Zasady grupy (GPO) na przykładzie Windows Server 2008 R2 – cz.1

Zasady grupy to potężne narzędzie udostępnione administratorom systemów Windows w celu łatwiejszego zarządzania ustawieniami stacji roboczych. Wyobraźmy sobie sytuację, w której musimy skonfigurować komputery w taki sposób, aby użytkownicy nie mogli dokonywać zmian konfiguracyjnych, w taki sposób, aby mogli uruchamiać tylko konkretne aplikacje lub też tak, aby mieli dostęp do tylko niezbędnych im do pracy składników systemu.

Jesteśmy w stanie wykonać te czynności konfigurując każdy komputer z osobna, jest to jednak czynność bardzo czasochłonna i niewygodna, a stopień tej „niewygody” wzrasta wraz z liczbą komputerów, którymi zarządzamy. Można również napisać skrypt, który wykona te zadania i uruchomić go na wszystkich komputerach, ale i to nie jest zbyt wygodne rozwiązanie, a czasem wręcz niemożliwe ponieważ nie wszystkie nasze pomysły możemy w skrypcie zapisać. I tutaj z pomocą przychodzą nam zasady grupy, o których mowa będzie w tym artykule.

Zasady grupy wykorzystują scentralizowany system zarządzania, co oznacza, że konfiguracja tych zasad odbywa się na serwerze i poprzez odpowiednie mechanizmy rozsyłana jest na komputery klienckie. Wszystkie ustawienia przez nas zdefiniowane przechowywane są w obiektach zasad grupy (ang. Group Policy Objects), a do zarządzania tymi obiektami służy konsola zarządzania zasadami grupy (ang. Group Policy Management Console).

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

  • ustawienia komputera (ang. computer configuration) – ustawienia, które stosowane są dla komputerów bez względu na to, który użytkownik jest zalogowany i wprowadzane są podczas uruchamiania systemu operacyjnego (później są odświeżane co 90-120 minut)
  • ustawienia użytkownika (ang. user configuration) – ustawienia, które wprowadzane są podczas logowania użytkownika, bez względu na to na jaki komputer się loguje (również są one później odświeżane są co 90-120 minut)

W ramach tych dwóch grup, możemy stosować setki różnych ustawień (np. zabronić dostępu do rejestru, pozwolić na uruchamianie tylko konkretnych aplikacji oraz wiele innych), niektóre z nich są dostępne zarówno dla konfiguracji komputera i użytkownika, inne zaś tylko dla jednej grupy, np. przekierowanie folderu dostępne jest tylko do konfiguracji użytkownika, a  np. automatyczna instalacja oprogramowania tylko dla konfiguracji komputera.

Przejdziemy teraz do omówienie konsoli zarządzania zasadami grupy, pokażę jak poruszać się w konsoli oraz w jaki sposób przypisywać zasady dla poszczególnych użytkowników.

Aby uruchomić konsolę GPO klikamy w START, wybieramy Administrative Tools i klikamy w Group Policy Management (możemy również kliknąć START, wybrać Run… i wpisać gpedit.msc)

Rozwijamy element Forest, następnie Domains i domowa.local

gpo_s

Znajdziemy tutaj elementy, takie jak:

  • Default Domain Policy – jest to link do domyślnych zasad przypisanych do całej domeny (zwróćcie uwagę, że znajduje się on bezpośrednio pod nazwą domeny, co oznacza, że jest stosowany właśnie do całej domeny).
  • Domain Controllers – jest jednostka organizacyjna, w której możemy umieszczać linki do zasad stosowanych dla kontrolera domeny (czyli naszego serwera), domyślnie znajduję się tutaj link do zasady Default Domain Controllers Policy.
  • Group Policy Objects – jest to folder, w którym znajdują się wszystkie zasady, które będziemy tworzyć i stosować, po instalacji serwera znajdują się tam zasady Default Domain Policy oraz Default Domain Controllers Policy.
  • WMI Filters – jest to folder, w którym możemy umieszczać filtry WMI, pozwalające określać zakres stosowania zasad na podstawie właściwości komputera, takich jak np. rodzaj zainstalowanego systemu operacyjnego.
  • Starter GPOs – jest to folder zawierający zdefiniowane zasady stosowane dla komputerów z systemami Windows XP oraz Windows Vista (domyślnie są one wyłączone, aby je uruchomić klikamy w Starter GPOs i klikami w Create starter GPOs).

