ZAJĘCIA 12 - ZAKRES PRAC I MATERIAŁY POMOCNICZE

ZAKRES PRAC

1. Zasady Grup (Group Policy) w domenie Windows 2003

1. Zasady Grup - ogólnie

2. Domyślne zasady grup w domenie

3. Obiekty GPO, ich dowiązania, blokowanie dziedziczenia,
   przesłanianie dziedziczenia, wymuszanie ustawień

4. Konsola GPMC (Group Policy Management Console)

5. Wynikowe ustawienia zasad grup, modelowanie zasad grup

Liczba ćwiczeń: 14

MATERIAŁY POMOCNICZE

• Zasady Grup (Group Policy)

Zasady Grup (ang. Group Policy) są mechanizmem pozwalającym na definiowanie ustawień konfiguracyjnych komputerów i użytkowników. Zasady Grup są wykorzystywane przede wszystkim w powiązaniu z usługą katalogową Active Directory do scentralizowanego zarządzania takimi ustawieniami konfiguracyjnymi.

(Nazwa zasady grup jest nieco myląca, gdyż w istocie zasady grup nie są zorientowane na grupy użytkowników czy komputerów ani nie mogą być one względem nich bezpośrednio zastosowane.)

1. Zasady Grup - ogólnie

Zasady grup pozwalają na konfigurację następujących rodzajów ustawień:

• Szablonów administracyjnych (ang. Administrative templates): wpisów Rejestru wykorzystywanych do konfiguracji aplikacji i środowiska pracy użytkowników

• Skryptów (ang. Scripts): określania kiedy i jaki skrypty mają być uruchamiane

• RIS (Remote Installation Services): ustawienia opcji pracy klientów podczas wykorzystywania mechanizmu zdalnej instalacji systemu

• Internet Explorer: ustawienia administrowania i dopasowania parametrów pracy przeglądarki Internetowej

• Przeadresowania folderów (ang. Folder redirection): dotyczące przechowywania wybranych folderów profilu użytkownika na serwerze sieciowym

• Bezpieczeństwa (ang. Security): konfiguracje bezpieczeństwa lokalnego komputera, domeny i sieci

• Instalacji oprogramowania (ang. Software installation): scentralizowane zarządzanie instalacjami, aktualizacjami i usuwaniem oprogramowania

Zasady grup działają tylko na komputery z systemami Windows 2000, Windows XP oraz Windows Server 2003.

Porcja ustawień zasad grup (inaczej, pojedyncza zasada grup) jest definiowana przy pomocy Obiektu Zasad Grup (Group Policy Object) czyli w skrócie: obiektu GPO. Zestaw obiektów GPO składa się na zasady grup.

Ustawienia zawarte w obiekcie GPO mogą dotyczyć komputera (Computer Configuration) i/lub użytkownika (User Configuration). Ustawienia dotyczące komputera odnoszą się też do wszystkich użytkowników, którzy pracują na komputerze, którego dotyczy dany obiekt GPO. Ustawienia obiektu GPO dotyczące użytkownika, odnoszą się do użytkownika, niezależnie od tego na jakim komputerze pracuje. Niektóre ustawienia zasad grup występują zarówno w części dotyczącej komputera jak i użytkownika. Jeśli obydwa takie ustawienia są zdefiniowane, to ustawienia dotyczące użytkownika mają domyślnie wyższy priorytet niż ustawienia dotyczące komputera.

Zasady grup mogą być definiowane i modyfikowane przy użyciu:

• konsoli MMC utworzonej w oparciu o przystawkę Group Policy Object Editor

• narzędzia Administrative Tools - Active Directory Users and Computers lub Active Directory Sites and Services

• konsoli Group Policy Management Console (GPMC)

W węższym zakresie, obejmującym tylko ustawienia bezpieczeństwa w zasadach grup można się też posłużyć:

• narzędziami Administrative Tools - Domain Controller Security Policy oraz Administrative Tools - Domain Security Policy (dostępnymi na kontrolerach domeny)

• narzędziem Administrative Tools - Local Security Policy (dostępnym na serwerach członkowskich domeny lub serwerach samodzielnych)

Obiekty GPO mogą być definiowane przez użytkowników należących do grup: Administrators oraz Group Policy Creator Owners, natomiast modyfikowane przez użytkowników z tych grup albo przez użytkowników posiadających uprawnienia dostępu Read i Write do obiektu GPO.

Zmiana ustawień dotyczących komputera wykonywana jest normalnie podczas startu systemu, a ustawień dotyczących użytkownika podczas jego zalogowania. Oprócz tego, w dłuższych odstępach czasu tj. co kilkadziesiąt minut na komputerach członkowskich w domenie (domyślnie od 60 do 120 minut), oraz co kilka minut na kontrolerach domeny (domyślnie co 5 minut) następuje odświeżanie ustawień po wprowadzeniu zmian w zasadach grup dla domeny. Nie dotyczy to ustawień związanych z Przeadresowaniem folderów oraz Instalacją oprogramowania.
Zamiast restartować system w celu zadziałania wprowadzonych zmian, można wymusić odświeżenie ustawień
korzystając z polecenia gpupdate (narzędzia wiersza polecenia).

1. Domyślne zasady grup w domenie

W każdej domenie Active Directory jest zdefiniowany obiekt GPO o nazwie Default Domain Policy, określający domyślne ustawienia zasad grup dla całej domeny.

Te ustawienia przesłaniają lokalne ustawienia zasad grup (w tym niektóre ustawienia Rejestru) na komputerach należących do domeny.

Dla kontrolerów domeny jest zdefiniowany obiekt GPO o nazwie Default Domain Controller Policy o analogicznej strukturze zawartości. Ten obiekt GPO jest dowiązany do jednostki organizacyjnej Domain Controllers.

Ustawienia Zasad Grup dotyczące aspektów bezpieczeństwa pracy domeny można modyfikować przy pomocy narzędzia Domain Security Policy. Te ustawienia stanowią porcję Zasad Grup, zawartą w węźle Computer Configuration - Windows Settings - Security Settings.

2. Obiekty GPO, ich dowiązania oraz blokowanie dziedziczenia, przesłanianie dziedziczenia, wymuszanie ustawień

Obiekt GPO sam w sobie nie wprowadza żadnych modyfikacji konfiguracyjnych, dopóki nie zostanie dowiązany (dołączony) (ang. linked) do określonego elementu Active Directory. Obiekt GPO może być dowiązany do lokacji (ang. site), domeny, lub jednostki organizacyjnej (ang. organizational unit).

Ten sam obiekt GPO może być dowiązany do kilku różnych elementów.

Ponadto, do tego samego elementu Active Directory może być dowiązanych kilka obiektów GPO.

Ustawienia zasad grup podlegają dziedziczeniu (ang. inheritance). Jeśli np. obiekt GPO jest dowiązany do domeny, to jednostki organizacyjne zawarte w tej domenie dziedziczą ustawienia w nim zawarte. Można zablokować mechanizm dziedziczenia (ang. block inheritance).

