Windows Server 2016 - zarządzanie zasadami grupy

Z SOISK systemy operacyjne i sieci komputerowe
Przejdź do nawigacji Przejdź do wyszukiwania


Narzędzie - Zarządzanie zasadami grupy

Do zarządzania zasadami grupy służy narzędzie zarządzanie zasadami grupy

Srv2016-gpo1.png

Srv2016-gpo2.png

Jak widzimy na obrazku powyżej, główny obiekt z polisami całej domeny nazywa się default domain policy. Jak widać możemy podejrzeć jego ustawienia. Trzeba uważać przy jego edycji, bo łatwo coś popsuć, jak ktoś jest zielony. Lepiej stworzyć kolejne pliki. Każdy kolejny i tak z niego dziedziczy.

Tworzenie nowego obiektu w jednostce organizacyjnej

Stworzymy teraz nowy obiekt zasad grupy w jednostce organizacyjnej pracownicy. Ustawione restrykcje będą dotyczyć tylko umieszczonych tam kont.

Srv2016-gpo3.png

Srv2016-gpo4.png

Srv2016-gpo5.png

Edytowanie obiektu zasad grupy

Srv2016-gpo6.png

Blokada panelu sterowania

Zablokujemy użytkownikom zgrupowanych w jednostce organizacyjnej pracownicy wchodzenie do panelu sterowania i ekranu ustawienia komputera. Edytujemy polisę pracownicy

Srv2016-gpo7.png

Srv2016-gpo8.png

Zmiana zasad haseł

Teraz edytujemy główną polisę, czyli default domain policy

Ustawny, że

  • hasła mają być złożone
  • mają być zmieniane maksymalnie co 30 dni
  • minimalna długość hasła ma wynosić 10 znaków
  • hasła można zmieniać w każdej chwili (minimalny okres ważności)
  • wymuś historię 24 używanych haseł (nie mogą się wtedy powtórzyć)

Srv2016-gpo9.png

Zmiana zasad blokady konta

Dalej edytujemy główną polisę, czyli default domain policy

Ustawny, że

  • blokada konta trwa 30 minut
  • próg blokady to 5krotne źle wprowadzone hasło
  • wyzeruj licznik blokady po 30 minutach

Srv2016-gpo10.png

Testujemy, czy ustawienia działają

Pamiętaj, jakby na stacji roboczej nie skutkowały nowe zasady, możesz je wymusić w CMD komendą gpupdate /force

W jednostce organizacyjnej pracownicy mamy założone konto.

Srv2016-gpo11.png

Po zalogowaniu do domeny sprawdzamy, czy nałożone ustawienia działają.

Srv2016-gpo12.png

Przy próbie właczenie panelu sterowania pojawia się komunikat o ograniczeniach.

Srv2016-gpo13.png

Przy próbie zmiany hasła na niespełniające naszych wymagań również komunikat o niepowodzeniu.

Srv2016-gpo14.png

Konto zostało zablokowane po 5 próbie wpisania niepoprawnego hasła.

Wynikowy zestaw zasad

Przy większej liczbie wprowadzonych polis można łatwo się pogubić, jakie restrykcje tak naprawdę są aktywne. Ręczna analiza kolejnych polis jest żmudna. Z pomocą przychodzi RSoP, czyli wynikowy zestaw zasad. Wpisujemy rsop.msc w tym przypadku będąc zalogowanym na stacji roboczej jako zwykły użytkownik. Niestety możemy podejrzeć wtedy tylko konfigurację użytkownika bez konfiguracji użytkownika.

Srv2016-gpo15.png

Srv2016-gpo16.png

Jeśli jesteśmy administratorami to uruchamiamy rsop.msc jako administratorzy i mamy dostęp do ustawień komputera i użytkownika

Srv2016-gpo17.png

Srv2016-gpo18.png

Srv2016-gpo19.png

Srv2016-gpo20.png

Srv2016-gpo21.png

Srv2016-gpo22.png

Srv2016-gpo23.png

Srv2016-gpo24.png

Ćwiczenia

  1. W jednostce organizacyjnej pracownicy załóż konto dla użytkownika TwojeImię TwojeNazwisko o nazwie użytkownika TwojeNazwisko2.
  2. Stwórz polisę o nazwie pracownicy. Ma dotyczyć jednostki oraganizacyjnej pracownicy.
  3. Zablokuj wszystkim pracownikom dostęp do wiersza poleceń (konfiguracja użytkownika=>szablony administracyjne=>system)
  4. Usuń dostępność menedżera zadań po wywołaniu kombinacji ctrl alt del (konfiguracja użytkownika=>szablony administracyjne=>system)
  5. Usuń ikonę kosz z pulpitu (konfiguracja użytkownika=>szablony administracyjne=>pulpit)
  6. W zarządzaniu zasadami grupy wyświetl raport (zakładka ustawienia) ustawień polisy pracownicy.
  7. Zaloguj się na konto TwojeNazwisko2 i udowodnij, że wprowadzone restrykcje działają.
  8. Wyświetl wynikowy zestaw zasad dla konta TwojeNazwisko2