Zasady grupy (GPO) Windows Server 2008 R2. Przykładowa grupy.

Podobne dokumenty
Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

pasja-informatyki.pl

Laboratorium A: Korzystanie z raportów zasad grupy/klucz do odpowiedzi

Zadanie 2. Tworzenie i zarządzanie niestandardową konsolą MMC

Laboratorium A: Zarządzanie ustawieniami zabezpieczeń/klucz do odpowiedzi

Instalacja i konfiguracja serwera IIS z FTP

Korzystanie z edytora zasad grupy do zarządzania zasadami komputera lokalnego w systemie Windows XP

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory

Administrowanie systemami sieciowymi Laboratorium 3

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Zanim zaczniesz. Warto ustawić kartę sieciową naszego serwera.

Systemy operacyjne. Zasady lokalne i konfiguracja środowiska Windows 2000

Temat: Windows XP Ustawienia kont użytkowników

Pracownia internetowa w każdej szkole (edycja jesień 2005)

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Laboratorium A: Podstawy administrowania serwerem

Windows 10 - Jak uruchomić system w trybie

Rozwiązanie Zadania egzaminacyjnego egzamin praktyczny z kwalifikacji e13 styczeń 2015

Zadanie 3. Tworzenie i odnajdowanie obiektów w Active Directory

Laboratorium Systemów Operacyjnych

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

Ustalanie dostępu do plików - Windows XP Home/Professional

Ustawienia personalne

Windows Server 2012 Active Directory

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Przykładowa konfiguracja komunikacji pomiędzy oprogramowaniem Wonderware i Codesys z wykorzystaniem sieci LAN lub modułu GSM

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

Wraz z wersją R2 dla systemu Windows 2008 Server nazewnictwo usług terminalowych uległa zmianie. Poniższa tabela przedstawia nową nomenklaturą:

Korzystanie z aplikacji P-touch Transfer Manager

asix Autoryzacja dostępu do zasobów WWW systemu asix (na przykładzie systemu operacyjnego Windows 2008)

Instrukcja instalacji programu serwisowego NTSN krok po kroku

Administrowanie Sieciowymi Systemami Operacyjnymi

Ewidencja Wyposażenia PL+

Konfiguracja usługi OnePhone dla modelu telefonu Nokia E52

Laboratorium A: Zarządzanie mechanizmami odzyskiwania systemu

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Platforma szkoleniowa krok po kroku. Poradnik Kursanta

Procedury techniczne modułu Forte Kontroling. Raportowanie danych w MS Excel - Konfiguracja IIS na Windows oraz wykonanie importu

Laboratorium - Udostępnianie folderu, tworzenie grupy domowej i mapowanie dysku sieciowego w Windows 7

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Konfiguracja Połączenia

ELEKTRONICZNA KSIĄŻKA ZDARZEŃ

Instrukcja obsługi programu DHL EasySHip v. 5.3.x

Instytut Sterowania i Systemów Informatycznych Uniwersytet Zielonogórski SYSTEMY SCADA

Laboratorium - Monitorowanie i zarządzanie zasobami systemu Windows 7

Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji

Użycie pakietów instalacyjnych.msi w oprogramowaniu WYWIAD Plus

Konfiguracja usługi OnePhone dla modelu telefonu Nokia E72

Laboratorium - Archiwizacja i odzyskiwanie danych w Windows 7

Laboratorium 3. Administrowanie szkolną siecią komputerową. dr Artur Bartoszewski

Zadanie 5. Automatyzacja tworzenia kont użytkowników

Ćwiczenie 1 Przypisywanie uprawnień NTFS

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Site Installer v2.4.xx

6. Cel: Sprawdzenie drogi protokołu TCP/IP

Temat: Administracja kontami użytkowników

Ćwiczenie 2 Badanie praw dostępu do zasobów w systemie Windows 2000.