Blokada dziedziczenia zasad grup jest definiowana dla domeny lub jednostki organizacyjnej, a nie dla obiektu GPO lub jego dowiązania.

Dziedziczenie ustawień z kontenera nadrzędnego Active Directory (którym jest np. jednostka organizacyjna OU1) może być przesłonięte poprzez dowiązanie obiektu GPO bezpośrednio do zawartego w nim kontenera podrzędnego, np. do zawartej w niej podrzędnej jednostki organizacyjnej OU1/OU2.

Można dowiązać obiekt GPO w taki sposób, że dowiązanie wymusi zastosowanie ustawień dla wszystkich kontenerów podrzędnych, nawet takich, dla których jest zdefiniowana blokada dziedziczenia.
Taka cecha dowiązania (a nie cecha obiektu GPO) jest określana jest jako Enforced (w konsoli GPMC) albo No Override w oryginalnych narzędziach systemu.

Kolejność stosowania zasad grup w domenie jest następująca: najpierw lokalne obiekty GPO, potem GPO dowiązane do lokacji, następnie GPO dowiązane do domeny, wreszcie GPO dowiązane do jednostki organizacyjnej.

Taka kolejność stosowania zasad grup jest często zapisywana w skrótowej notacji: L S D OU

Jeśli kilka obiektów GPO jest dowiązanych do tego samego kontenera Active Directory (np. jednostki organizacyjnej), to będą one stosowane w kolejności od dołu do góry listy obiektów prezentowanej w graficznych narzędziach konfiguracyjnych zasad grup. Czyli obiekt na dole listy jest stosowany jako pierwszy a obiekt na górze listy jest stosowany jako ostatni. Obiekt znajdujący się wyżej na takiej liście ma wyższy priorytet W przypadku konfliktu ustawień wygrywa więc obiekt umieszczony wyżej na liście.

Jeśli ustawienia w stosowanych obiektach GPO nie są z sobą w konflikcie, to wynikowy zestaw ustawień jest ich sumą. Jeśli występuje konflikt ustawień, to ustawienia zastosowane jako ostatnie są traktowane jako wynikowe.

Wyjątkiem od ogólnej reguły LSDOU stosowania zasad grup są domenowe ustawienia dotyczące Account Policies (w konfiguracji komputera) obejmujące m.in. Password Policy. Są one stosowane wyłącznie na poziomie domeny i zawarte w obiekcie GPO o nazwie Default Domain Policy. Natomiast obiekt GPO obejmujący ustawienia Account Policies, ale dowiązany do jednostki organizacyjnej w domenie lub do lokacji ma wpływ tylko na ustawienia konfiguracyjne lokalnej bazy kont na komputerach członkowskich w domenie (na kontrolerach domeny nie ma lokalnej bazy kont) a nie na konta domenowe znajdujące się w jednostce organizacyjnej czy lokacji.

3. Konsola GPMC (Group Policy Management Console)

Konsola GPMC (Group Policy Management Console) jest zintegrowaną konsolą MMC przeznaczoną do administrowania zasadami grup w domenach Active Directory. Łączy w sobie możliwości kilku różnych narzędzi systemu Windows Server 2003 i rozszerza je o czynności dodatkowe, których żadne inne narzędzie nie oferuje. Oprogramowanie GPMC zostało udostępnione bezpłatnie przez firmę Microsoft już po wprowadzeniu systemu Windows Server 2003 do sprzedaży. Można je pobrać ze stron internetowych Microsoftu.

Konsola GPMC jest zalecanym narzędziem do pracy z Group Policy. Po jej zainstalowaniu w systemie (Windows Server 2003 lub Windows XP) następuje podmiana sposobu obsługi zasad grup w innych narzędziach np. takich jak Active Directory Users and Computers (w zakładce Properties - Group Policy)

Oprogramowanie GPMC składa się z konsoli MMC oraz narzędzi skryptowych.
Bardziej szczegółowe informacje można znaleźć w dokumencie Administering Group Policy with Group Policy Management Console umieszczonym w pliku d:\zaj12\gpmc\GPMC_Administering.doc

Wszystkie zdefiniowane obiekty GPO trafiają do kontenera Group Policy Objects w konsoli GPMC.
W innych kontenerach (lokacja, domena, jednostka organizacyjna) pojawiają się wtedy, jeśli zostały do nich dowiązane (ang. linked).
Obiekt GPO, który jest zdefiniowany ale nie został dowiązany do jakiegoś kontenera, nie wprowadza żadnych zmian w ustawieniach konfiguracyjnych komputerów i użytkowników.

4. Wynikowe ustawienia zasad grup, modelowanie zasad grup

Konsola GPMC pozwala na uzyskanie w przejrzysty sposób tzw. wynikowego rezultatu ustawień zasad grup (Group Policy Results), co jest możliwe także (lecz w mniej czytelnej formie) przy pomocy dołączonego do systemu Windows Server 2003 narzędzia wiersza polecenia gpresult lub konsoli MMC o nazwie Resultant Set of Policy pracującej w tzw. trybie Logging mode.
Konsola GPMC pozwala także, na wykonanie symulacji (modelowania) skutków działania zdefiniowanych zasad grup (Group Policy Modeling) co jest odpowiednikiem użycia konsoli Resultant Set of Policy w trybie Planning mode.

Wynikowy zestaw ustawień zasad grup (Resultant Set of Policy, RSoP) uzyskiwany jest po ich zastosowaniu do wskazanego komputera i użytkownika (pod warunkiem, że użytkownik choć raz zalogował się na takim komputerze).

Konsola MMC Resultant Set of Policy (można jej użyć samodzielnie lub poprzez Active Directory Users and Computers) prezentuje w innej formie te same wyniki co węzeł Group Policy Results konsoli GPMC, ale daje dodatkowo możliwość prześledzenia, które obiekty wpływały na końcowe ustawienie, a nie tylko jaki był obiekt końcowy, który dane ustawienie wprowadził. Zakłada Precedence, której nie ma w konsoli GPMC zawiera uporządkowany pod względem ważności spis obiektów GPO, które próbowały zmienić wartość wskazanego ustawienia zasad grup.

Modelowanie zasad grup jest wykonywane w oparciu o informacje przechowywane na kontrolerze domeny i nie wymaga dostępności komputera i użytkownika, dla których symulacja jest wykonywana. Pozwala to analizować potencjalne skutki przeprowadzanych zmian, np. jakie ustawienia zasad grup będą obowiązywać po przeniesienia danego konta użytkownika do określonej jednostki organizacyjnej i jego zalogowaniu się na wskazanym komputerze ale bez rzeczywistego przenoszenia tego konta oraz bez logowania się użytkownika na wskazanym komputerze.

