Zasady grupy (GPO) na przykładzie Windows Server 2008 R2 – cz.2

W poprzednim artykule dowiedzieliście się czym są zasady grupy oraz poznaliście mechanizm tworzenia i przypisywania zasad poszczególnym użytkownikom. W tym artykule omówię kolejne elementy konsoli zarządzania zasadami grupy oraz wdrożę przykładowy scenariusz konfiguracji zasad grupy.

Zacznijmy jednak od omówienia elementów konsoli służących do zarządzania pojedynczym obiektem. Obiekt to zbiór zasad przez nas zdefiniowanych, zapisanych w folderze Group Polisy Object. Pojedynczym obiektem zasad grupy jest obiekt panel, który stworzyłem i omówiłem w poprzednim artykule (blokował on dostęp użytkownikowi do panelu sterowania – szczegółowy opis tej konfiguracji znajdziesz tutaj). Aby dostać się do elementów zarządzania tym obiektem (i każdym innym), klikamy prawym przyciskiem myszy na jego nazwę, znajdziemy tam m.in.:

  • Copy (kopiuj) – polecenie służące do kopiowania obiektu, przydatne wówczas, kiedy chcemy stworzyć obiekt, którego ustawienia mają bazować na ustawieniach innych obiektów
  • Back up (kopia zapasowa) – polecenie służące do tworzenia kopii zapasowej obiektu, kopiujące nie tylko sam obiekt, ale również łącza do niego, uprawnienia oraz dodatkowe pliki
  • Restore From Backup (przywróć z kopii zapasowej) – polecenie służące do przywracania obiektu z stworzonej uprzednio kopii zapasowej
  • Import Settings (importuj ustawienia) – polecenie służące do kopiowania samych ustawień zapisanych w obiekcie, bez łącz i uprawnień
  • Save Report (zapisz raport) – polecenie służące do zapisywania raportu do pliku HTML
  • Delete (usuń) – polecenie służące do usunięcia obiektu wraz z łączami i uprawnieniami
  • Rename (zmień nazwę) – polecenie służące do zmiany nazwy obiektu

Polecenia wyżej wymienione, pozwalają w łatwy sposób organizować i zabezpieczać nasze zasady w domenie, jednak, aby właściwie je wdrażać i kontrolować, należy zwrócić uwagę jeszcze na dwa bardzo ważne elementy, jakimi są pierwszeństwo przetwarzania zasad oraz dziedziczenie.

Pierwszeństwo przetwarzania zasad

Często zdarza się taka sytuacja, że do danej jednostki organizacyjnej mamy przypisanych kilka obiektów zasada. Domyśle ich przetwarzanie odbywa się w kolejności ich tworzenia, obiekt stworzony jako ostatni, jako ostatni jest przetwarzany. Zdarzają się jednak sytuacje, kiedy chcemy, aby zasady wykonywały się one w innej kolejności. Aby pokazać Wam, w jaki sposób zmienić ową kolejność, stworzyłem obiekt o nazwie rejestr (bez ustawień) i połączyłem go z naszym kontenerem userzy.

Jak widać po prawej stronie ekranu, zasada panel stworzona wcześniej, znajduje się na górze i oznaczona jest nr 1 (Link Order), natomiast zasada rejestr ma przypisany nr 2

gpo22

Zmienimy teraz kolejność przetwarzania, zaznaczając obiekt rejestr i klikając w strzałkę Move link up

gpo23

Jak widać kolejność przetwarzania została zmieniona

gpo24

Tutaj może pojawić się pytanie o sens zmiany kolejności, skoro jeden obiekt, ma inne ustawienia niż drugi. W tym akurat przypadku oczywiście nie ma potrzeby zmiany tej kolejności (zasady nie wykluczają się), ale czasem zasady stosowane w obiektach są ze sobą w konflikcie (w pierwszym zasada, jest włączona, w drugim nie), a wówczas, to który obiekt będzie przetwarzany jako pierwszy jest bardzo ważne.

