Ćwiczenie D-13 Implementacja zasad grupy

Wykonał: Suchocki Mateusz

Komputer: g14

1. (poniżej) Obraz okna prezentującego listę wszystkich GPO zdefiniowanych w domenie - z tej listy, w ćw. 13.1 wybierane były GPO do połączenia z kolejnymi OU

2. (poniżej) Opis efektów zaobserwowanych podczas realizacji ćw. 13.2  13.5 oraz ich wyjaśnienie

13.2:

Konot Operator_Rachunków

Podczas logowania na te konto nie znaleziono pozycji Moje bieżące dokumenty jak również nie znaleziono pozycji Windows Update. Brak tych pozycji jest spowodowany przez ustawienia w GPO Panel standardowy.

Po zalogowaniu na te konto możliwa jest jednak modyfikacja menu Start i TaskBar jak również możliwa jest zmiana położenia folderu Moje dokumenty.

Konto Operator_Wplat

Po zalogowaniu się na to konto nie znaleziono pozycji Moje bieżące dokumenty jak również nie znaleziono pozycji Windows Update. Możliwa była zmiana położenia folderu Moje dokumenty. Możliwe jest to z tego powodu że OU Wyplaty dziedziczą GPO Panel standardowy od jednostki nadrzędnej jaką jest jednostka Rachunki. Różnica w stosunku co do konta Operator_Rachunkow była taka iż nie można było modyfikować menu Start i TaskBar. Obie te różnice spowodowane są zadziałaniem ustawień zapisanych w GPO Panel ograniczony.

13.3:

Konto Operator_Wplat

Po zalogowaniu się na to konto widoczny był folder moje bieżące dokumenty jak również widoczna jest pozycja Windows Update. Spowodowane jest to tym iż dla grupy Wpłaty wyłączyliśmy dziedziczenie tak więc można stwierdzić ze GPO Panel Standardowy blokuje te możliwości. Natomiast nadal nie jest możliwa modyfikacja menu Start jak i TaskBaru, tak więc zasada GPO Panel Ograniczony która jest przypisana dla tej grupy blokuje tą możliwość. Również można zmieniać położenie folderu Moje dokumenty czyli ta możliwość nie jest w żadnych z zasad określona.

Konto Operator_Wyplat

po zalogowaniu na te konto nie widoczne był folder moje bieżące dokumenty jak również Windows Update, spowodowane jest to tym iż ta jednostka organizacyjna nadal dziedziczy zasady grup od jednostki nadrzędnej Rachunki do której przydzielona jest zasada Panel Standardowy. Również nie możliwa jest modyfikacja menu Start i TaskBar spowodowane jest to ustawieniami GPO Panel Ograniczony. Możliwa jest również zmiana ścieżki do folderu Moje dokumenty

13.4:

Po pierwszym zalogowaniu się na konto Operator_Wplat

Możliwa była zmiana położenia folderu Moje dokumenty mimo to iż do jednostki organizacyjnej nadrzędnej został dołączony nowy GPO Ograniczony folder Moje Dokumenty spowodowane jest to tym iż w jednostce organizacyjnej Wplaty wyłączone jest dziedziczenie tak więc GPO z jednostki nadrzędnej nie jest brane pod uwagę

Po drugim zalogowaniu się na konto Operator_Wplat

Nie możliwa była zmiana położenia folderu Moje Dokumenty, mimo tego iż w jednostce organizacyjnej Wplaty było wyłączone dziedziczenie. Spowodowane jest to tym iż w GPO Ograniczony Folder Moje dokumenty połączonym z nadrzędną jednostką organizacyjną Rachunki została zaznaczona opcja Nie zastępuj. W takim przypadku zasada ta jest brana pod uwagę bez względu na to czy jest wyłączone dziedziczenie.

13.5:

Konto Kontroler_Rachunkow

Po zalogowaniu na to konto widoczne były pozycje Moje bieżące dokumenty jak i Windows Update, spowodowane jest to tym iż użytkownik zablokowane ma w uprawnieniach stosowanie zasad grup tak więc ustawienia z GPO Panel Standardowy nie będą aplikowane dla tego użytkownika

3. (poniżej) Obrazy trzech okien prezentujących DACL zmodyfikowane podczas realizacji ćw. 13.6

PANEL STANDARDOWY

DLA RACHUNKOW

OGRANICZONY FOLDER MOJE DOKUMENTY

Podczas pierwszego logowania nie możliwe było można bezpośrednio otworzyć grupy narzędzi administracyjnych. Po uruchomieniu konsoli poprzez polecenie dsa.msc użytkownik nie miał jakichkolwiek uprawnień dotyczących dołączania i odłączania GPO jak również tworzenia nowych GPO i modyfikowania istniejących GPO

Po drugim zalogowaniu na konto Admin_rachunkow możliwa była modyfikacja istniejących GPO, reszta opcji nadal jest nie aktywna dla tego użytkownika

4. (poniżej) Obraz okna konsoli GPMC z rozwiniętym kontenerem domeny - w panelu szczegółów powinna być widoczna lista wszystkich GPO zdefiniowanych w domenie

5. (poniżej) Obraz okna prezentującego ustawienia służące do określania czasów odświeżania (ćw. 13.12) - okno właściwości zasady Interwał odświeżania zasad grup

6. (poniżej) Obrazy okien prezentujących dwa raporty wygenerowane podczas realizacji ćw. 13.14

WŁASNE SPOSTRZEŻENIA I WNIOSKI do zrealizowanych ćwiczeń:

13.7

Zadanie polegało na delegowaniu uprawnień „zarządza łączami zasad grup” dla użytkownika Admin_rachunkow. Po wykonaniu operacji delegowania i zalogowaniu się na konto użytkownika Admin_rachunkow. Użytkownik po uruchomieniu konsoli Użytkownicy i komputery usługi Active Directory miał możliwość dołączania i odłączania GPO, modyfikowania istniejących GPO. Mimo że przycisk dotyczący dodawania nowych GPO był aktywny to nie możliwe było dodawania nowych GPO.

13.8

W tym zadaniu należało przypisać użytkownika do grupy użytkowników Twórcy- właściciele zasad grup. Po wykonaniu tej czynności i czynnościach wykonanych w zadaniach 13.6 13.7 użytkownik Admin_rachunków ma pełne uprawnienia dotyczące dołączania i odłączania GPO,modyfikacji istniejących GPO jak również dodawania nowych GPO.

13.9

Po skonfigurowaniu zasady Usuń i zapobiegaj dostępowi do polecenia Zamknij na Włączone, Polecenie Zamknij System zostało usunięte z menu start.

13.11

Utworzony filtr WMI został przypisany prawidłowo do GPO DODATKOWY

13.13

Kopiowanie GPO

Kopiowanie ukończone sukcesem, pojawił się nowy GPO o nazwie Copy of Dodatkowy

Archiwizacja GPO

Po wykonaniu archiwizacji powstał folder o nazwie {9095C49B-EBA9-4884-861E-36AA61F049EC}

Kasowanie GPO

Operacja usunięcia przebiegła pozytywnie

Odtwarzanie GPO

Operacja odtwarzania również przebiegła bezproblemowo

---