ZAJĘCIA 12 - ĆWICZENIA

Ćwiczenie 1 (Przygotowania)

Przyjmuje się, że jest już utworzona domena Active Directory o nazwie labN.wsisiz.edu.pl, której kontrolerem domeny jest komputer szN.labN.wsisiz.edu.pl, o adresie IP postaci 192.168.3.www i masce sieci 255.255.255.0.
Konto Administratora tej domeny ma zdefiniowane hasło w postaci: domena-N.

1. Zalogować się jako Administrator w Windows Server 2003 Instalacja standardowa.

2. Z zasobów WS2003Lab skopiować do katalogu głównego lokalnego dysku (D:\) cały folder lab2006\zaj12
   z zachowaniem jego nazwy zaj12.

3. Otworzyć okno Command Prompt.
   Wykonać polecenie ipconfig i odnotować ostatni oktet (bajt) adresu IP własnego komputera szYYY,
   np. dla adresu 213.135.45.65, będzie to liczba K=65.

4. Zdefiniować następujące parametry TCP/IP (Control Panel - Network Connections - Local Area Connection - Properties - Internet Protocol (TCP/IP) - przycisk Properties)
   IP address: 192.168.3.K (gdzie K jest liczbą odnotowaną w p.3 tego ćwiczenia)
   Subnet mask: 255.255.255.0
   Preferred DNS server: 192.168.3.www (czyli adres kontrolera domeny szN.labN.wsisiz.edu.pl)
   Pozostałe rubryki nie mają być wypełnione.

5. Zmienić nazwę komputera, usunąć komputer z grupy roboczej i przyłączyć do domeny, wybierając System Properties - Computer Name - przycisk Change po czym
   w rubryce Computer name: wpisując memYYY (gdzie YYY to cyfry występujące w oryginalnej nazwie szYYY, np. mem614 dla sz614)
   natomiast w rubryce Member of zaznaczając Domain i wpisując nazwę domeny labN.wsisiz.edu.pl oraz naciskając OK.
   W oknie Computer Name Changes należy wpisać parametry konta, które posiada uprawnienie dodawania komputerów do tej domeny. Jako nazwę konta podać Administrator, jako hasło domena-N.
   Po wyświetleniu komunikatu potwierdzającego udane dołączenie do domeny (Welcome to labN.wsisiz.edu.pl domain), zrestartować system.

6. Zalogować się jako Administrator lokalnego serwera (czyli w rubryce Log on to powinna być nazwa własnego komputera memYYY).
   Zainstalować dodatkowy pakiet narzędzi Windows Server 2003 Service Pack 1 Administration Tools Pack (z pliku D:\zaj12\software\adminpak.exe), dwukrotnie klikając na tym pliku.

Ćwiczenie 2 [Dodatkowe] (Prezentacja: Wprowadzenie do Group Policy)

1. Podstawowe pojęcia związane z mechanizmem Group Policy wykorzystywanym w domenach Active Directory systemów Windows Server 2003 oraz Windows 2000 są przedstawione w krótkiej prezentacji, zaczerpniętej z materiałów szkoleniowych Microsofta.
   
   Pracując jako Administrator w systemie Windows Server 2003 otworzyć plik
   D:\zaj12\media\IntroGP.html zawierający treść prezentacji:
   Introduction to Group Policy.
   
   Użycie klawisza funkcyjnego [F11] pozwala oglądać prezentację w trybie pełnoekranowym. W dolnej części ekranu powinny być wyświetlane komentarze, w razie potrzeby można włączyć lub wyłączyć ich wyświetlanie klikając na przycisku CC.
   
   (Dla prawidłowego wyświetlania prezentacji, może być konieczne wcześniejsze doinstalowanie obsługi Macromedia Flash Player np. z katalogu D:\zaj12\Flash oraz wyłączenie rozszerzonego trybu bezpieczeństwa przeglądarki czyli wyłączenie Internet Explorer Enhanced Security Configuration np. w Control Panel - Add or Remove Programs - Add/Remove Windows Components)
   
   

Ćwiczenie 3 (Domyślne zasady grup w domenie)

Mechanizm Group Policy (Zasady Grup) pozwala na definiowanie m.in. ustawień bezpieczeństwa dla komputerów i użytkowników pracujących w domenie.

Zasady grup dla domeny mogą być definiowane przy użyciu konsoli MMC utworzonej w oparciu o przystawkę Group Policy, lub dzięki narzędziu Administrative Tools - Domain Security Policy (dostępnym na kontrolerach domeny) lub z użyciem narzędzia Administrative Tools - Active Directory Users and Computers.
Ten ostatni sposób jest stosowany najczęściej.

W każdej domenie Active Directory jest zdefiniowany obiekt GPO (Group Policy Object, czyli Obiekt Zasad Grup) o nazwie Default Domain Policy, określający domyślne ustawienia zasad grup dla całej domeny.

1. Sprawdzenie ustawienia wymogów bezpieczeństwa dla domeny, dotyczącego liczby pamiętanych haseł
   Zalogować się jako Administrator domeny (czyli w rubryce Log on to powinna być nazwa domeny LABN).
   Uruchomić Administrative Tools - Active Directory Users and Computers, zaznaczyć domenę labN.wsisiz.edu.pl, z menu kontekstowego wybrać Properties, potem zakładkę Group Policy, zaznaczyć obiekt Default Domain Policy i nacisnąć przycisk Edit.
   
   Rozwinąć węzeł Computer Configuration - Windows Settings - Security Settings - Account Policies - Password Policy.
   Sprawdzić wartość ustawienia Enforce password history - powinna mieć wartość domyślną (24).
   Zakończyć pracę z tym narzędziem.
   

2. Sprawdzenie obowiązujących ustawień
   Otworzyć okno Command Prompt i wykonać w nim polecenie net accounts.
   Jeśli jako Length of password history maintained jest wyświetlona pozycja none, to znaczy, że trzeba dokonać odświeżenia ustawień w sposób opisany niżej.
   
   Zmiana ustawień dotyczących komputera (Computer Configuration) wykonywana jest normalnie podczas startu systemu, lub w dłuższych odstępach czasu (kilkadziesiąt minut) po wprowadzeniu zmian w zasadach grup dla domeny.
   
   Zamiast restartować system w celu zadziałania wprowadzonych zmian, można wymusić odświeżenie ustawień
   wykonując polecenie (zrobić to):
   gpupdate
   
   Ponownie wykonać polecenie net accounts.
   Jako Length of password history maintained powinna być wyświetlona wartość 24.
   Dotyczy ona ustawienia dla lokalnej bazy kont użytkowników na serwerze członkowskim memYYY.
   (Można też użyć konsoli Administrative Tools - Local Security Policy)
   
   Wykonać polecenie net accounts /domain
   Jako Length of password history maintained powinna być wyświetlona wartość 24.
   Dotyczy ona ustawienia dla kont użytkowników zdefiniowanych w domenie labN.wsisiz.edu.pl.
   
   Obie sprawdzane wyżej wartości powinny być, na tym etapie konfiguracji, takie same.
   

