Programavimas

Pamoka: „Windows Server“ grupės strategijos džiaugsmai

Kai beveik prieš 17 metų „Microsoft“ kartu su „Windows Server 2000“ pristatė grupės strategijos objektus (GPO), tai buvo naujas įdomus būdas valdyti vartotojų ir sistemos leidimus. Šiandien jie tiesiog yra administracinės medienos dalis, todėl kai kurie IT administratoriai pamiršo, kokie galingi gali būti šie nustatymai ir kada juos galima naudoti problemoms spręsti.

Kai „Windows Server 2016“ bus išleista vėliau šį rudenį, ji išsaugos tuos labai patogius GPO, palikdama juos nepakeistus, išskyrus kai kurių „Windows Server 2016“ ir „Windows 10“ specifinių parametrų pridėjimą. Jei jis nesugedo ...

Grupės strategijos valdymo pulto įrankiai yra įdiegti kartu su „Active Directory“, tačiau norint, kad grupės strategijos iš tikrųjų veiktų, jums reikia „Active Directory“ domenų paslaugų (ADFS). Norėdami valdyti serverius ar darbo stotis, jie turi būti prijungti (dar žinomi kaip „prisijungę“) prie domeno. Nors vietinę politiką galima sukonfigūruoti atskiriems (su domenu nesusijungusiems) kompiuteriams, tai yra vienkartinis scenarijus, kuris netaikomas pagrindinei grupės strategijos įgyvendinimo vertei valdyti kelias sistemas ir vartotojus vienu metu.

Yra tūkstančiai galimų GPO konfigūracijos parametrų ir parinkčių. Lengviausias būdas rasti kelią į nustatymą yra nustatyti jo vietos kelią grupės strategijos valdymo pulto (GPMC) įrankyje, kaip parodyta 1 paveiksle. Vietos kelias rodo visą kelią į ieškomus parametrus. tokiu pačiu būdu galite ieškoti failo, kuris yra palaidotas keliuose aplankuose.

Trys grupės politikos naudojimo būdai yra geras atspirties taškas tiek pradedančiajam administratoriui, tiek patyrusiam administratoriui, kuris laiko grupės politiką savaime suprantamu dalyku ir nustojo ieškoti būdų, kaip jas naudoti naujiems poreikiams. (Kai būsite pasiruošę gilintis, „Microsoft“ turi gerą, išsamią mokymo programą, kurioje pateikiama grupės strategijos subtilybių.)

1 GPO pavyzdys: įveskite slaptažodžio sudėtingumą

Norėdami sukurti slaptažodžio sudėtingumo politiką, taikomą visiems domeno vartotojams, atlikite šiuos veiksmus:

  1. Atidarykite grupės strategijos valdymo pultą.
  2. Išplėskite „Domains“ konteinerį ir pasirinkite savo domeno pavadinimą.
  3. Dešiniuoju pelės mygtuku spustelėkite domeno pavadinimą ir pasirinkite parinktį Sukurti GPO šiame domene ir susiekite čia.
  4. Suteikite naujam GPO pavadinimą (pvz., Slaptažodžių sudėtingumo politika) ir spustelėkite Gerai.
  5. Kai politika bus matoma jūsų domene, dešiniuoju pelės mygtuku spustelėkite ją ir pasirinkite Redaguoti. Tai atidarys grupės strategijos valdymo redaktorių (GPME).
  6. Grįžkite į GPME vietos kelią, kaip parodyta 2 paveiksle: GPO_name\ Kompiuterio konfigūracija \ Politikos \ Windows nustatymai \ Saugumo parametrai \ Paskyros strategijos \ Slaptažodžio politika.
  7. Dešiniuoju pelės mygtuku spustelėkite parinktį Slaptažodis turi atitikti sudėtingumo reikalavimus ir spustelėkite Ypatybės, kaip parodyta 3 paveiksle.
  8. Pažymėkite langelį Apibrėžti šį strategijos parametrą, pažymėkite Įgalinta, tada spustelėkite Gerai. Pastaba: taip pat galite spustelėti skirtuką Paaiškinti, kad gautumėte išsamų paaiškinimą, ką daro šis nustatymas.

Žinoma, yra ir kitų nustatymų, kuriuos galite įtraukti į šį GPO. Pavyzdžiui, galite įjungti sudėtingumo reikalavimus ir nustatyti minimalų slaptažodžio ilgį, tarkime, aštuonis simbolius.

2 GPO pavyzdys: išjunkite USB diskus

Kai kurias strategijas reikia taikyti situaciškai (organizacijos vienetui, dar žinomai kaip OU), pavyzdžiui, išjungti USB įrenginius. Pvz., Galite turėti kelių karių, kuriems nešiojamuose kompiuteriuose reikalinga USB prieiga, o galbūt norėsite užrakinti vidinių kompiuterių USB prievadus.