Tomasz Greszata - Koszalin

Instalacja Roli Remote Desktop Services dla systemów Windows Server 2012/2012 R2

Administrowanie Sieciowymi Systemami Operacyjnymi

Instalacja i konfiguracja serwera WSUS. Ćwiczenie 1 Instalacja serwera WSUS. Mariusz Witczak Bartosz Matusiak

Praca w sieci z serwerem

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

Praca z polisami GPO. Słów kilka o obiektach

Laboratorium - Archiwizacja i odzyskiwanie danych w Windows Vista

Istnieją trzy sposoby tworzenia kopii zapasowej na panelu Comfort:

INFO-NET.wsparcie. pppoe.in.net.pl. Pamiętaj aby nie podawać nikomu swojego hasła! Instrukcja połączenia PPPoE w Windows XP WAŻNA INFORMACJA

Problemy techniczne SQL Server

Instalacja i konfiguracja IIS-a na potrzeby dostępu WEBowego/Secure

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Podręcznik konfiguracji wysyłania

Tomasz Greszata - Koszalin

Poradnik użytkownika pomoc techniczna

Ćwiczenie 2 Badanie praw dostępu do zasobów w systemie Windows 2000.

Copyright 2012 COIG SA Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek

Podłączenie urządzenia

pasja-informatyki.pl

Przed restartowaniem routera odłącz wszystkie urządzenia podłączone pod porty USB.

Platforma szkoleniowa krok po kroku

Laboratorium - Zabezpieczanie kont, danych i komputera w systemie Windows Vista

Problemy techniczne SQL Server

INSTALACJA DOSTĘPU DO INTERNETU

E-SODA Instrukcja instalacji dla wersji beta. Wersja instrukcji

Lokalne konta użytkowników

Laboratorium - Konfiguracja zapory sieciowej systemu Windows Vista

Problemy techniczne SQL Server

I Tworzenie prezentacji za pomocą szablonu w programie Power-Point. 1. Wybieramy z górnego menu polecenie Nowy a następnie Utwórz z szablonu

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Laboratorium - Zabezpieczanie kont, danych i komputera w systemie Windows 7

Wstęp. Skąd pobrać program do obsługi FTP? Logowanie

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Laboratorium - Monitorowanie i zarządzanie zasobami systemu Windows XP

Przydziały (limity) pojemności dyskowej

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Czytnik kart pamięci 8w1, Conrad USB 2.0 Instrukcja obsługi

Laboratorium - Zabezpieczanie kont, danych i komputera w systemie Windows XP

Microsoft.NET: LINQ to SQL, ASP.NET AJAX

26 Informacje o komputerze

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0

Transkrypt:

Zasady grupy (GPO) Windows Server 2008 R2. Przykładowa grupy. konfiguracja zasad Elementy konsoli służące do zarządzania pojedynczym obiektem. Obiekt to zbiór zasad przez nas zdefiniowanych, zapisanych w folderze Group Polisy Object. Pojedynczym obiektem zasad grupy jest obiekt panel, (blokował on dostęp użytkownikowi do panelu sterowania). Aby dostać się do elementów zarządzania tym obiektem (i każdym innym), klikamy prawym przyciskiem myszy na jego nazwę, znajdziemy tam m.in.: Copy (kopiuj) polecenie służące do kopiowania obiektu, przydatne wówczas, kiedy chcemy stworzyć obiekt, którego ustawienia mają bazować na ustawieniach innych obiektów Back up (kopia zapasowa) polecenie służące do tworzenia kopii zapasowej obiektu, kopiujące nie tylko sam obiekt, ale również łącza do niego, uprawnienia oraz dodatkowe pliki Restore From Backup (przywróć z kopii zapasowej) polecenie służące do przywracania obiektu z stworzonej uprzednio kopii zapasowej Import Settings (importuj ustawienia) polecenie służące do kopiowania samych ustawień zapisanych w obiekcie, bez łącz i uprawnień Save Report (zapisz raport) polecenie służące do zapisywania raportu do pliku HTML Delete (usuń) polecenie służące do usunięcia obiektu wraz z łączami i uprawnieniami Rename (zmień nazwę) polecenie służące do zmiany nazwy obiektu Polecenia wyżej wymienione, pozwalają w łatwy sposób organizować i zabezpieczać nasze zasady w domenie, jednak, aby właściwie je wdrażać i kontrolować, należy zwrócić uwagę jeszcze na dwa bardzo ważne elementy, jakimi są pierwszeństwo przetwarzania zasad oraz dziedziczenie. Pierwszeństwo przetwarzania zasad Często zdarza się taka sytuacja, że do danej jednostki organizacyjnej mamy przypisanych kilka obiektów zasad. Domyśle ich przetwarzanie odbywa się w kolejności ich tworzenia, obiekt stworzony jako ostatni, jako ostatni jest przetwarzany. Zdarzają się jednak sytuacje, kiedy chcemy, aby zasady wykonywały się one w innej kolejności. Aby pokazać, w jaki sposób zmienić kolejność, stworzono obiekt o nazwie rejestr (bez ustawień) i połączono go z kontenerem userzy. Jak widać po prawej stronie ekranu, zasada panel stworzona wcześniej, znajduje się na górze i oznaczona jest nr 1 (Link Order), natomiast zasada rejestr ma przypisany nr 2.