Ćwiczenie 4 (Utworzenie zestawu jednostek organizacyjnych dla potrzeb dalszych ćwiczeń)

Próby dotyczące zasad grup będą wykonywane na zestawie jednostek organizacyjnych (OU, Organizational Unit) z odpowiednią zawartością, utworzonych w domenie labN.wsisiz.edu.pl.

Docelowa struktura jednostek organizacyjnych i ich zawartość powinny być następujące:
OU-YYY zawiera: konto użytkownika a1-YYY i konto komputera memYYY oraz jednostki organizacyjne P i Q
P zawiera konto użytkownika a2-YYY
Q zawiera konto użytkownika a3-YYY

gdzie YYY to numer występujący w oznaczeniu memYYY serwera członkowskiego domeny (np. w domenie, do której należy serwer członkowski mem789 należy utworzyć jednostkę organizacyjną o nazwie OU-789, konta użytkowników a1-789, a2-789, a3-789).

1. Pracując jako administrator domeny uruchomić Administrative Tools - Active Directory Users and Computers. Wybrać domenę labN.wsisiz.edu.pl. Z menu kontekstowego wybrać New, potem Organizational Unit, jako nazwę wprowadzić OU-YYY. W jednostce organizacyjnej OU-YYY, wybrać z menu kontekstowego New, potem Organizational Unit, jako nazwę wprowadzić P. Analogicznie zdefiniować jednostkę Q.
   
   Dla jednostki OU-YYY z menu kontekstowego wybrać New, potem User i zdefiniować konto
   o nazwie a1-YYY (zarówno Full name jak i User logon name) z hasłem konto1-OU i odznaczyć
   pole User must change password at next logon
   Dla jednostki OU-YYY/P, w analogiczny sposób zdefiniować konto o nazwie a2-YYY z hasłem konto2-OU.
   Dla jednostki OU-YYY/Q, w analogiczny sposób zdefiniować konto o nazwie a3-YYY z hasłem konto3-OU.
   
   Przenieść konto komputera memYYY z kontenera Computers do jednostki OU-YYY, zaznaczając nazwę memYYY w kontenerze Computers, po czym z menu kontekstowego wybierając Move.. oraz w okienku reprezentującym drzewiastą strukturę kontenerów zawartych w domenie wskazać jednostkę OU-YYY i zaakceptować przyciskiem OK.
   (Przeniesienie elementu z jednego kontenera do drugiego można także wykonać posługując się technikę przeciągnij i upuść (ang. drag and drop)).
   
   Sprawdzić, że zawartość jednostki OU-YYY spełnia wymagania określone na początku tego Ćwiczenia.
   

Ćwiczenie 5 (Instalacja konsoli GPMC)

Konsola GPMC (Group Policy Management Console) jest konsolą MMC przeznaczoną do administrowania zasadami grup w domenach Active Directory. Łączy w sobie możliwości kilku różnych narzędzi systemu Windows Server 2003 i rozszerza je o czynności dodatkowe, których żadne inne narzędzie nie oferuje. Oprogramowanie GPMC zostało udostępnione bezpłatnie przez firmę Microsoft już po wprowadzeniu systemu Windows Server 2003 do sprzedaży. Można je pobrać ze stron internetowych Microsoftu.

Konsola GPMC jest zalecanym narzędziem do pracy z Group Policy. Po jej zainstalowaniu w systemie (Windows Server 2003 lub Windows XP) następuje podmiana sposobu obsługi zasad grup w innych narzędziach np. takich jak Active Directory Users and Computers (w zakładce Properties - Group Policy).

Oprogramowanie GPMC składa się z konsoli MMC oraz narzędzi skryptowych.
Bardziej szczegółowe informacje można znaleźć w dokumencie Administering Group Policy with Group Policy Management Console umieszczonym w pliku d:\zaj12\gpmc\GPMC_Administering.doc

1. Pracując jako administrator domeny zainstalować konsolę GPMC wykorzystując plik d:\zaj12\gpmc\gpmc.msi
   Po instalacji staje się ona dostępna pod nazwą Administrative Tools - Group Policy Management
   Dla wygody korzystania utworzyć na pulpicie skrót do tego narzędzia.
   

Ćwiczenie 6 (Zasada grup dot. ustawień komputera, dowiązana do jednostki organizacyjnej)

Celem ćwiczenia jest zdefiniowanie nowego obiektu GPO (obiektu zasad grup) obejmującego ustawienia komputera i dowiązania go (ang. link) do jednostki organizacyjnej OU-YYY.

1. Sprawdzenie aktualnego ustawienia długości historii haseł
   Pracując jako administrator domeny otworzyć okno Command Prompt i wykonać w nim polecenie net accounts oraz polecenie net accounts /domain.
   Jako Length of password history maintained powinna być wyświetlona wartość 24 (taka sama jak w Ćwiczeniu 3).
   

2. Zdefiniowanie nowego obiektu GPO i dowiązanie go do jednostki organizacyjnej
   Pracując jako administrator domeny uruchomić Group Policy Management, rozwinąć węzeł Forest: labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl. Zaznaczyć jednostkę OU-YYY i z menu kontekstowego wybrać Create and Link a GPO Here... W okienku New GPO wpisać nazwę GPO1-YYY (np. GPO1-789) i zaakceptować. Zostanie zdefiniowany nowy (pusty) obiekt GPO1-YYY zasad grup. Powinien być widoczny po rozwinięciu kontenera OU-YYY oraz kontenera Group Policy Objects.
   
   Wszystkie zdefiniowane obiekty GPO trafiają do kontenera Group Policy Objects.
   W innych kontenerach (lokacja, domena, jednostka organizacyjna) pojawiają się wtedy, jeśli zostały do nich dowiązane (ang. linked).
   Obiekt GPO, który jest zdefiniowany ale nie został dowiązany do jakiegoś kontenera, nie wprowadza żadnych zmian w ustawieniach konfiguracyjnych komputerów i użytkowników.
   
   Zaznaczyć obiekt GPO1-YYY i z menu kontekstowego wybrać Edit... Edycja ustawień obiektów GPO jest wykonywana przy pomocy automatycznie uruchamianego edytora Group Policy Object Editor.
   
   Rozwinąć węzeł Computer Configuration - Windows Settings - Security Settings - Account Policies - Password Policy.
   Z menu kontekstowego pozycji Enforce password history wybrać Properties, zaznaczyć Define this policy setting, wpisać wartość 16 w rubryce passwords remembered i zaakceptować przyciskiem OK.
   Zakończyć pracę z edytorem Group Policy Object Editor oraz konsolą Group Policy Management.
   

3. Sprawdzenie
   Wymusić odświeżenie ustawień wykonując polecenie: gpupdate
   
   Wykonanie polecenia net accounts powinno pokazać zmianę wartości parametru Length of password history maintained z 24 na 16.
   Dotyczy ona ustawienia dla lokalnej bazy kont użytkowników na serwerze członkowskim memYYY.
   Uwaga: Jeśli ustawienie nie uległo zmianie pomimo wykonania polecenia gpupdate czy nawet
   gpupdate /force, należy zrestartować system i sprawdzić ponownie.
   