Dziedziczenie

Zasady grup przetwarzane są w kolejności: lokacja, domena, jednostka organizacyjna. Oznacza to tyle, że zasady przypisane dla lokacji czy domeny, będą również działały dla jednostek organizacyjnych – jednostka dziedziczy po domenie, domena po lokacji. Przykładowo, jeśli zastosujemy dla domeny blokowanie ekranu komputera po 60 sekundach, to zasada ta będzie działać dla wszystkich użytkowników tej domeny. Oczywiście mamy możliwość wyłączenia dziedziczenia, odbywa się ono na poziomie domeny lub jednostki organizacyjnej. W naszym przykładzie, dla kontenera (jednostki organizacyjnej) userzy mam przypisane 3 obiekty: rejestr, panel oraz Default Domain Policy. Aby to sprawdzić klikamy w konsoli zarządzania obiektami zasad grup kontener userzy, następnie klikamy w zakładkę Group Policy Inheritance.

Jak widać obiekt Default Domain Policy jest dziedziczony z domeny, co oznacza, że wszystkie ustawienia w nim zapisane wykonywane są również dla kontenera userzy

gpo25

Wyłączymy teraz to dziedziczenie

Aby to zrobić, klikamy prawym przyciskiem myszy na kontener userzy i wybieramy opcję Block Inheritance

gpo26

Jak widać obiekt Default Domain Policy zniknął ze zbioru dla naszego kontenera, w przy jego nazwie pojawiła się ikona świadcząca o wyłączeniu dziedziczenia

gpo27

Opcja blokowania dziedziczenia powinna być używana bardzo rzadko lub też wcale. Powoduje ona zmianę kolejności przetwarzania zasad, co przy dużej liczbie obiektów może przyczynić się do sporego w nich bałaganu, a w konsekwencji do niezamierzonego ich działania.

Przejdźmy teraz do realizacji konkretnego zadania, który przygotowałem, polegającego na wprowadzeniu kilku zasad, w celu ograniczenia możliwości zarzadzania komputerem przez użytkowników. Scenariusz zakłada, że użytkownik komputera ma:

  • Zabronioną możliwość zmiany tapety
  • Zabroniony dostęp do menadżera zadań
  • Wyłączoną możliwość korzystania z dysków USB
  • Zabroniony dostęp do edytora rejestru
  • Zabroniony dostęp do przeglądarki internetowej (w naszym przypadku Internet Explorer)

Zmiany konfiguracyjne zapiszemy w obiekcie, który nazwiemy ust_user, a działanie obiektu ustawimy na grupę użytkowników pracownicy, którą stworzymy i „uzbroimy” w użytkowników korzystając z konsoli Active Directory. Uruchamianym zatem konsolę AD, klikając w START, wybieramy Administrative Tools i klikamy w Active Directory Users and Computers.

Rozwijamy element domowa.local, prawym przyciskiem myszy klikamy w kontener userzy  wybieramy New, następnie Group

gpo28

Nadajemy nazwę nowej grupie i klikamy OK (pozostałe opcje pozostawiamy bez zmian)

gpo29

Przenosimy teraz użytkownika user1 do grupy pracownicy, klikając prawym przyciskiem myszy w jego nazwę i wybierając Add to a group…

gpo30

Podajemy nazwę grupy i klikamy OK

gpo31

Pojawi się komunikat potwierdzający dodanie użytkownika do grupy

gpo32

Utworzyłem jeszcze jednego użytkownika, tym razem o nazwie user2 i dodałem go do grupy pracownicy, tak aby pokazać Wam, że zasady stosować można dla grup użytkowników.