Zmień teraz kolejność przetwarzania, zaznaczając obiekt rejestr i klikając w strzałkę Move link up

Jak widać kolejność przetwarzania została zmieniona

Tutaj może pojawić się pytanie o sens zmiany kolejności, skoro jeden obiekt, ma inne ustawienia niż drugi. W tym akurat przypadku oczywiście nie ma potrzeby zmiany tej kolejności (zasady nie wykluczają się), ale czasem zasady stosowane w obiektach są ze sobą w konflikcie (w pierwszym zasada, jest włączona, w drugim nie), a wówczas, to który obiekt będzie przetwarzany jako pierwszy jest bardzo ważne. Dziedziczenie Zasady grup przetwarzane są w kolejności: lokacja, domena, jednostka organizacyjna. Oznacza to tyle, że zasady przypisane dla lokacji czy domeny, będą również działały dla jednostek organizacyjnych jednostka dziedziczy po domenie, domena po lokacji. Przykładowo, jeśli zastosujemy dla domeny blokowanie ekranu komputera po 60 sekundach, to zasada ta będzie działać dla wszystkich użytkowników tej domeny. Oczywiście mamy możliwość wyłączenia dziedziczenia, odbywa się ono na poziomie domeny lub jednostki organizacyjnej. W naszym przykładzie, dla kontenera (jednostki organizacyjnej) userzy są przypisane 3 obiekty: rejestr, panel oraz Default Domain Policy. Aby to sprawdzić klikamy

w konsoli zarządzania obiektami zasad grup kontener userzy, następnie klikamy w zakładkę Group Policy Inheritance. Jak widać obiekt Default Domain Policy jest dziedziczony z domeny, co oznacza, że wszystkie ustawienia w nim zapisane wykonywane są również dla kontenera userzy Wyłączymy teraz to dziedziczenie Aby to zrobić, klikamy prawym przyciskiem myszy na kontener userzy i wybieramy opcję Block Inheritance

Jak widać obiekt Default Domain Policy zniknął ze zbioru dla naszego kontenera, w przy jego nazwie pojawiła się ikona świadcząca o wyłączeniu dziedziczenia

Opcja blokowania dziedziczenia powinna być używana bardzo rzadko lub też wcale. Powoduje ona zmianę kolejności przetwarzania zasad, co przy dużej liczbie obiektów może przyczynić się do sporego w nich bałaganu, a w konsekwencji do niezamierzonego ich działania. Przejdźmy teraz do realizacji konkretnego zadania, który przygotowałem, polegającego na wprowadzeniu kilku zasad, w celu ograniczenia możliwości zarzadzania komputerem przez użytkowników. Scenariusz zakłada, że użytkownik komputera ma: Zabronioną możliwość zmiany tapety Zabroniony dostęp do menadżera zadań Wyłączoną możliwość korzystania z dysków USB Zabroniony dostęp do edytora rejestru Zabroniony dostęp do przeglądarki internetowej (w naszym przypadku Internet Explorer)