Štai kaip kuriate tokią situacinę politiką:

  1. Grupės strategijos valdymo pulte išplėskite domeno vardą ir ieškokite grupės strategijos objektų sudėtinio rodinio. Paprastai tame konteineryje yra dvi numatytosios strategijos (numatytasis domeno valdiklis ir numatytoji domeno politika), tačiau jei sukonfigūravote slaptažodžio sudėtingumo politiką, ji taip pat bus rodoma.
  2. Dešiniuoju pelės mygtuku spustelėkite aplanką Grupės strategijos objektai ir spustelėkite Naujas.
  3. Suteikite naujam GPO pavadinimą, pvz., „USB apribojimas“, ir spustelėkite Gerai.
  4. Pasirinkite politiką ir spustelėkite Redaguoti, kad atidarytumėte grupės strategijos valdymo redaktorių.
  5. Eikite į GPO_name\ Computer Configuration \ Policies \ Administrative Templates \ System \ Removable Storage Access, kaip parodyta 4 paveiksle.
  6. Dukart spustelėkite nustatymą, pažymėkite Įgalinta, tada spustelėkite Gerai arba Taikyti.

Kaip parodyta 4 paveiksle, galima pasirinkti įvairius nustatymus. Čia aš pasirinkau parinktį Visos keičiamos atminties klasės: atmesti visateisę prieigą, kad sukonfigūruotumėte. Spustelėję skirtuką Išplėstinis, aprašymo srityje galite pamatyti pasirinkto nustatymo aprašą.

Atminkite, kad šiuo metu sukūrėte tik politikos nuostatą; jūs nieko nesiejote. Norėdami susieti:

  1. Grupės strategijos valdymo pulte pasirinkite domeną arba turimą organizacinį vienetą.
  2. Dešiniuoju pelės mygtuku spustelėkite organizacinį vienetą (kaip parodyta 5 paveiksle) ir pasirinkite Susieti esamą GPO.
  3. Pasirinkite USB apribojimo GPO ir spustelėkite Gerai.
  4. Dešiniuoju pelės mygtuku spustelėkite GPO, kuris dabar susietas, ir pažymėkite parinktį „Priverstinis“, kad priverstumėte ją naudoti per šį GPO.

Užtrunka šiek tiek laiko, kol grupės strategijos bus pritaikytos sistemoms ir vartotojams, tačiau galite priversti atlikti pakeitimus atidarydami komandų eilutę ir įvesdami gpupdate / force.

Pritaikius šią politiką, vartotojas, bandantis įdiegti USB įrenginį, turėtų gauti pranešimą „prieiga uždrausta“.

3 GPO pavyzdys: išjunkite PST failo kūrimą

Mes visi susidorojome su atitikties košmaru, kuris kyla naudojant PST pašto dėžutės failus. Taigi, kaip užkirsti kelią vartotojams juos kurti? Su grupės politika, žinoma. (Taip, yra registro konfigūracijos redagavimų, kuriuos galite naudoti tai padaryti, tačiau grupės politika yra daug lengvesnė ir greitesnė.)

Norėdami atlikti pakeitimus, pirmiausia turite atsisiųsti „Office“ versijos grupės politikos administravimo šablonus, kuriems nustatote nustatymus. Įdiegę tuos šablonus (kuriuos gali reikėti šiek tiek suplanuoti), pritaikykite papildomus nustatymus (parodytus 6 paveiksle), kad valdytumėte tą „Office“ versiją naudodami grupės strategiją.

Pasirinkę svetainės, domeno ar organizacinio vieneto lygį, kad pritaikytumėte politiką, ir atidarę grupės strategijos valdymo redaktorių, eikite į GPO_name\ Vartotojo konfigūracija \ Politikos \ Administravimo šablonai \ Microsoft Outlook 2016 \ Įvairūs \ PST parametrai.

Galbūt norėsite sukonfigūruoti du nustatymus. Pirmasis yra Neleisti vartotojams pridėti naujo turinio į esamus PST failus, o tai (kaip rodo jo pavadinimas) neleidžia vartotojams pridėti daugiau el. Laiškų prie jau turimų PST. Antrasis parametras yra Neleisti vartotojams pridėti PST prie „Outlook“ profilių ir (arba) Neleisti naudoti „Išskirtinių PST“, o tai blokuoja jūsų vartotojų naujus PST failus.

tau taip pat gali patikti

$config[zx-auto] not found$config[zx-overlay] not found