojat ovat unohtaneet, kuinka tehokkaita nämä asetukset voivat olla ja milloin niitä voidaan käyttää ongelmien ratkaisemiseen.

Kun Windows Server 2016 julkaistaan ​​myöhemmin tänä syksynä, se säilyttää nämä kätevät GPO: t ja jättää ne ennalleen lukuun ottamatta joidenkin Windows Server 2016: lle ja Windows 10: lle asetettujen asetusten lisäämistä. Jos se ei ole rikki ...

Ryhmäkäytäntöjen hallintakonsolin työkalut asennetaan Active Directoryn kanssa, mutta tarvitset Active Directory -palvelupalvelut (ADFS), jotta ryhmäkäytännöt todella toimivat. Palvelinten tai työasemien hallitsemiseksi niiden on oltava kytkettyinä (eli "liittyneinä") toimialueeseen. Vaikka paikalliset käytännöt voidaan määrittää yksittäisille (verkkotunnukseen liittymättömille) tietokoneille, se on kertaluonteinen skenaario, joka ei hyödynnä ryhmäkäytännön toteuttamisen ydinarvoa hallita useita järjestelmiä ja käyttäjiä kerralla.

GPO: lle on tuhansia mahdollisia kokoonpanoasetuksia ja -vaihtoehtoja. Helpoin tapa löytää tapa asetukseen on tunnistaa sen sijaintipolku ryhmäkäytäntöjen hallintakonsolin (GPMC) työkalussa, kuten kuvassa 1 on esitetty. Sijaintipolku näyttää etsimäsi asetusten koko polun kohdassa samalla tavalla voit etsiä tiedostoa, joka on haudattu useisiin kansioihin.

Kolme ryhmäkäytäntöjen käyttöä on hyvä lähtökohta sekä aloittelijoille että kokeneille järjestelmänvalvojille, jotka ovat pitäneet ryhmäkäytäntöjä itsestäänselvyytenä ja etsineet tapoja käyttää niitä uusiin tarpeisiin. (Kun olet valmis kaivamaan syvemmälle, Microsoftilla on hyvä, yksityiskohtainen opetusohjelma, joka tutustuu ryhmäkäytäntöjen monimutkaisuuteen.)

GPO-esimerkki 1: Pakota salasanan monimutkaisuus

Voit luoda salasanan monimutkaisuuskäytännön, joka koskee kaikkia toimialueen käyttäjiä, seuraavasti:

  1. Avaa ryhmäkäytäntöjen hallintakonsoli.
  2. Laajenna Verkkotunnukset-säilö ja valitse verkkotunnuksesi.
  3. Napsauta hiiren kakkospainikkeella verkkotunnuksen nimeä ja valitse vaihtoehto Luo GPO tässä toimialueessa ja linkitä se tähän.
  4. Anna uudelle GPO: lle nimi (esimerkiksi Salasanan monimutkaisuuskäytäntö) ja napsauta OK.
  5. Kun käytäntö on näkyvissä toimialueellasi, napsauta käytäntöä hiiren kakkospainikkeella ja valitse Muokkaa. Tämä avaa ryhmäkäytäntöjen hallintaeditorin (GPME).
  6. Poraa GPME: n sijaintipolulle kuvan 2 mukaisesti: GPO_name\ Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Password Policy.
  7. Napsauta hiiren kakkospainikkeella Salasanan on täytettävä monimutkaisuusvaatimukset -vaihtoehtoa ja napsauta Ominaisuudet kuvan 3 mukaisesti.
  8. Valitse Määritä tämä käytäntöasetus -valintaruutu, valitse Käytössä ja napsauta sitten OK. Huomaa: Voit myös napsauttaa Selitä-välilehteä saadaksesi täydellisen selvityksen siitä, mitä tämä asetus tekee.

Voit tietysti lisätä muita asetuksia tähän GPO: han. Voit esimerkiksi ottaa käyttöön monimutkaisuusvaatimukset ja asettaa salasanan vähimmäispituudeksi esimerkiksi kahdeksan merkkiä.

GPO-esimerkki 2: Poista USB-asemat käytöstä

Joitakin käytäntöjä on sovellettava tilannekohtaisesti (organisaatioyksikköön, eli organisaatioyksikköön), kuten USB-laitteiden poistaminen käytöstä. Esimerkiksi sinulla voi olla tien sotureita, jotka tarvitsevat USB-yhteyden kannettavissa tietokoneissaan, kun taas haluat ehkä lukita sisäisten tietokoneiden USB-portit.