Zmiany konfiguracyjne zapisz w obiekcie, który nazwiemy ust_user, a działanie obiektu ustaw na grupę użytkowników pracownicy, którą stwórz i uzupełnij w użytkowników korzystając z konsoli Active Directory. Uruchom konsolę AD, klikając w START, wybierz Administrative Tools i klikamy w Active Directory Users and Computers. Rozwijamy element domowa.local, prawym przyciskiem myszy klikamy w kontener userzy wybieramy New, następnie Group Nadajemy nazwę nowej grupie i klikamy OK (pozostałe opcje pozostawiamy bez zmian)

Przenieś teraz użytkownika user1 do grupy pracownicy, klikając prawym przyciskiem myszy w jego nazwę i wybierając Add to a group

Podajemy nazwę grupy i klikamy OK

Pojawi się komunikat potwierdzający dodanie użytkownika do grupy Utwórz jeszcze jednego użytkownika, tym razem o nazwie user2 i dodaj go do grupy pracownicy, tak aby pokazać, że zasady stosować można dla grup użytkowników. Aby potwierdzić, że nasi użytkownicy należą do grupy pracownicy, klikam prawym przyciskiem myszy na nazwę grupy i wybieram Properties

Klikamy zakładkę Members, jak widać grupa ma przypisanych dwóch członków, pomimo, że ich ikony nadal są widoczne w kontenerze userzy

Zapamiętaj! Kontener to nie to samo co grupa. Kontenery czyli jednostki organizacyjne tworzymy dla uporządkowania użytkowników i obiektów zasad grup, grupy użytkowników natomiast, tworzymy aby nadawać im odpowiednie uprawnienia i stosować zasady dla większej liczby użytkowników jednocześnie. Przejdź do wdrażania przygotowanych wcześniej zasad. Uruchom konsolę GPO klikając w START, wybieramy Administrative Tools i klikamy w Group Policy Management (dla porządku usuń wcześniej poprzednie obiekty: panel i rejestr, gdyż nie są one nam już potrzebne). Rozwijamy element Forest, następnie Domains i domowa.local, prawym przyciskiem myszy klikamy w kontener Group Policy Objects i wybieramy New

Nadajemy nazwę obiektowi zasady i klikamy OK

Zmień użytkowników, na których działać będą ustawienia, najpierw usuń Authenticated Users, zaznaczając ich i wybierając Remove

Dodaj grupę pracownicy, klikając Add, wpisujemy nazwę grupy i potwierdzamy OK

Edytuj ustawienia klikając w Settings, następnie prawym przyciskiem myszy na białe pole i wybieramy Edit

Wszystkie ustawienia znajdziesz w węźle Administrative Templates, aby się do niego dostać rozwijamy element User Configuration -> Polices -> Administrative Templates

Dokonaj zmian konfiguracyjnych Zabroniona możliwość zmiany tapety Control Panel -> Personalization -> Prevent changing desktop background -> Enable

Zabroniony dostęp do menadżera zadań System -> Ctrl+Alt+Del Options -> Remove Task Manager -> Enable

Wyłączoną możliwość korzystania z dysków USB System -> Removable Storage Access - > All Removable Storage classes: Deny all access -> Enable

Zabroniony dostęp do edytora rejestru System -> Prevent access to registry editing tools - > Enable

Zabroniony dostęp do przeglądarki internetowej (Internet Explorer) System -> Don t run specified Windows applications -> Enable -> Show -> iexplore.exe

Jak widać w podsumowaniu wszystkie zasady zostały skonfigurowane

Podpij nasz obiekt do kontenera userzy, klikając w jego nazwę prawym przyciskiem myszy i wybierając Link an Existing GPO

Wybierz obiekt ust_user i kliknij OK

Zaloguj się do stacji roboczej korzystając z konta user1 i user2 i przetestuj ustawienia, próby dostępu do elementów, które skonfigurowałeś w ramach GPO: User1: Próba zmiany tapety (opcja wygaszona, czyli niedostępna)

Próba dostępu do rejestru

User2: Próba dostępu do menadżera zadań (opcja wygaszona, czyli niedostępna)

Próba uruchomienia przeglądarki Internet Explorer

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres