Zasady grupowe
Cel: opanowanie zadań związanych z:
•
zapoznanie się z opcjami, które są konfigurowane za pomocą
zasad grupowych,
•
opanowanie tworzenia obiektów GPO dla różnych obiektów w
domenie,
•
zrozumienie zasad przetwarzania GPO wraz z opcjami Nie
zastępuj oraz Zablokuj dziedziczenie,
•
przypisywanie obiektów GPO do grup zabezpieczeń.
Najważniejsze informacje:
Obiekty zasad grupowych (GPO) mogą być przypisywane do
następujących obiektów Active Direktory: lokalny komputer, lokacja,
domena, jednostka organizacyjna.
Każdy obiekt składa się z dwóch podstawowych węzłów
(konfiguracja komputera oraz użytkownika) rys. 1.
Rys. 1. Lokalny obiekt zasad grupy
Dla większości ustawień stan parametru może przyjmować wartość:
włączone, wyłączone lub nie skonfigurowano (rys. 2).
Rys. 2. Możliwe wartości parametru dla opcji Usuń ikonę Kosz z pulpitu
Poza komputerem lokalnym, każdy obiekt może mieć przypisanych
więcej niż jeden obiekt GPO (rys. 3 domena reskit.com posiada GPO
oznaczone A1, A2I)
Rys. 3. Przykład przydziału GPO w domenie
(http://www.microsoft.com/poland/windows2000/win2000serv/SYS_ROZ/roz22.mspx#1)
Zasady grup są przetwarzane hierarchiczne, w następującej kolejności:
lokalny komputer, lokacja, domena, jednostka organizacyjna
nadrzędna, jednostka organizacyjna podrzędna.
Domyślnie zasady ustawione w dole hierarchii zastępują zasady
ustawione wcześniej (ustawienie Nie skonfigurowano nie ma wpływu
na wcześniejsze ustawienia)
Jeśli obiekt ma przypisanych kilka obiektów GPO to ich kolejność
przetwarzania ustawiana jest administracyjnie (od dołu listy – rys. 3
dla domeny reskit.com na początku A2, później A1).
Opcja Nie zastępuj ustawiona dla obiektu GPO powoduje, że zasady
przetwarzane później nie będą brane pod uwagę.
Opcja Zablokuj dziedziczenie blokuje dziedziczenie z góry hierarchii
(nie ustawia się jej dla lokacji)
W przypadku konfliktu opcja Nie zastępuj ma pierwszeństwo przed
Zablokuj dziedziczenie.
Zadania tydzień pierwszy:
1. Stworzyć Jednostkę Organizacyjną i dla niej przypisać obiekt GPO:
Proszę nie edytować zasad dla Domeny (wszystkie opcje należy przećwiczyć dla własnej
jednostki organizacyjnej lub hierarchii jednostek)
1.
Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.
2.
W drzewie konsoli kliknij prawym przyciskiem myszy jednostkę organizacyjną, dla
której chcesz ustawić zasady grupy.
3.
Kliknij polecenie Właściwości, a następnie kliknij kartę Zasady grupy.
4.
Wykonaj jedną z następujących czynności:
o
Aby utworzyć nowy obiekt zasad grupy, kliknij przycisk Nowy, wpisz nazwę
nowego obiektu zasad grupy, a następnie kliknij przycisk Edytuj.
o
Aby zmodyfikować istniejący obiekt zasad grupy, kliknij obiekt zasad grupy
na liście, a następnie kliknij przycisk Edytuj.
2. Zapoznać się z opcjami, które znajdują się w zasadach grupowych.
3. Porównać opcje z p.2 z Zasadami lokalnego komputera (nie edytować !!!) – dostęp między
innymi przez: gpedit.msc /gpcomputer.
4. Dla szybszego sprawdzania wprowadzonych zmian dla Zasad grupy własnej JO ustawić
minimalny interwał odświeżania zasad (jaki jest domyślny czas odświeżania) – rys. 4.
5. Przetestować działanie opcji znajdujących się między innymi w węzłach:
Konfiguracja użytkownika
→
Szablony administracyjne
→
Pulpit
Konfiguracja użytkownika
→
Szablony administracyjne
→
Panel sterowania
i innych.
Rys. 4. Ustawienie interwału odświeżania zasad dla węzła Konfiguracja użytkownika
(dotyczy tylko opcji z tego węzła)
Zadania tydzień drugi:
1.
Stworzyć dla własnej jednostki organizacyjnej kilka obiektów zasad grupowych (rys. 5),
dla każdego z nich skonfigurować jeden parametr (np. Usuń ikonę Mój Komputer z
pulpitu) w trzech różnych ustawieniach Włączone, Wyłączone oraz Nie skonfigurowano.
a.
Skorzystać z polecenia gpupdate.exe do wymuszenia odświeżenia zasad (po
wykonaniu tego polecenia dla opcji związanych z pulpitem należy użyć polecenia
Odśwież z menu kontekstowego).
b.
Sprawdzić jaka jest kolejność przetwarzania zasad (tzn. z jakim ustawieniem będzie
obowiązywała zasada) – do zmiany kolejności przetwarzania użyć przycisków: W dół
lub W górę.
c.
Sprawdzić działanie opcji Nie zastępuj dostępnej z przycisku Opcje (rys. 6). Wyjaśnić
wpływ tej opcji na kolejność przetwarzania zasad.
d.
Skorzystać z Wynikowego zestawu zasad w celu ustalenia jakie ustawienia
obowiązują dla wybranego użytkownika (rys. 7).
