Tutorial: Οι χαρές των πολιτικών ομάδας του Windows Server

Όταν η Microsoft παρουσίασε αντικείμενα πολιτικής ομάδας (GPO) μαζί με τον Windows Server 2000 πριν από σχεδόν 17 χρόνια, ήταν μια συναρπαστική νέα προσέγγιση για τη διαχείριση των δικαιωμάτων χρήστη και συστήματος. Σήμερα, είναι απλώς μέρος της διοικητικής ξυλουργικής και, ως αποτέλεσμα, ορισμένοι διαχειριστές IT έχουν ξεχάσει πόσο ισχυρές είναι αυτές οι ρυθμίσεις και πότε μπορούν να χρησιμοποιηθούν για την επίλυση προβλημάτων.

Όταν ο Windows Server 2016 θα κυκλοφορήσει αργότερα αυτό το φθινόπωρο, θα διατηρήσει αυτά τα πολύ χρήσιμα GPO, αφήνοντάς τα αμετάβλητα, εκτός από την προσθήκη ορισμένων ρυθμίσεων ειδικά για τον Windows Server 2016 και τα Windows 10. Εάν δεν σπάσει ...

Τα εργαλεία της Κονσόλας διαχείρισης πολιτικής ομάδας εγκαθίστανται με την υπηρεσία καταλόγου Active Directory, αλλά χρειάζεστε τις υπηρεσίες τομέα Active Directory (ADFS) για να λειτουργούν πραγματικά οι πολιτικές ομάδας. Για να ελέγχουν διακομιστές ή σταθμούς εργασίας, πρέπει να είναι συνδεδεμένοι (γνωστοί και ως "ενωμένοι") στον τομέα. Παρόλο που οι τοπικές πολιτικές μπορούν να διαμορφωθούν για μεμονωμένους υπολογιστές (που δεν συνδέονται με τομέα), είναι ένα μεμονωμένο σενάριο που δεν αξιοποιεί τη βασική αξία της εφαρμογής πολιτικής ομάδας για τον έλεγχο πολλαπλών συστημάτων και χρηστών ταυτόχρονα.

Υπάρχουν χιλιάδες πιθανές ρυθμίσεις διαμόρφωσης και επιλογές για GPO. Ο ευκολότερος τρόπος για να βρείτε το δρόμο σας σε μια ρύθμιση είναι να προσδιορίσετε τη διαδρομή θέσης του στο εργαλείο Group Policy Management Console (GPMC), όπως φαίνεται στο Σχήμα 1. Η διαδρομή τοποθεσίας σας δείχνει την πλήρη διαδρομή προς τις ρυθμίσεις που αναζητάτε, στο με τον ίδιο τρόπο θα μπορούσατε να αναζητήσετε ένα αρχείο που είναι αποθηκευμένο σε πολλούς φακέλους.

Τρεις χρήσεις πολιτικών ομάδας κάνουν ένα καλό σημείο εκκίνησης τόσο για τον αρχάριο διαχειριστή όσο και για τον έμπειρο διαχειριστή που έχει θεωρήσει δεδομένες τις πολιτικές ομάδας και σταμάτησε να αναζητά τρόπους να τις χρησιμοποιήσει για νέες ανάγκες. (Όταν είστε έτοιμοι να σκάψετε βαθύτερα, η Microsoft διαθέτει έναν καλό, λεπτομερή οδηγό που μπαίνει στις περιπλοκές των πολιτικών ομάδας.)

Παράδειγμα GPO 1: Επιβολή πολυπλοκότητας κωδικού πρόσβασης

Για να δημιουργήσετε μια πολιτική πολυπλοκότητας κωδικού πρόσβασης που ισχύει για όλους τους χρήστες σε έναν τομέα, ακολουθήστε τα παρακάτω βήματα:

1. Ανοίξτε την Κονσόλα διαχείρισης πολιτικής ομάδας.
2. Αναπτύξτε το κοντέινερ Τομείς και επιλέξτε το όνομα τομέα σας.
3. Κάντε δεξί κλικ στο όνομα τομέα και ορίστε την επιλογή Δημιουργία GPO σε αυτόν τον τομέα και σύνδεση εδώ.
4. Δώστε στο νέο GPO ένα όνομα (για παράδειγμα, Πολιτική περίπλοκων κωδικών πρόσβασης) και κάντε κλικ στο OK.
5. Μόλις η πολιτική είναι ορατή στον τομέα σας, κάντε δεξί κλικ στην πολιτική και επιλέξτε Επεξεργασία. Αυτό ανοίγει τον Επεξεργαστή διαχείρισης πολιτικής ομάδας (GPME).
6. Ανατρέξτε στη διαδρομή τοποθεσίας στο GPME, όπως φαίνεται στο Σχήμα 2: GPO_όνομα\ Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Password Policy.
7. Κάντε δεξί κλικ στην επιλογή Password Must Meet Complexity Requirements και κάντε κλικ στο Properties, όπως φαίνεται στο σχήμα 3.
8. Επιλέξτε το πλαίσιο Ορισμός αυτής της ρύθμισης πολιτικής, επιλέξτε Ενεργοποίηση και, στη συνέχεια, κάντε κλικ στο OK. Σημείωση: Μπορείτε επίσης να κάνετε κλικ στην καρτέλα Επεξήγηση για μια πλήρη εξήγηση του τι κάνει αυτή η ρύθμιση.

Υπάρχουν φυσικά και άλλες ρυθμίσεις που μπορείτε να συμπεριλάβετε σε αυτό το GPO. Για παράδειγμα, μπορείτε να ενεργοποιήσετε τις απαιτήσεις πολυπλοκότητας και να ορίσετε το ελάχιστο μήκος κωδικού πρόσβασης, για παράδειγμα, σε οκτώ χαρακτήρες.

Παράδειγμα GPO 2: Απενεργοποίηση μονάδων USB

Ορισμένες πολιτικές πρέπει να εφαρμόζονται κατά περίπτωση (σε μια μονάδα οργανισμού, γνωστή και ως OU), όπως η απενεργοποίηση συσκευών USB. Για παράδειγμα, μπορεί να έχετε πολεμιστές δρόμου που χρειάζονται πρόσβαση USB στους φορητούς υπολογιστές τους, ενώ ίσως θέλετε να κλειδώσετε τις θύρες USB των εσωτερικών υπολογιστών.

Δείτε πώς δημιουργείτε μια τέτοια πολιτική κατάστασης:

1. Στην Κονσόλα διαχείρισης πολιτικής ομάδας, αναπτύξτε το όνομα τομέα και αναζητήστε το κοντέινερ αντικειμένων πολιτικής ομάδας. Συνήθως, υπάρχουν δύο προεπιλεγμένες πολιτικές σε αυτό το κοντέινερ (Προεπιλεγμένος ελεγκτής τομέα και Προεπιλεγμένη πολιτική τομέα), αλλά εάν έχετε ρυθμίσει την Πολιτική περίπλοκων κωδικών πρόσβασης, θα εμφανιστεί επίσης.
2. Κάντε δεξί κλικ στο φάκελο Αντικείμενα πολιτικής ομάδας και κάντε κλικ στο Νέο.
3. Δώστε στο νέο GPO ένα όνομα όπως Περιορισμός USB και κάντε κλικ στο OK.
4. Επιλέξτε την πολιτική και κάντε κλικ στο Επεξεργασία για να ανοίξετε τον Επεξεργαστή διαχείρισης πολιτικής ομάδας.
5. Μεταβείτε στο GPO_όνομα\ Διαμόρφωση υπολογιστή \ Πολιτικές \ Πρότυπα διαχείρισης \ Σύστημα \ Αφαιρούμενη πρόσβαση αποθήκευσης, όπως δείχνει το Σχήμα 4.
6. Κάντε διπλό κλικ στη ρύθμιση, επιλέξτε Ενεργοποιημένη και, στη συνέχεια, κάντε κλικ στο κουμπί OK ή Εφαρμογή.

Όπως δείχνει το Σχήμα 4, υπάρχουν διάφορες ρυθμίσεις για να διαλέξετε. Εδώ, επέλεξα την επιλογή All Removable Storage Classes: Deny All Access για ρύθμιση. Μπορείτε να δείτε μια περιγραφή μιας επιλεγμένης ρύθμισης στο παράθυρο περιγραφής, εάν κάνετε κλικ στην καρτέλα Extended.