   Wykonanie polecenia net accounts /domain powinno pokazać że wartość parametru Length of password history maintained nie uległa zmianie (wynosi 24).
   Dotyczy ona ustawienia dla kont użytkowników zdefiniowanych w domenie labN.wsisiz.edu.pl.
   
   Obie sprawdzane wyżej wartości powinny, po tym etapie konfiguracji, różnić się od siebie.
   
   Dzieje się tak, gdyż zmiana ustawienia konfiguracyjnego zawarta w GPO1-YYY dotyczyła tylko komputerów znajdujących się w jednostce organizacyjnej OU-YYY (czyli komputera memYYY) i w tym przypadku miała wpływ tylko na lokalne konta użytkowników na tym komputerze. Jest to konsekwencją odmiennego niż ogólna reguła L S D OU traktowania ustawień dotyczących Account Policies w domenie (por. punkt 1.3 w Materiałach Pomocniczych).
   
   

Ćwiczenie 7 (Zasada grup dot. ustawień użytkownika, dowiązana do jednostki organizacyjnej)

Celem ćwiczenia jest zdefiniowanie nowego obiektu GPO obejmującego ustawienia użytkownika i dowiązania go do jednostki organizacyjnej OU-YYY.

1. Sprawdzenie aktualnej dostępności menu Search i Run
   Zalogować się kolejno jako użytkownik: a1-YYY (hasło konto1-OU) oraz a2-YYY (hasło konto2-OU)
   i sprawdzić, że w menu Start są dostępne pozycje Search oraz Run..
   

2. Zdefiniowanie nowego obiektu GPO i związanie go z jednostką organizacyjną
   Zalogować się jako administrator domeny. Uruchomić Group Policy Management, rozwinąć węzeł Forest: labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl. Zaznaczyć jednostkę OU-YYY i z menu kontekstowego wybrać Create and Link a GPO Here... W okienku New GPO wpisać nazwę GPO2-YYY (np. GPO2-789) i zaakceptować.
   
   Zaznaczyć obiekt GPO2-YYY i z menu kontekstowego wybrać Edit... (Uwaga: Jeśli zostanie zaznaczony obiekt GPO w lewym panelu (drzewiastym) to w menu kontekstowym jest pozycja Edit... natomiast jeśli zostanie zaznaczony obiekt w prawym panelu to w niektórych zakładkach w menu kontekstowym jest Edit (bez kropek na końcu). Skutek użycia jest taki sam w obydwu przypadkach)
   
   Rozwinąć węzeł User Configuration - Administrative Templates - Start Menu and Taskbar
   
   Wybrać Properties pozycji Remove Search menu from Start Menu (albo dwukrotnie kliknąć na tej pozycji), w zakładce Explain można przeczytać opis skutków modyfikacji tego ustawienia, natomiast w zakładce Setting można to ustawienie zmienić. Włączyć to ustawienie, czyli zaznaczyć Enabled w zakładce Setting i zaakceptować.
   
   W analogiczny sposób włączyć (Enabled) ustawienie pozycji Remove Run menu from Start Menu
   

3. Sprawdzenie skutków zastosowania obiektu GPO2-YYY
   Zalogować się kolejno jako użytkownik: a1-YYY oraz a2-YYY i sprawdzić, że w menu Start nie ma już pozycji Search oraz Run..
   
   

Ćwiczenie 8 (Charakterystyka obiektów GPO; blokowanie dziedziczenia zasad grup)

Celem ćwiczenia jest zapoznanie się z charakterystykami obiektów GPO dostępnymi przy użyciu GPMC oraz zademonstrowanie skutków blokowania dziedziczenia zasad grup.
Blokada dziedziczenia zasad grup jest definiowana dla domeny lub jednostki organizacyjnej, a nie dla obiektu GPO lub jego dowiązania.

1. Charakterystyki kontenera wykorzystującego obiekty GPO
   Zalogować się jako administrator domeny i uruchomić Group Policy Management, rozwinąć węzeł Forest: labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl.
   Zaznaczyć jednostkę OU-YYY. W prawym panelu konsoli GPMC pojawią się informacje dot. zasad grup odnoszących się do tego kontenera (tutaj: jednostki organizacyjnej). Składają się na nie zakładki:
   Linked Group Policy Objects - zawierająca spis obiektów GPO dowiązanych do kontenera, charakterystykę ich atrybutów, kolejność dowiązania decydująca o ważności ich ustawień (tę kolejność można zmienić)
   Group Policy Inheritance - zestawienie dziedziczonych zasad grup, w kolejności od najważniejszej (o najwyższym priorytecie wynoszącym 1) do najmniej ważnych (najniższy priorytet)
   Delegation - uprawnienia związane z kontenerem i dotyczącymi go obiektami GPO (można je tu modyfikować).
   
   Sprawdzić w zakładce Linked Group Policy Objects jakie obiekty GPO i w jakiej kolejności dowiązania dotyczą jednostki OU-YYY (powinny być dwa obiekty).
   Sprawdzić w zakładce Group Policy Inheritance z jakich obiektów GPO są dziedziczone ustawienia przez jednostkę OU-YYY i z jakim priorytetem (powinny być trzy obiekty).
   

2. Charakterystyki obiektów GPO
   W kontenerze Group Policy Objects zaznaczyć obiekt GPO2-YYY
   W prawym panelu konsoli GPMC pojawią się charakterystyki tego obiektu GPO, na które składają się zakładki:
   Scope - zawierająca informacje o tym jakie lokacje, domeny i jednostki organizacyjne mają dowiązany (Link) ten obiekt GPO i z jakimi atrybutami oraz jakie mechanizmy filtrowania (Security oraz WMI) dotyczą tego obiektu
   Details - cechy obiektu GPO przechowywanego w Active Directory oraz jego status (GPO status), który można zmienić
   Settings - bardzo użyteczna zakładka zawierająca tylko te ustawienia konfiguracyjne dla komputera i/lub użytkownika, które zostały zdefiniowane w danym obiekcie GPO (korzystanie z tej zakładki może wymagać zaakceptowania użycia pliku security_mmc.exe)
   Delegation - uprawnienia dotyczące tego obiektu GPO, decydujące o tym kto może zmieniać zawarte w nim ustawienia, kto może je odczytać i wobec kogo mogą być zastosowane.
   
   Sprawdzić w zakładce Scope, gdzie obiekt GPO2-YYY jest wykorzystywany, w zakładce Details jaki jest jego status (powinien być: Enabled) a w zakładce Settings (po automatycznym wygenerowaniu raportu) wyświetlić pełny spis ustawień wybierając przycisk show all (w prawym górnym rogu).
   