Pozostałe elementy to: Site (zawiera zasady dla różnych lokacji w domenie), Group Policy Modeling (pozwala na projektowanie zasad) oraz Group Policy Result (pozwala na sprawdzenie wyników działania zasad przed ich wdrożeniem). Prawa strona okna to właściwości omówionych wyżej elementów oraz ich konfiguracja.

Aby pokazać Wam, w jaki sposób tworzyć i zarządzać zasadami, przygotuję taką, która zabroni konkretnemu użytkownikowi dostępu do panelu sterowania. Zanim to zrobię, utworzę najpierw jednostkę organizacyjną userzy i dodam do niej użytkownika user1. Uruchamiamy zatem konsolę Active Directory, klikając w START, wybieramy Administrative Tools i klikamy w Active Directory Users and Computers.

Prawym przyciskiem myszy klikamy w nazwę domeny (domowa.local), wybieramy New, następnie Organization Unit

gpo_2

Nadajemy nazwę naszej jednostce organizacyjnej i klikamy OK

gpo3

Rozwijamy element domowa.local, prawym przyciskiem myszy klikamy w jednostkę organizacyjną, którą stworzyliśmy w poprzednim kroku, wybieramy New, następnie User




gpo4

Tworzymy użytkownika o nazwie user1 z hasłem !QAZ2wsx, ustawiamy opcję The password never expires i klikamy Finish po wyświetleniu podsumowania

gpo5

Uruchamiamy ponownie konsolę  Group Policy Management, jak widać pojawił się stworzony w AD kontener userzy (na tym etapie nie będzie jeszcze potrzebny)

gpo6

Klikamy prawym przyciskiem myszy w folder Group Policy Objects (tutaj tworzymy wszystkie zasady) i wybieramy New

gpo7

Nadajemy nazwę dla naszej zasady (proponuję panel, aby łatwo można było ją odróżnić od innych) i klikamy OK

gpo8

Rozwijamy folder Group Policy Objects i klikamy w zasadę panel

gpo9

Stworzenie kontenera userzy nie spowodowało, że domyślnie nasza zasada będzie działać dla użytkowników w nim się znajdujących, działanie to ma na celu utrzymanie porządku w zasadach, to dla kogo zasady będą stosowane określimy w następnych krokach.

Klikamy w element Authenticated Users i wybieramy Remove (usuwamy w tym momencie wszystkich użytkowników spod działania zasady, nie chcemy, aby nasza zasada działała dla wszystkich użytkowników lecz dla konkretnych)

gpo10

 Potwierdzamy chęć usunięcie klikając OK

gpo11

Klikamy Add, w celu dodania użytkowników, dla których zasada będzie działać

gpo12

Wpisujemy nazwę użytkownika (user1) i klikamy OK

gpo13

Klikamy zakładkę Settings, gdzie znajduje się podsumowanie naszej zasady (na razie jest pusto)

gpo14

Klikamy prawym przyciskiem myszy na białe pole i wybieramy Edit

gpo15

Rozwijamy element User Configuration, Policies, Admnistrative Templates następnie klikamy w Control Panel i odnajdujemy opcję Prohibit access to the Control Panel

gpo16

Klikamy dwa razy w element Prohibit access to the Control Panel, zaznaczamy opcję Enable i klikamy OK

gpo17

Jak widać w podsumowaniu opcja zaznaczona została właściwie

gpo18

Podpinamy naszą zasadę do kontenera userzy, klikając prawym przyciskiem myszy na jego nazwę i wybierając Link an Existing GPO…

gpo19

Wybieramy zasadę panel i klikamy OK

gpo20

Jak widać stworzyliśmy link do zasady panel, który podpięty został do kontenera userzy

gpo21

Logujemy się do stacji roboczej korzystając z konta user1 i próbujemy uruchomić panel sterowania

gpo

Jak widać jest to niemożliwe, tak więc zasada działa poprawnie

gpo2

Jeśli zasady wprowadzamy kiedy już użytkownik jest zalogowany wówczas zaczną one działać dopiero po określonym czasie lub przy następnym zalogowaniu. Możemy również zasady odświeżyć stosując polecenie konsoli Windows na stacji roboczej o składni gpupdate /force, wówczas zasada zacznie działać od razu.

W tym przykładzie stworzyliśmy obiekt zasad grupy działający dla jednego użytkownika, istnieje również możliwość przypisywania zasad dla wielu użytkowników, grupy lub też konkretnych komputerów. W kolejnym artykule przestawię więcej możliwości konfiguracyjnych w zasadach grupy.