Урок: Радостите от груповите политики на Windows Server

Когато Microsoft представи обекти на групови правила (GPO) заедно с Windows Server 2000 преди близо 17 години, те бяха вълнуващ нов подход за управление на потребителски и системни разрешения. Днес те са просто част от административната дограма и в резултат на това някои ИТ администратори са забравили колко мощни могат да бъдат тези настройки и кога могат да се използват за решаване на проблеми.

Когато Windows Server 2016 бъде пуснат по-късно тази есен, той ще запази онези удобни GPO, като ги остави непроменени, с изключение на добавянето на някои настройки, специфични за Windows Server 2016 и Windows 10. Ако не се повреди ...

Инструментите на конзолата за управление на групови правила са инсталирани с Active Directory, но имате нужда от Active Directory Domain Services (ADFS), за да могат груповите политики действително да работят. За да контролирате сървъри или работни станции, те трябва да бъдат свързани (известни още като „присъединени“) към домейна. Въпреки че локалните политики могат да бъдат конфигурирани за отделни (неприсъединени към домейн) компютри, това е еднократен сценарий, който не включва основната стойност на внедряването на групови правила за контрол на множество системи и потребители наведнъж.

Има хиляди потенциални настройки за конфигурация и опции за GPO. Най-лесният начин да намерите пътя към дадена настройка е да идентифицирате нейния път на местоположение в инструмента за конзола за управление на групови правила (GPMC), както е показано на фигура 1. Пътят до местоположението ви показва пълния път до настройките, които търсите, в по същия начин можете да търсите файл, който е заровен в множество папки.

Три употреби на групови правила правят добра отправна точка както за начинаещ администратор, така и за опитен администратор, който прие груповите правила за даденост и спря да търси начини да ги използва за нови нужди. (Когато сте готови да се задълбочите, Microsoft има добър, подробен урок, който навлиза в тънкостите на груповите правила.)

Пример за GPO 1: Прилагане на сложността на паролата

За да създадете политика за сложност на паролата, която се прилага за всички потребители в даден домейн, изпълнете следните стъпки:

  1. Отворете вашата конзола за управление на групови правила.
  2. Разгънете контейнера за домейни и изберете името на вашия домейн.
  3. Щракнете с десния бутон върху името на домейна и изберете опцията Създаване на GPO в този домейн и го свържете тук.
  4. Дайте име на новия GPO (например Политика за сложност на паролата) и щракнете върху OK.
  5. След като правилото се види във вашия домейн, щракнете с десния бутон на мишката върху него и изберете Редактиране. Това отваря редактора за управление на групови правила (GPME).
  6. Бормашина до пътя на място в GPME, както е показано на Фигура 2: GPO_name\Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  7. Щракнете с десния бутон на мишката върху опцията Паролата трябва да отговаря на изискванията за сложност и щракнете върху Свойства, както е показано на Фигура 3.
  8. Поставете отметка в квадратчето Дефиниране на тази настройка на политиката, поставете отметка Включено, след което кликнете върху OK. Забележка: Можете също да щракнете върху раздела Обяснение за пълно обяснение на това, което прави тази настройка.

Има, разбира се, и други настройки, които можете да включите в този GPO. Например можете да активирате изискванията за сложност и да зададете минималната дължина на паролата, да речем, осем знака.

Пример за GPO 2: Деактивирайте USB устройствата

Някои политики трябва да се прилагат ситуативно (към организационна единица, известна още като OU), като например деактивиране на USB устройства. Например може да имате пътни воини, които се нуждаят от USB достъп на своите лаптопи, докато може да искате да заключите USB портовете на вътрешните компютри.

Ето как създавате такава ситуационна политика:

  1. В конзолата за управление на групови правила разширете името на домейна и потърсете контейнера за обекти на групови правила. Обикновено в този контейнер има две правила по подразбиране (Контролер на домейн по подразбиране и Правила на домейн по подразбиране), но ако сте конфигурирали Политиката за сложност на паролата, тя също ще се покаже.
  2. Щракнете с десния бутон върху папката Обекти на групови правила и щракнете върху Ново.
  3. Дайте име на новия GPO като USB Restriction и щракнете върху OK.
  4. Изберете политиката и щракнете върху Редактиране, за да отворите редактора за управление на групови правила.
  5. Придвижете се до GPO_name\Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access, както е показано на Фигура 4.
  6. Щракнете двукратно върху настройката, поставете отметка на Enabled, след което щракнете върху OK или Apply.

Както показва Фигура 4, можете да избирате от различни настройки. Тук избрах опцията Всички сменяеми класове за съхранение: Отказ за пълен достъп, за да конфигурирам. Можете да видите описание на избрана настройка в екрана за описание, ако щракнете върху раздела Разширени.

Имайте предвид, че на този етап сте създали само настройката на политиката; не сте го свързали с нищо. За да го свържете:

  1. Изберете или домейна в конзолата за управление на групови правила, или организационната единица, която имате на място.
  2. Щракнете с десния бутон на мишката върху организационната единица (както е показано на фигура 5) и изберете Свързване на съществуващ GPO.
  3. Изберете GPO за ограничение на USB и щракнете върху OK.
  4. Щракнете с десния бутон на мишката върху GPO, който вече е свързан, и поставете отметка на принудителната опция, за да го приложите върху този GPO.

Отнема известно време на груповите правила да бъдат приложени към системи и потребители, но можете да принудите промените да бъдат приложени, като отворите командния ред и въведете gpupdate /force.

След като се приложи това правило, потребител, който се опитва да въведе USB устройство, трябва да получи съобщение „Отказан достъп“.

Пример за GPO 3: Деактивирайте създаването на PST файл

Всички сме се справили с кошмара за спазване, който идва от използването на файлове на пощенската кутия на PST. И така, как да попречите на потребителите да ги създават? С групова политика, разбира се. (Да, има редакции на конфигурацията на системния регистър, които можете да използвате, за да направите това, но груповите правила са много по-лесни и по-бързи.)

За да направите промените, първо трябва да изтеглите административните шаблони на груповите правила за версията на Office, върху която налагате настройки. След като тези шаблони са инсталирани (което може да изисква известно финализиране), прилагате допълнителни настройки (показани на фигура 6), за да контролирате тази версия на Office чрез групови правила.

След като изберете ниво на сайт, домейн или организационна единица, към която да приложите правилото, и сте отворили редактора за управление на групови правила, отворете GPO_name\User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous\PST Settings.

Има две настройки, които може да искате да конфигурирате. Първият е Предотвратяване на потребителите да добавят ново съдържание към съществуващи PST файлове, което (както подсказва името му) пречи на потребителите да добавят повече имейли към PST, които вече имат. Втората настройка е Предотвратяване на добавянето на PST към потребителските профили на Outlook и / или Предотвратяване на използването на изключителни PST за споделяне, което блокира създаването на нови PST файлове от вашите потребители.