Opplæring: Gleden ved Windows Servers gruppepolicyer

Da Microsoft introduserte gruppepolitiske objekter (GPO) sammen med Windows Server 2000 for nesten 17 år siden, var de en spennende ny tilnærming til å administrere bruker- og systemtillatelser. I dag er de ganske enkelt en del av det administrative treverket, og som et resultat har noen IT-administratorer glemt hvor kraftige disse innstillingene kan være, og når de kan brukes til å løse problemer.

Når Windows Server 2016 blir utgitt senere i høst, vil det bevare de så altfor praktiske GPO-ene, og la dem forbli uendret, bortsett fra tillegg av noen innstillinger som er spesifikke for Windows Server 2016 og Windows 10. Hvis det ikke er ødelagt ...

Group Policy Management Console-verktøyene er installert med Active Directory, men du trenger Active Directory Domain Services (ADFS) for at gruppepolicyer skal fungere. For å kontrollere servere eller arbeidsstasjoner, må de være koblet (også kalt "joined") til domenet. Selv om lokale policyer kan konfigureres for individuelle (ikke-domene-tilknyttede) PC-er, er det et engangsscenario som ikke tar i bruk kjerneverdien ved å implementere gruppepolicy for å kontrollere flere systemer og brukere samtidig.

Det er tusenvis av potensielle konfigurasjonsinnstillinger og alternativer for GPOer. Den enkleste måten å finne veien til en innstilling er å identifisere posisjonsstien i GPMC-verktøyet (Group Policy Management Console), som vist i figur 1. Stedsstien viser deg hele banen til innstillingene du søker, i på samme måte kan du se etter en fil som er begravet i flere mapper.

Tre bruksområder for gruppepolicyer er et godt utgangspunkt både for nybegynneradministratoren og for den erfarne administratoren som har tatt gruppepolitikk for gitt og sluttet å søke måter å bruke dem til nye behov. (Når du er klar til å grave dypere, har Microsoft en god, detaljert opplæring som kommer inn i detaljene i gruppepolitikken.)

GPO-eksempel 1: Håndhev passordkompleksiteten

Hvis du vil opprette en policy for kompleksitet for passord som gjelder for alle brukere i et domene, utfører du følgende trinn:

1. Åpne konsol for gruppepolicystyring.
2. Utvid Domener-beholderen og velg domenenavnet ditt.
3. Høyreklikk domenenavnet og velg alternativet Opprett en GPO i dette domenet, og lenke det her.
4. Gi den nye GPO et navn (for eksempel policy for passordkompleksitet) og klikk OK.
5. Når policyen er synlig i domenet ditt, høyreklikker du policyen og velger Rediger. Dette åpner Group Policy Management Editor (GPME).
6. Bor ned til plasseringsstien i GPME, som vist i figur 2: GPO_name\ Datamaskinkonfigurasjon \ Politikk \ Windows Innstillinger \ Sikkerhetsinnstillinger \ Kontopolitikk \ Passordpolicy.
7. Høyreklikk på alternativet Passord må oppfylle krav til kompleksitet og klikk Egenskaper, som vist i figur 3.
8. Merk av i boksen Definer denne policyinnstillingen, merk av Aktivert, og klikk deretter OK. Merk: Du kan også klikke på fanen Forklar for å få en fullstendig forklaring på hva denne innstillingen gjør.

Det er selvfølgelig andre innstillinger du kan inkludere i denne GPO. For eksempel kan du aktivere kompleksitetskravene og sette minimum passordlengde til for eksempel åtte tegn.

GPO-eksempel 2: Deaktiver USB-stasjoner

Noen retningslinjer må brukes situasjonelt (til en organisasjonsenhet, også kalt en OU), for eksempel å deaktivere USB-enheter. For eksempel kan du ha veikrigere som trenger USB-tilgang på sine bærbare datamaskiner, mens du kanskje vil låse interne PC-er 'USB-porter.

Slik lager du en slik situasjonspolitikk:

1. Utvid domenenavnet i Group Policy Management Console og se etter beholderen Group Policy Objects. Vanligvis er det to standardretningslinjer i den beholderen (standard domenekontroller og standard domenepolicy), men hvis du har konfigurert passordkompleksitetspolicyen, vil den også vises.
2. Høyreklikk mappen for gruppepolicyobjekter og klikk på Ny.
3. Gi den nye GPO et navn som USB-begrensning, og klikk OK.
4. Velg policyen og klikk Rediger for å åpne redigeringsprogrammet for gruppepolicy.
5. Navigere til GPO_name\ Datamaskinkonfigurasjon \ Politikk \ Administrative maler \ System \ Flyttbar lagringsadgang, som figur 4 viser.
6. Dobbeltklikk på innstillingen, merk av for Aktivert, og klikk deretter OK eller Bruk.

Som figur 4 viser, er det en rekke innstillinger å velge mellom. Her har jeg valgt alternativet Alle flyttbare lagringsklasser: Nekte all tilgang for å konfigurere. Du kan se en beskrivelse av en valgt innstilling i beskrivelsesruten hvis du klikker kategorien Utvidet.

Husk at du bare har opprettet policyinnstillingen på dette tidspunktet; du har ikke knyttet det til noe. For å koble det:

1. Velg enten domenet i Group Policy Management Console eller organisasjonsenheten du har på plass.
2. Høyreklikk på organisasjonsenheten (som vist i figur 5) og velg Koble til en eksisterende GPO.
3. Velg GPO for USB-begrensning, og klikk OK.
4. Høyreklikk GPO som nå er koblet, og merk av for Enforced for å håndheve den over den GPO.

Det tar litt tid før gruppepolicyer blir brukt på systemer og brukere, men du kan tvinge endringene som skal brukes ved å åpne en ledetekst og skrive gpupdate / force.

Når denne policyen er brukt, bør en bruker som prøver å introdusere en USB-enhet få en "tilgang nektet" -melding.

GPO-eksempel 3: Deaktiver oppretting av PST-fil

Vi har alle håndtert overholdelsesmarerittet som kommer fra bruk av PST-postkassefiler. Så hvordan forhindrer du brukere i å opprette dem? Med en gruppepolitikk, selvfølgelig. (Ja, det er endringer i registerkonfigurasjonen du kan bruke til å gjøre dette, men en gruppepolicy er mye enklere og raskere.)

For å gjøre endringene må du først laste ned administrasjonsmaler for gruppepolicy for den versjonen av Office du innstiller på. Når disse malene er installert (som kan kreve litt finagling), bruker du flere innstillinger (vist i figur 6) for å kontrollere den versjonen av Office gjennom gruppepolicy.

Når du har valgt nettstedet, domenet eller organisasjonsenhetsnivået du vil bruke policyen på og har åpnet Group Policy Management Editor, navigerer du til GPO_name\ Brukerkonfigurasjon \ Politikk \ Administrative maler \ Microsoft Outlook 2016 \ Diverse \ PST-innstillinger.

Det er to innstillinger du kanskje vil konfigurere. Den første er å forhindre brukere i å legge til nytt innhold i eksisterende PST-filer, som (som navnet antyder) hindrer brukere i å legge til mer e-post til PST-ene de allerede har. Den andre innstillingen er forhindre brukere i å legge til PST-er i Outlook-profiler og / eller forhindre bruk av delingseksklusive PST-er, som blokkerer opprettelsen av nye PST-filer av brukerne dine.