3. Blokada dziedziczenia zasad grup
   W Group Policy Management zaznaczyć jednostkę organizacyjną P w jednostce OU-YYY (czyli jednostkę OU-YYY/P). Zwrócić uwagę na spis obiektów GPO, z których dziedziczone są zasady grup (powinny być trzy takie obiekty) wyświetlany w zakładce Group Policy Inheritance.
   
   Zablokować dziedziczenie zasad grup przez jednostkę P, wybierając z jej menu kontekstowego operację Block Inheritance. Przy nazwie jednostki P powinno pojawić się dodatkowe oznaczenie w postaci białego wykrzyknika na niebieskim tle.
   Zauważyć też, że spis obiektów w zakładce Group Policy Inheritance stał się pusty.
   

4. Sprawdzenie skutków zastosowania blokady dziedziczenia zasad grup
   Zalogować się kolejno jako użytkownik: a1-YYY, a2-YYY oraz a3-YYY i sprawdzić, że dla użytkowników a1-YYY oraz a3-YYY w menu Start nadal nie ma pozycji Search oraz Run.., natomiast użytkownik a2-YYY ma te dwie pozycje ponownie. Dlaczego ?
   
   

Ćwiczenie 9 (Wynikowe ustawienia zasad grup, modelowanie zasad grup)

Konsola GPMC pozwala na uzyskanie tzw. wynikowego rezultatu ustawień zasad grup (Group Policy Results), oraz na wykonanie symulacji (modelowania) skutków działania zdefiniowanych zasad grup (Group Policy Modeling)

Wynikowy zestaw ustawień zasad grup (Resultant Set of Policy, RSoP) uzyskiwany jest po ich zastosowaniu do wskazanego komputera i użytkownika (pod warunkiem, że użytkownik choć raz zalogował się na takim komputerze) natomiast modelowanie zasad grup jest wykonywane w oparciu o informacje przechowywane na kontrolerze domeny i nie wymaga dostępności komputera i użytkownika dla których symulacja jest wykonywana.

1. Wynikowy zestaw ustawień (RSoP)
   Zalogować się jako Administrator domeny, uruchomić Group Policy Management, rozwinąć węzeł Forest: labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl.
   
   Zaznaczyć węzeł Group Policy Results i z jego menu kontekstowego wybrać Group Policy Results Wizard..
   Na ekranie powitalnym nacisnąć Next, na ekranie Computer selection zostawić zaznaczenie This computer i nacisnąć Next, na ekranie User selection zaznaczyć pozycję Select a specific user , wskazać użytkownika LABN\a1-YYY (gdzie LABN to nazwa domeny) i nacisnąć Next, na ekranie Summary of Selections nacisnąć Next i na ekranie końcowym przycisk Finish.
   
   Po chwili zostanie wygenerowany raport dotyczący ustawień zasad grup dla użytkownika a1-YYY (z domeny LABN) na komputerze memYYY (w domenie LABN).
   
   
   W zakładce Summary znajduje się podsumowanie zestawu obiektów zasad grup i ich parametrów użytych do otrzymania wynikowych ustawień dla komputera i użytkownika.
   W zakładce Settings znajdują się szczegółowe ustawienia komputera i użytkownika obowiązujące po zastosowaniu wszystkich odnoszących się do nich obiektów zasad grup.
   
   W zakładce Summary wyświetlić pełną postać podsumowania wybierając przycisk show all
   W części User Configuration Summary - Group Policy Objects - Applied GPOs powinny znajdować się dwa obiekty GPO (Default Domain Policy oraz GPO2-YYY) - co oznacza, że ustawienia zawarte w GPO2-YYY zabraniające wyświetlania w menu Start obu pozycji Search i Run miały zastosowanie do użytkownika a1-YYY.
   
   W zakładce Settings wyświetlić pełny spis ustawień wybierając przycisk show all, zwracając zwłaszcza uwagę na wartości umieszczone w kolumnie Winning GPO. Dla ustawień dotyczących użytkownika (User Configuration) powinny np. być ustawienia Remove Search menu from Start Menu oraz Remove Run menu from Start Menu opisane jako Enabled oraz "wygrywającym" obiektem zasad grup powinien być GPO2-YYY.
   Kliknięcie na nazwie takiego ustawienia powoduje wyświetlenie jego opisu.
   
   W analogiczny sposób otrzymać wynikowy zestaw ustawień dla użytkownika a2-YYY.
   Tym razem jednak, w zakładce Settings powinno być widoczne, że ustawienia użytkownika są puste (dlatego użytkownik a2-YYY widzi w menu Start obie pozycje: Search i Run).
   Ponadto w zakładce Summary, w części User Configuration Summary - Group Policy Objects - Denied GPOs powinny znajdować się trzy obiekty GPO mające w kolumnie Reason denied wartości Blocked SOM (SOM oznacza Scope of Management) — co oznacza, że te obiekty zasad grup zostały zablokowane z punktu widzenia dziedziczenia ustawień i nie miały zastosowania do użytkownika a2-YYY.
   

2. Modelowanie (symulacja) użycia zasad grup
   Niżej przeprowadzona próba ma wyjaśnić jakie ustawienia zaczerpnięte z zasad grup obowiązywałyby dla użytkownika a1-YYY gdyby został przeniesiony z jednostki organizacyjnej OU-YYY do jednostki P oraz zalogowałby się na kontrolerze domeny (a nie na serwerze członkowskim).
   Wynik zostanie uzyskany drogą zasymulowania takiej sytuacji tzn. bez rzeczywistego przeniesienia konta a1-YYY do jednostki organizacyjnej OU-YYY/P oraz bez logowania się użytkownika na kontrolerze domeny.
   
   Zaznaczyć węzeł Group Policy Modeling i z jego menu kontekstowego wybrać Group Policy Modeling Wizard..
   Na ekranie powitalnym nacisnąć Next, oraz na każdym z niżej wymienionych ekranów akceptować wprowadzone informacje przyciskiem Next:
   na ekranie Domain Controller Selection pozostawić ustawienie domyślne,
   na ekranie User and Computer Selection, w rubryce User information zaznaczyć User i wpisać (lub wybrać za pomocą przycisku Browse) konto LABN\a1-YYY, w rubryce Computer information zaznaczyć Computer i wpisać (lub wybrać za pomocą przycisku Browse) nazwę kontrolera domeny LABN\szN,
   na ekranie Advanced Simulation Options zostawić ustawienia domyślne,
   na ekranie Alternative Active Directory Paths w rubryce User location zmienić wartość za pomocą przycisku Browse na jednostkę organizacyjną P (zamiast OU-YYY), w rubryce Computer location pozostawić
   kontener Domain Controllers,
   na ekranie User Security Groups pozostawić ustawienia domyślne,
   na ekranie Computer Security Groups pozostawić ustawienia domyślne,
   na ekranie WMI Filters for Users pozostawić ustawienia domyślne,
   na ekranie WMI Filters for Computers pozostawić ustawienia domyślne,
   na ekranie Summary of Selections nacisnąć Next,
   na ekranie końcowym nacisnąć Finish.
   