Λάβετε υπόψη ότι έχετε δημιουργήσει μόνο τη ρύθμιση πολιτικής σε αυτό το σημείο. δεν το έχετε συνδέσει με τίποτα. Για να το συνδέσετε:

1. Επιλέξτε είτε τον τομέα στην Κονσόλα διαχείρισης πολιτικής ομάδας είτε την οργανωτική μονάδα που έχετε στη διάθεσή σας.
2. Κάντε δεξί κλικ στην οργανική μονάδα (όπως φαίνεται στο σχήμα 5) και επιλέξτε Σύνδεση υπάρχοντος GPO.
3. Επιλέξτε το GPO περιορισμού USB και κάντε κλικ στο OK.
4. Κάντε δεξί κλικ στο GPO που είναι τώρα συνδεδεμένος και ελέγξτε την επιλογή Enforced για να το επιβάλλετε μέσω αυτού του GPO.

Χρειάζεται κάποιος χρόνος για την εφαρμογή πολιτικών ομάδας σε συστήματα και χρήστες, αλλά μπορείτε να επιβάλετε τις αλλαγές που πρέπει να εφαρμοστούν ανοίγοντας μια γραμμή εντολών και πληκτρολογώντας gpupdate / δύναμη.

Μόλις εφαρμοστεί αυτή η πολιτική, ένας χρήστης που προσπαθεί να εισαγάγει μια συσκευή USB θα πρέπει να λάβει ένα μήνυμα "Δεν επιτρέπεται η πρόσβαση".

Παράδειγμα GPO 3: Απενεργοποίηση δημιουργίας αρχείων PST

Όλοι έχουμε αντιμετωπίσει τον εφιάλτη συμμόρφωσης που προέρχεται από τη χρήση αρχείων γραμματοκιβωτίου PST. Λοιπόν, πώς εμποδίζετε τους χρήστες να τους δημιουργήσουν; Φυσικά με μια πολιτική ομάδας. (Ναι, υπάρχουν τροποποιήσεις διαμόρφωσης μητρώου που μπορείτε να χρησιμοποιήσετε για να το κάνετε αυτό, αλλά η πολιτική ομάδας είναι πολύ πιο εύκολη και πιο γρήγορη.)

Για να πραγματοποιήσετε τις αλλαγές, πρέπει πρώτα να κάνετε λήψη προτύπων διαχείρισης πολιτικής ομάδας για την έκδοση του Office στην οποία επιβάλλετε ρυθμίσεις. Μόλις εγκατασταθούν αυτά τα πρότυπα (τα οποία ενδέχεται να απαιτούν ορισμένους ορισμούς), εφαρμόζετε πρόσθετες ρυθμίσεις (φαίνεται στο Σχήμα 6) για τον έλεγχο αυτής της έκδοσης του Office μέσω πολιτικής ομάδας.

Αφού επιλέξετε το επίπεδο ιστότοπου, τομέα ή οργανικής μονάδας για να εφαρμόσετε την πολιτική και έχετε ανοίξει τον Επεξεργαστή διαχείρισης πολιτικής ομάδας, μεταβείτε στο GPO_όνομα\ Διαμόρφωση χρήστη \ Πολιτικές \ Πρότυπα διαχείρισης \ Microsoft Outlook 2016 \ Διάφορα \ Ρυθμίσεις PST.

Υπάρχουν δύο ρυθμίσεις που ίσως θέλετε να διαμορφώσετε. Το πρώτο είναι να αποτρέψετε τους χρήστες από την προσθήκη νέου περιεχομένου σε υπάρχοντα αρχεία PST, το οποίο (όπως υποδηλώνει το όνομά του) εμποδίζει τους χρήστες να προσθέσουν περισσότερα email στα PST που έχουν ήδη. Η δεύτερη ρύθμιση είναι η αποτροπή της προσθήκης χρηστών από την προσθήκη PST σε προφίλ του Outlook ή / και η πρόληψη της χρήσης αποκλειστικών κοινών PST, η οποία εμποδίζει τη δημιουργία νέων αρχείων PST από τους χρήστες σας.