Rys. 5. Trzy obiekty zasad grupowych przypisane dla jednej jednostki organizacyjnej
Rys. 6. Włączona opcja Nie zastępuj dla zasady Zasada_WŁ
Rys. 7. Uruchomienie kreatora tworzenia wynikowego zastawu zasad
2.
Przypisać obiekt zasad grupy do grupy zabezpieczeń: w tym celu należy wybrać przycisk
Właściwości a następnie skorzystać z karty Zabezpieczenia. Dla wybranego użytkownika
lub grupy zabezpieczeń ustawić opcje, które opisane są w Tab. 1 i okazane na rys. 8.
Usunąć grupę Użytkownicy uwierzytelnieni. (Ustawienia zasad grupy wpływają tylko na
tych użytkowników i te komputery, które należą, w tym przypadku, do danej jednostki
organizacyjnej).
Wykonać punkty tak jak w p.1.b oraz 1.c.
Tab. 1 Opis opcji dla przypisania zasad grupowych do grup zabezpieczeń
Zamiar
Uprawnienia
Wynik
Dany obiekt zasad
grupy powinien być
stosowany do
członków tej grupy
zabezpieczeń.
Ustaw uprawnienie
Stosowanie zasad grup na
wartość Zezwalaj. Ustaw
uprawnienie Odczyt na
wartość Zezwalaj.
Dany obiekt zasad grupy jest
stosowany do członków tej grupy
zabezpieczeń, chyba że są oni
członkami przynajmniej jednej grupy
zabezpieczeń, w której uprawnienie
Stosowanie zasad grup, Odczyt lub
oba te ustawienia mają wartość
Odmawiaj.
Członkowie tej
grupy zabezpieczeń
są wykluczeni z
danego obiektu
zasad grupy.
Ustaw uprawnienie
Stosowanie zasad grup na
wartość Odmawiaj. Ustaw
uprawnienie Odczyt na
wartość Odmawiaj.
Dany obiekt zasad grupy nigdy nie
jest stosowany do członków tej grupy
zabezpieczeń, niezależnie od
uprawnień, jakie członkowie ci mają
w innych grupach zabezpieczeń.
Rys. 8. Edycja karty Zabezpieczenia dla obiektu zasad grupowych
3.
Stworzyć hierarchię jednostek organizacyjnych i przetestować opcję Zablokuj
dziedziczenie zasad, którą ustawia się dla wybranego obiektu – rys. 9. Pokazać, że opcja
Nie zastępuj ma pierwszeństwo przed Zablokuj dziedziczenie.
4.
Zapoznać się z opcjami z następujących węzłów:
Konfiguracja użytkownika
→
Szablony administracyjne
→
System
→
Profile
użytkownika
Konfiguracja użytkownika
→
Szablony administracyjne
→
Sieć
→
Połączenia
sieciowe
Konfiguracja użytkownika
→
Ustawienia systemu Windows
→
Przekierowanie folderu
Rys. 9. Zastosowanie opcji Zablokuj dziedziczenie zasad dla JO_test_podrz
Zadania tydzień trzeci:
Działanie i mechanizm przetwarzania zasad zostanie przećwiczony na opcji Zamykanie
systemu, która pozwala na zamknięcie systemu z menu Start. Opcja ta znajduje się w
Konfiguracja komputera
→
Ustawienia systemu Windows
→
Ustawienia zabezpieczeń
→
Zasady lokalne
→
Przypisywanie praw użytkownika.
1.
Sprawdzić czy na komputerze, który jest członkiem domeny można edytować lokalny
zestaw zasad grupy. Jeśli nie ma takiej możliwości to należy odpowiednie konto
użytkownika dodać do lokalnej grupy komputera – Administratorzy.
2.
Sprawdzić jakie są właściwości opcji Zamykanie systemu na komputerze członkowskim
(lokalne zasady grupy).
3.
Sprawdzić jakie są właściwości tej opcji dotyczące komputerów w domenie – na
komputerze, który jest kontrolerem domeny należy edytować GPO dotyczący domeny lub
wykorzystać skrót do węzła Ustawienia zabezpieczeń dostępny z menu Start
→
Programy
→
Zasady zabezpieczeń domeny.
4.
Stworzyć konto testowe dla użytkownika oraz konto testowe grupy zabezpieczeń (dodać
użytkownika do grupy), zalogować się na komputerze członkowskim, korzystając z tego
konta. Czy można zamknąć system z menu Start ?
5.
Umożliwić danemu użytkownikowi (grupie) zamykanie systemu przez edycję
odpowiedniej opcji znajdujące się w zasadach dotyczących domeny (patrz p. 3).
6.
Czy użytkownik może po powtórnym zalogowaniu zamykać system ?
7.
Co należy wykonać, aby było to możliwe ? Należy doprowadzić do sytuacji aby w
lokalnych zasadach grupy (komputer członkowski) była widoczna sytuacja przedstawiona
na rys. 10 – opcja Zamykanie systemu ma inną ikonę niż pozostałe, co oznacza, że jej
wartość została w lokalnych zasadach grupy nadpisana przez zasady obowiązujące w
domenie.
Rys. 10. Przykład zastąpienia lokalnych zasad grupy
Pytania i zadania do samodzielnego wykonania:
Kto posiada oprócz grupy testowej prawa do zamykania tego systemu?
Zezwolić grupie testowej na logowanie się do kontrolera domeny.
Zezwolić grupie testowej na przejmowanie na własność obiektów systemu plików tylko na
komputerze członkowskim.
Jaką opcję należy skonfigurować aby użytkownik nie zalogowany maił (nie miał) możliwość
zamykania systemu ?