   Zakładki Summary i Settings pełnią taka samą rolę jak dla Group Policy Results.
   
   Sprawdzić w zakładce Summary w części Computer Configuration Summary - Group Policy Objects - Applied GPOs oraz w części User Configuration Summary - Group Policy Objects- Applied GPOs jakie obiekty zasad grup zostały zastosowane, odpowiednio, do ustawień komputera i użytkownika.
   
   
   W zakładce Settings sprawdzić, ze ustawienie Enforce password history dla komputera ma wartość 24 (a nie 16 jak w jednostce organizacyjnej OU-YYY) oraz, że ustawienia użytkownika są puste czyli m.in. pozycje Search i Run byłyby widoczne w menu Start.
   

Ćwiczenie 10 (Przesłonięcie dziedziczonych ustawień zasad grup)

Celem ćwiczenia jest zdefiniowanie nowego obiektu GPO obejmującego ustawienia użytkownika i dowiązanie go do jednostki organizacyjnej OU-YYY/Q co spowoduje przesłonięcie ustawień dziedziczonych z jednostki nadrzędnej.

1. Zdefiniowanie nowego obiektu GPO i związanie go z podrzędna jednostką organizacyjną
   Pracując jako administrator domeny uruchomić Group Policy Management, rozwinąć węzeł Forest: labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl. Zaznaczyć jednostkę OU-YYY/Q i z menu kontekstowego wybrać Create and Link a GPO Here... W okienku New GPO wpisać nazwę GPO3-YYY (np. GPO3-789) i zaakceptować.
   Zaznaczyć obiekt GPO3-YYY i z menu kontekstowego wybrać Edit...
   
   Rozwinąć węzeł User Configuration - Administrative Templates - Start Menu and Taskbar
   Dwukrotnie kliknąć na pozycji Remove Search menu from Start Menu oraz w zakładce Setting wyłączyć to ustawienie, czyli zaznaczyć Disabled i zaakceptować.
   

2. Sprawdzenie skutków zastosowania przesłonięcia ustawień odziedziczonych
   Zalogować się jako użytkownik a3-YYY i sprawdzić, że w jego w menu Start jest pozycja Search oraz nie ma pozycji Run...
   

3. Zalogować się jako administrator domeny, uruchomić Group Policy Management.
   
   Zaznaczyć jednostkę organizacyjną OU-YYY/Q i w zakładce Group Policy Inheritance sprawdzić spis i kolejność stosowania obiektów GPO do tej jednostki (powinny być cztery GPO).
   
   Używając Group Policy Result sprawdzić jakie wynikowe ustawienia będą obowiązywać dla użytkownika a3-YYY pracującego na serwerze członkowskim memYYY.
   W zakładce Settings, w części User Configuration, pozycja Remove Search menu from Start Menu powinna mieć wartość Disabled, a odpowiedzialnym za to obiektem GPO powinien być GPO3-YYY.
   
   

Ćwiczenie 11 (Obiekt zasad grup dowiązany do kilku jednostek)

Celem ćwiczenia jest zdefiniowanie nowego obiektu GPO obejmującego ustawienia użytkownika i dowiązanie go do dwóch jednostek organizacyjnych, w tym jednej dla której obowiązuje blokada dziedziczenia ustawień z jednostek nadrzędnych.

1. Zdefiniowanie nowego obiektu GPO i związanie go z dwoma jednostkami
   Pracując jako administrator domeny uruchomić Group Policy Management, rozwinąć węzeł Forest: labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl.
   
   Zostanie tutaj użyty inny sposób polegający najpierw na utworzeniu obiektu GPO, po czym na dowiązaniu go do dwóch różnych kontenerów.
   Zaznaczyć węzeł Group Policy Objects, z jego menu kontekstowego wybrać New, w okienku New GPO wpisać nazwę GPO4-YYY (np. GPO4-789) i zaakceptować.
   Zaznaczyć obiekt GPO4-YYY i z menu kontekstowego wybrać Edit...
   
   Rozwinąć węzeł User Configuration - Administrative Templates - Start Menu and Taskbar
   Dwukrotnie kliknąć na pozycji Remove Help menu from Start Menu oraz w zakładce Setting włączyć to ustawienie, czyli zaznaczyć Enabled i zaakceptować.
   
   
   Zaznaczyć jednostkę OU-YYY/P i z menu kontekstowego wybrać Link an Existing GPO..., w okienku Select GPO wybrać GPO4-YYY i zaakceptować.
   Wykonać analogiczną czynność dla jednostki OU-YYY/Q.
   

2. Sprawdzenie skutków
   Zalogować się kolejno jako użytkownicy: a1-YYY, a2-YYY oraz a3-YYY i sprawdzić, że w ich menu Start jest następująca sytuacja:
   a1-YYY: Help and Support (jest), Search (brak), Run (brak)
   a2-YYY: Help and Support (brak), Search (jest), Run (jest)
   a3-YYY: Help and Support (brak), Search (jest), Run (brak)
   
   

Ćwiczenie 12 (Wymuszenie ustawień, nawet dla kontenerów stosujących blokadę dziedziczenia)

Celem ćwiczenia jest zdefiniowanie nowego obiektu GPO obejmującego ustawienia użytkownika i dowiązanie go do jednostki organizacyjnej OU-YYY w taki sposób, że dowiązanie wymusi zastosowanie ustawień dla wszystkich kontenerów podrzędnych, nawet takich dla których jest zdefiniowana blokada dziedziczenia.
Taka cecha dowiązania (a nie cecha obiektu GPO) jest określana jest jako Enforced (w konsoli GPMC) albo No Override w oryginalnych narzędziach systemu.

1. Zdefiniowanie nowego obiektu GPO i utworzenie dowiązania z atrybutem Enforced
   Zalogować się jako administrator domeny. Uruchomić Group Policy Management, rozwinąć węzeł Forest: labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl. Zaznaczyć jednostkę OU-YYY i z menu kontekstowego wybrać Create and Link a GPO Here... W okienku New GPO wpisać nazwę GPO5-YYY (np. GPO5-789) i zaakceptować.
   Zaznaczyć obiekt GPO5-YYY i z menu kontekstowego wybrać Edit...
   
   Rozwinąć węzeł User Configuration - Administrative Templates - Start Menu and Taskbar
   Włączyć (Enabled) ustawienia:
   Remove Search menu from Start Menu
   Remove Help menu from Start Menu
   Remove Run menu from Start Menu
   i zaakceptować.
   
   Zaznaczyć jednostkę OU-YYY, a następnie dowiązanie obiektu GPO5-YYY w niej.
   W menu kontekstowym tego dowiązania zaznaczyć atrybut Enforced.
   

