Selvstudie: Glæden ved Windows Servers gruppepolitikker

Da Microsoft introducerede gruppepolitiske objekter (GPO'er) sammen med Windows Server 2000 for næsten 17 år siden, var de en spændende ny tilgang til styring af bruger- og systemtilladelser. I dag er de simpelthen en del af det administrative træværk, og som følge heraf har nogle it-administratorer glemt, hvor stærke disse indstillinger kan være, og hvornår de kan bruges til at løse problemer.

Når Windows Server 2016 frigives senere i efteråret, vil det bevare disse åh-så-praktiske GPO'er og lade dem forblive uændrede bortset fra tilføjelsen af ​​nogle indstillinger, der er specifikke for Windows Server 2016 og Windows 10. Hvis det ikke er ødelagt ...

Group Policy Management Console-værktøjerne er installeret med Active Directory, men du har brug for Active Directory Domain Services (ADFS) for at gruppepolitikker rent faktisk fungerer. For at kontrollere servere eller arbejdsstationer skal de være forbundet (også kaldet "sammenføjet") til domænet. Selvom lokale politikker kan konfigureres til individuelle (ikke-domænetilknyttede) pc'er, er det et engangsscenarie, der ikke benytter kerneværdien ved implementering af gruppepolitik for at kontrollere flere systemer og brugere på én gang.

Der er tusindvis af potentielle konfigurationsindstillinger og muligheder for GPO'er. Den nemmeste måde at finde vej til en indstilling på er at identificere dens placeringssti i GPMC-værktøjet (Group Policy Management Console), som vist i figur 1. Placeringsstien viser dig den fulde sti til de indstillinger, du søger i på samme måde kan du se efter en fil, der er begravet i flere mapper.

Tre anvendelser af gruppepolitikker er et godt udgangspunkt både for nybegynderadministratoren og for den erfarne administrator, der har taget gruppepolitikker for givet og stoppet med at søge måder at bruge dem til nye behov. (Når du er klar til at grave dybere, har Microsoft en god, detaljeret vejledning, der kommer ind i kompleksiteten i gruppepolitikker.)

GPO-eksempel 1: Håndhæv adgangskodekompleksitet

For at oprette en kodeordskompleksitetspolitik, der gælder for alle brugere i et domæne, skal du udføre følgende trin:

1. Åbn din konsol til gruppepolitikstyring.
2. Udvid Domains-containeren, og vælg dit domænenavn.
3. Højreklik på domænenavnet, og vælg indstillingen Opret en GPO i dette domæne, og link det her.
4. Giv den nye GPO et navn (for eksempel politik for adgangskodekompleksitet), og klik på OK.
5. Når politikken er synlig i dit domæne, skal du højreklikke på politikken og vælge Rediger. Dette åbner redigeringsprogrammet for gruppepolitik (GPME).
6. Bor ned til placeringsstien i GPME, som vist i figur 2: GPO_navn\ Computerkonfiguration \ Politikker \ Windows-indstillinger \ Sikkerhedsindstillinger \ Kontopolitikker \ Passwordpolitik.
7. Højreklik på adgangskoden skal opfylde kravene til kompleksitetskrav, og klik på Egenskaber, som vist i figur 3.
8. Marker afkrydsningsfeltet Definer denne politikindstilling, marker Aktiveret, og klik derefter på OK. Bemærk: Du kan også klikke på fanen Forklar for at få en fuldstændig forklaring på, hvad denne indstilling gør.

Der er selvfølgelig andre indstillinger, du kan medtage i denne GPO. For eksempel kan du aktivere kompleksitetskravene og indstille den mindste adgangskodelængde til f.eks. Otte tegn.

GPO-eksempel 2: Deaktiver USB-drev

Nogle politikker skal anvendes situationelt (til en organisationsenhed, også kaldet en OU), såsom deaktivering af USB-enheder. For eksempel har du muligvis vejkrigere, der har brug for USB-adgang på deres bærbare computere, mens du måske vil låse interne pc'er 'USB-porte.

Sådan opretter du sådan en situationspolitik:

1. Udvid domænenavnet i Group Policy Management Console, og se efter containeren Group Policy Objects. Typisk er der to standardpolitikker i den pågældende container (standarddomænecontroller og standarddomænepolitik), men hvis du har konfigureret adgangskodekompleksitetspolitikken, vises den også.
2. Højreklik på mappen Group Policy Objects, og klik på New.
3. Giv den nye GPO et navn som USB-begrænsning, og klik på OK.
4. Vælg politikken, og klik på Rediger for at åbne redigeringsprogrammet for gruppepolitik.
5. Naviger til GPO_navn\ Computerkonfiguration \ Politikker \ Administrative skabeloner \ System \ Aftagelig lageradgangsom figur 4 viser.
6. Dobbeltklik på indstillingen, marker Aktiveret, og klik derefter på OK eller Anvend.

Som figur 4 viser, er der forskellige indstillinger at vælge imellem. Her har jeg valgt All Removable Storage Classes: Deny All Access mulighed for at konfigurere. Du kan se en beskrivelse af en valgt indstilling i beskrivelsesruden, hvis du klikker på fanen Udvidet.

Husk, at du kun har oprettet politikindstillingen på dette tidspunkt; du har ikke knyttet det til noget. For at linke det:

1. Vælg enten domænet i Group Policy Management Console eller den organisatoriske enhed, du har på plads.
2. Højreklik på organisationsenheden (som vist i figur 5), og vælg Tilknyt en eksisterende GPO.
3. Vælg GPO for USB-begrænsning, og klik på OK.
4. Højreklik på den GPO, der nu er linket, og marker indstillingen Håndhævet for at håndhæve den over denne GPO.

Det tager noget tid, før gruppepolitikker anvendes på systemer og brugere, men du kan tvinge de ændringer, der skal anvendes, ved at åbne en kommandoprompt og skrive gpupdate / force.

Når denne politik er anvendt, skal en bruger, der forsøger at introducere en USB-enhed, få en meddelelse om "adgang nægtet".

GPO-eksempel 3: Deaktiver oprettelse af PST-fil

Vi har alle beskæftiget os med det mareridt, der følger, ved at bruge PST-postkassefiler. Så hvordan forhindrer du brugere i at oprette dem? Selvfølgelig med en gruppepolitik. (Ja, der er redigeringer i registreringsdatabasen, du kan bruge til at gøre dette, men en gruppepolitik er meget nemmere og hurtigere.)

For at foretage ændringerne skal du først downloade administrationsskabeloner for gruppepolitik til den version af Office, du pålægger indstillinger for. Når disse skabeloner er installeret (hvilket muligvis kræver en vis finagling), anvender du yderligere indstillinger (vist i figur 6) for at kontrollere den version af Office gennem gruppepolitik.

Når du har valgt det site-, domæne- eller organisationsenhedsniveau, som politikken skal anvendes på og har åbnet redigeringsprogrammet for gruppepolitik, skal du navigere til GPO_navn\ Brugerkonfiguration \ Politikker \ Administrative skabeloner \ Microsoft Outlook 2016 \ Diverse \ PST-indstillinger.

Der er to indstillinger, du måske vil konfigurere. Den første er at forhindre brugere i at tilføje nyt indhold til eksisterende PST-filer, hvilket (som navnet antyder) forhindrer brugere i at tilføje flere e-mails til de PST'er, de allerede har. Den anden indstilling er forhindring af brugere i at tilføje PST'er til Outlook-profiler og / eller forhindre brug af delingseksklusive PST'er, som blokerer oprettelsen af ​​nye PST-filer af dine brugere.