Näin luot tällaisen tilannekäytännön:

  1. Laajenna toimialueen nimi ryhmäkäytäntöjen hallintakonsolissa ja etsi ryhmäkäytäntöobjektien säilö. Tyypillisesti kyseisessä säilössä on kaksi oletuskäytäntöä (oletusalueen ohjain ja toimialueen oletuskäytäntö), mutta jos olet määrittänyt salasanan monimutkaisuuskäytännön, se näkyy myös.
  2. Napsauta hiiren kakkospainikkeella Ryhmäkäytäntöobjektit-kansiota ja valitse Uusi.
  3. Anna uudelle GPO: lle USB-rajoituksen kaltainen nimi ja napsauta OK.
  4. Valitse käytäntö ja napsauta Muokkaa avataksesi ryhmäkäytännön hallinnan muokkausohjelman.
  5. Navigoida johonkin GPO_name\ Computer Configuration \ Policies \ Administrative Templates \ System \ Removable Storage Access, kuten kuvio 4 osoittaa.
  6. Kaksoisnapsauta asetusta, tarkista Käytössä ja napsauta sitten OK tai Käytä.

Kuten kuvasta 4 näkyy, valittavissa on useita asetuksia. Tässä olen valinnut kaikki siirrettävät tallennustilaluokat: Estä kaikki käyttöasetukset. Valitun asetuksen kuvaus näkyy kuvausruudussa, jos napsautat Laajennettu-välilehteä.

Muista, että olet luonut tässä vaiheessa vain käytäntöasetuksen. et ole linkittänyt sitä mihinkään. Linkitä se:

  1. Valitse joko toimialue ryhmäkäytäntöjen hallintakonsolista tai käytössä oleva organisaatioyksikkö.
  2. Napsauta hiiren kakkospainikkeella organisaatioyksikköä (kuten kuvassa 5 on esitetty) ja valitse Linkitä olemassa oleva GPO.
  3. Valitse USB Restriction GPO ja napsauta OK.
  4. Napsauta hiiren kakkospainikkeella nyt linkitettyä ryhmäkäytäntöobjektia ja valitse Pakotettu-vaihtoehto pakottaaksesi sen kyseisen GPO: n yli.

Ryhmäkäytäntöjen soveltaminen järjestelmiin ja käyttäjiin vie jonkin aikaa, mutta voit pakottaa muutokset soveltamaan avaamalla komentokehotteen ja kirjoittamalla gpupdate / force.

Kun tätä käytäntöä on sovellettu, käyttäjän, joka yrittää ottaa käyttöön USB-laitteen, pitäisi saada "pääsy estetty" -viesti.

GPO-esimerkki 3: Poista PST-tiedostojen luominen käytöstä

Olemme kaikki käsitelleet vaatimustenmukaisuuden painajaista, joka syntyy PST-postilaatikkotiedostojen käytöstä. Joten miten estät käyttäjiä luomasta niitä? Tietenkin ryhmäkäytännöllä. (Kyllä, tähän on olemassa rekisterin kokoonpanomuokkauksia, mutta ryhmäkäytäntö on paljon helpompaa ja nopeampaa.)

Jos haluat tehdä muutoksia, sinun on ensin ladattava ryhmäkäytännön hallintamallit Office-versioon, johon asetat asetuksia. Kun kyseiset mallit on asennettu (mikä saattaa vaatia hienoja yksityiskohtia), lisää asetuksia (kuvassa 6) hallita kyseistä Office-versiota ryhmäkäytännön avulla.

Kun olet valinnut sivuston, verkkotunnuksen tai organisaatioyksikön tason käytännön soveltamiseksi ja avannut ryhmäkäytäntöjen hallinnan muokkaimen, siirry kohtaan GPO_name\ User Configuration \ Policies \ Administrative Templates \ Microsoft Outlook 2016 \ Miscellaneous \ PST Settings.

Voit määrittää kaksi asetusta. Ensimmäinen on Estä käyttäjiä lisäämästä uutta sisältöä olemassa oleviin PST-tiedostoihin, mikä (kuten nimestä voi päätellä) estää käyttäjiä lisäämästä lisää sähköposteja jo oleviin PST-tiedostoihin. Toinen asetus on Estä käyttäjiä lisäämästä PST-tiedostoja Outlook-profiileihin ja / tai Estä jakamista sisältävien PST-tiedostojen käyttö, mikä estää uusien PST-tiedostojen luomisen käyttäjiltäsi.