2. Sprawdzenie skutków
   Zalogować się kolejno jako użytkownicy: a1-YYY, a2-YYY oraz a3-YYY i sprawdzić, że w ich menu Start jest następująca sytuacja: Help and Support (brak), Search (brak), Run (brak)
   

3. Wykorzystanie konsoli Resultant Set of Policy
   Zalogować się jako administrator domeny, uruchomić Group Policy Management.
   W zakładce Group Policy Inheritance, dla jednostek organizacyjnych OU-YYY, OU-YYY/P, OU-YYY/Q sprawdzić spis i kolejność stosowania obiektów GPO do nich. Na pierwszym miejscu powinien być obiekt GPO5-YYY z atrybutem (Enforced).
   
   Używając Group Policy Results sprawdzić jakie wynikowe ustawienia będą obowiązywać dla użytkownika a3-YYY pracującego na serwerze członkowskim memYYY.
   W zakładce Settings, w części User Configuration, wszystkie trzy pozycje Remove ... from Start Menu powinna mieć wartość Enabled, a odpowiedzialnym za to obiektem GPO powinien być GPO5-YYY.
   
   W węźle Group Policy Results zaznaczyć aktualnie oglądany raport tzn. raport o nazwie a3-YYY on memYYY, z menu kontekstowego wybrać Advanced View..
   Powoduje to uruchomienie oddzielnej konsoli MMC o nazwie Resultant Set of Policy prezentującej te same wyniki w innej formie, ale dającej możliwość prześledzenia, które obiekty wpływały na końcowe ustawienie, a nie tylko jaki był obiekt końcowy, który dane ustawienie wprowadził.
   
   
   W konsoli Resultant Set of Policy rozwinąć węzeł User Configuration - Administrative Templates - Start Menu and Taskbar
   Dwukrotnie kliknąć np. na pozycji Remove Search menu from Start Menu.
   Pojawi się dodatkowa zakładka Precedence, której nie ma w konsoli GPMC. Zawiera ona uporządkowany pod względem ważności spis obiektów GPO, które próbowały ustawić wartość oglądanej pozycji (tutaj: trzy obiekty GPO). Zamknąć konsolę Resultant Set of Policy.
   
   Używając Group Policy Results sprawdzić jakie wynikowe ustawienia będą obowiązywać dla użytkownika a2-YYY pracującego na serwerze członkowskim memYYY.
   W zakładce Summary, w części User Configuration Summary - Group Policy Objects - Denied GPOs powinny znajdować się trzy obiekty GPO mające w kolumnie Reason denied wartości Blocked SOM natomiast w części Applied GPOs dwa obiekty GPO: jeden (GPO4-YYY) dowiązany bezpośrednio do jednostki OU-YYY/P do której należy konto a2-YYY i drugi obiekt (GPO5-YYY) którego dowiązanie do jednostki nadrzędnej OU-YYY ma atrybut Enforced.
   
   

Ćwiczenie 13 (Usunięcie obiektów GPO)

1. Usunięcie zdefiniowanych obiektów GPO
   Będąc zalogowanym jako administrator domeny, w Group Policy Management rozwinąć węzeł Forest: labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl.
   Rozwinąć (otworzyć) węzeł Group Policy Objects.
   Pracując w oknie szczegółów (prawy panel, zakładka Contents) zaznaczyć wszystkie obiekty GPO o nazwach GPON-YYY, gdzie N=1,..,5
   W menu kontekstowym wybrać operację Delete.
   Potwierdzić przyciskiem OK chęć usunięcia wszystkich zaznaczonych obiektów GPO, łącznie ze wszystkimi dowiązaniami utworzonymi dla nich w domenie labN.wsisiz.edu.pl
   Po zakończeniu wyświetlania statusu wykonywanych operacji usuwania (powinno być: Succeeded) zamknąć przyciskiem OK okno Delete.
   

2. Zaznaczyć jednostkę OU-YYY/P (dla której obowiązuje blokada dziedziczenia) i w menu kontekstowym tej jednostki wyłączyć (odznaczyć) atrybut Block Inheritance.
   Przy nazwie jednostki P powinno zniknąć dodatkowe oznaczenie w postaci białego wykrzyknika na niebieskim tle.
   

3. Wymusić odświeżenie ustawień wykonując polecenie: gpupdate
   

4. Sprawdzenie skutków
   Zalogować się kolejno jako użytkownicy: a1-YYY, a2-YYY oraz a3-YYY i sprawdzić, że w ich menu Start jest następująca sytuacja: Help and Support (jest), Search (jest), Run (jest)
   tzn. obowiązują ustawienia domyślne dla menu Start.
   

Ćwiczenie 14 (Porządki)

1. Zalogować się jako Administrator domeny.
   Uruchomić Administrative Tools - Active Directory Users and Computers. Wybrać domenę labN.wsisiz.edu.pl.
   Przenieść konto komputera memYYY z jednostki organizacyjnej OU-YYY do kontenera Computers.
   Usunąć jednostkę organizacyjne OU-YYY (wraz z całą zawartością tzn. kontami użytkowników: a1-YYY, a2-YYY, a3-YYY oraz jednostkami OU-YYY/Q, OU-YYY/P) wybierając z jej menu kontekstowego pozycję Delete i akceptując dwa wyświetlane komunikaty ostrzegawcze.
   

2. Pracując jako Administrator domeny usunąć komputer z domeny i przyłączyć do grupy roboczej, wybierając System Properties - Computer Name - przycisk Change, w rubryce Member of zaznaczając Workgroup i wpisując nazwę grupy roboczej WS2003LAB, naciskając OK.
   
   
   W oknie Computer Name Changes należy wpisać parametry konta, które posiada uprawnienie usuwania komputerów z tej domeny. Jako nazwę konta podać Administrator, jako hasło domena-N.
   Po wyświetleniu komunikatu potwierdzającego udane przyłączenie do grupy roboczej, zrestartować system.
   

3. Zalogować się jako Administrator do systemu Windows Server 2003 Instalacja standardowa
   Usunąć z dysku lokalnego folder D:\zaj12 wraz z całą zawartością.
   
   Posługując się Control Panel - Add or Remove Programs, usunąć dodatkowe narzędzia Windows Server 2003 Service Pack 1 Administration Tools Pack oraz Microsoft Group Policy Management Console with SP1.
   
   Posługując się Control Panel - System - Advanced - User Profiles - Settings, usunąć wszystkie profile Account Unknown.
   
   Przywrócić standardowe parametry TCP/IP (Control Panel - Network Connections - Local Area Connection - Properties - Internet Protocol (TCP/IP) - przycisk Properties) zaznaczając: Obtain an IP address automatically oraz Obtain DNS server address automatically
   
   Przywrócić następujące parametry identyfikacji sieciowej (System Properties - Computer Name - przycisk Change):
   Computer name: szYYY
   More - Primary DNS suffix of this computer (jeśli jest zwartość, usunąć ją zostawiając to pole puste)
   Zrestartować system.
   
   
   
   
   
   

Wersja 2.2, 2006.04.25

14

Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ

---