Aby potwierdzić, że nasi użytkownicy należą do grupy pracownicy, klikam prawym przyciskiem myszy na nazwę grupy i wybieram Properties

gpo33

Klikamy zakładkę Members, jak widać grupa ma przypisanych dwóch członków, pomimo, że ich ikony nadal są widoczne w kontenerze userzy

gpo34

Zapamiętajcie! Kontener to nie to samo co grupa. Kontenery czyli jednostki organizacyjne tworzymy dla uporządkowania użytkowników i obiektów zasad grup, grupy użytkowników natomiast, tworzymy aby nadawać im odpowiednie uprawnienia i stosować zasady dla większej liczby użytkowników jednocześnie.

Przejdźmy teraz do wdrażania przygotowanych wcześniej zasad. Uruchamiamy konsolę GPO klikając w START, wybieramy Administrative Tools i klikamy w Group Policy Management (dla porządku usunąłem wcześniej poprzednie obiekty: panel i rejestr, gdyż nie są one nam już potrzebne).

Rozwijamy element Forest, następnie Domains i domowa.local, prawym przyciskiem myszy klikamy w kontener Group Policy Objects i wybieramy New

gpo35

Nadajemy nazwę obiektowi zasady i klikamy OK

gpo36

Zmieniamy użytkowników, na których działać będą ustawienia, najpierw usuwamy Authenticated Users, zaznaczając ich i wybierając Remove

gpo37

Dodajemy grupę pracownicy, klikając Add, wpisujemy nazwę grupy i potwierdzamy OK

gpo38

Edytujemy ustawienia klikając w Settings, następnie prawym przyciskiem myszy na białe pole i wybieramy Edit…

gpo39

Wszystkie nasze ustawienia znajdziemy w węźle Administrative Templates, aby się do niego dostać rozwijamy element User Configuration -> Polices -> Administrative Templates

gpo40

Dokonujemy zmian konfiguracyjnych

Zabroniona możliwość zmiany tapety – Control Panel -> Personalization -> Prevent changing desktop background -> Enable

gpo41

Zabroniony dostęp do menadżera zadań – System -> Ctrl+Alt+Del Options -> Remove Task Manager -> Enable

gpo42

Wyłączoną możliwość korzystania z dysków USB – System -> Removable Storage Access -> All Removable Storage classes: Deny all access -> Enable

gpo43

Zabroniony dostęp do edytora rejestru – System -> Prevent access to registry editing tools -> Enable

gpo44

Zabroniony dostęp do przeglądarki internetowej (Internet Explorer) – System -> Don’t run specified Windows applications -> Enable -> Show -> iexplore.exe

gpo45

Jak widać w podsumowaniu wszystkie zasady zostały skonfigurowane

gpo46

Podpinamy jeszcze nasz obiekt do kontenera userzy, klikając w jego nazwę prawym przyciskiem mszy i wybierając Link an Existing GPO…

gpo47

Wybieramy obiekt ust_user i klikamy OK

gpo48

Logujemy się do stacji roboczej korzystając z konta user1 i user2 i testujemy ustawienia, próby dostępu do elementów, które skonfigurowaliśmy w ramach GPO widać poniższej:

User1:

Próba zmiany tapety (opcja wygaszona, czyli niedostępna)

gpo3

Próba dostępu do rejestru

gpo4

User2:

Próba dostępu do menadżera zadań (opcja wygaszona, czyli niedostępna)

gpo5

Próba uruchomienia przeglądarki Internet Explorer

gpo6

Zbiór ustawień, które Wam przedstawiłem to tylko niewielka część dostępnych. Jest ich tak dużo, że trudno omówić wszystkie, ale w kolejnych artykułach przedstawię jeszcze kilka, moim zdaniem ciekawszych i przydatnych.

powrót do strony głównej

  • scribe_pl

    będzie coś więcej w tym temacie?

  • pytacz2000

    A jak się teraz admin może dostać do tych wyłączonych funkcji? Dajmy na to, że muszę zabić użytkownikowi przez manager zadań jakiś proces albo aplikację.

  • damian

    Zasady grupy ustawiasz dla konkretnych użytkowników lub grup (zrzut 16), jeśli zalogujesz się na admina to dla niego zasady nie będą działać więc będziesz mógł dostać się do menażera.