Zasady grup GPO

1. Informacje wstępne
W WS administrator może określać uprawnienia (zbiór zasad) dla użytkowników lub komputerów w postaci polis bezpieczeństwa. Wszystkie ustawienia z tym związane są przechowywane w obiektach zasad grup GPO (Group Policy Objects). Każdy komputer osobisty może przechowywać GPO ale w przypadku gdy należy on do domeny AD jego ustawienia lokalne mogą być zastąpione przez nielokalne (domenowe) obiekty zasad grupy. Rodzaje polis:
• lokalne – ustawienia związane z bezpieczeństwem na lokalnym hoście, nie przyłączonym do żadnej domeny;
• kontrolera domeny – ustawienia związane z bezpieczeństwem dla kontrolera domeny (serwera);
• domenowe – ustawienia dla całej domeny.
W obiektach GPO ustawienia zostały podzielone na 2 rodzaje:
• komputera – niezależnie od zalogowanego użytkownika, dotyczą danego komputera (maszyny);
• użytkownika – niezależne od komputera, dotyczą danego użytkownika bądź grupy użytkowników zalogowanych do domeny.
W przypadku konfliktu między ustawienia komputera i użytkownika, pierwszeństwo mają ustawienia użytkownika. Zasady grupy mogą być dziedziczone.
W tym ćwiczeniu wykonamy kilka przykładów związanych z zasadami GPO. Są to ćwiczenia przykładowe, ponieważ możliwości ograniczania określonych aspektów działania systemu poszczególnym komputerom bądź użytkownikom domenowym jest oczywiście więcej.
2. Modyfikowanie zasad grupy dot. polityki haseł
W tym przykładzie ustawimy funkcjonalność dzięki której nastąpi wymuszanie konieczności tworzenia mocnych haseł. Wchodzimy do menedżera serwera, następnie Tools i Group Policy Management.



W lewym panelu rozwijamy las Forest:pracowniaX.local / Domains / pracowniaX.local / Group Policy Objects / Default Domain Policy, po czym klikamy PPM na tej opcji wybierając Edit.



W nowouruchomionym oknie rozwijamy węzeł Computer Configuration / Policies / Windows Settings / Security Settings / Account Policies / Password Policy, po czym klikamy na tej ostatniej opcji LPM. Aby zasady dot. polityki haseł zaczęły obowiązywać należy dwukrotnie kliknąć na wpis Password must meet complexity requirements w prawym panelu a w uruchomionym oknie wybrać opcję Enabled. Opcja ta jest domyślna, politykę haseł można więc wyłączyć wybierając przeciwstawną opcję Disabled. Ten zrzut ekranu należy włączyć do sprawozdania



3. Ograniczanie dostępu użytkowników do określonych aplikacji
Za pomocą polis bezpieczeństwa można ograniczać użytkownikom dostęp do określonych aplikacji, np. panelu sterowania czy też do zmieniania tapety w systemie Windows. W tym celu najpierw należy utworzyć obiekt zasad a następnie połączyć obiekt GPO z kontenerem, np. domeną czy jednostką organizacyjną.
W niniejszym przykładzie chcemy zablokować dostęp jednostce organizacyjnej students do widoczności ikony kosza na pulpicie. Rozpoczniemy od utworzenia jednostki organizacyjnej students z kontami studentX+1, studentX+2, gdzie X to twój numer w dzienniku (konta tworzymy poprzez otworzenie przystawki Użytkownicy i komputery usługi Active Directory konsoli mmc lub menedżera serwera a następnie kliknięcie PPM na nazwie domeny po czym New / Organization Unit). Poniżej efekt, u mnie będą to po prostu konta student1 i student2.



Teraz przechodzimy do właściwej części ćwiczenia, mianowicie zaczynamy od utworzenia obiektu GPO o jakiejś nazwie odpowiadającej temu, co obiekt GPO będzie wykonywał, np. UsuwanieKosza. W lewym panelu rozwijamy las Forest:pracowniaX.local / Domains / pracowniaX.local / Group Policy Objects, po czym klikamy PPM na tej opcji wybierając New i wpisując jako nazwę UsuwanieKosza.





Ten zrzut ekranu należy włączyć do sprawozdania



Po dwukrotnym kliknięciu utworzonego obiektu GPO w sekcji Scope / Security Filtering można określić których użytkowników będą dotyczyć ograniczenia. Domyślnie są to użytkownicy uwierzytelnieni i taki wpis zostawiamy.



W zakładce Settings należy kliknąć PPM puste pole i wybrać z menu opcję Edit.



W lewym panelu uruchomionego w ten sposób okna Group Policy Management Editor rozwijamy węzeł User Configuration / Policies / Administrative Templates / Desktop wybierając z prawej strony opcję Remove Recycle Bin icon from desktop.



Po dwukrotnym kliknięciu tej opcji wybieramy Enabled i akceptujemy wybór przyciskiem Apply lub OK.



Zasada GPO utworzona. Teraz pora więc na drugi, wspomniany wcześniej etap, mianowicie łączenie zasady z jednostką. Łączymy utworzony przed chwilą obiekt GPO o nazwie UsuwanieKosza z jednostką organizacyjną students. W tym celu w lewym panelu okna Group Policy Management odszukujemy i klikamy PPM jednostkę students wybierając Link an Existing GPO...



W oknie wskazujemy UsuwanieKosza. Ten zrzut ekranu należy włączyć do sprawozdania



Po zaakceptowaniu klikamy PPM na nazwie domeny wybierając opcję Refresh. Zasada zacznie obowiązywać po odświeżeniu polityki tzn. po jakimś czasie lub do następnego zalogowania się użytkownika. Następnie logujemy się na stację roboczą na konto studentX+1 i odświeżamy ustawienia wpisując w wierszu polecenia komendę: gpupdate /force po czym restartujemy Windows 10 (zwróć uwagę, że na pulpicie klienta, kosz jest na razie obecny). Ten zrzut ekranu należy włączyć do sprawozdania



Jak widać - po ponownym uruchomieniu klienta - logowanie użytkownikiem studentX+1 na kliencie z Windows 10, uwidacznia pulpit pozbawiony ikony kosza (wiersz polecenia na dwóch poniższych zrzutach pokazuje daną nazwę konta). Ten zrzut ekranu należy włączyć do sprawozdania



Tak samo jest na koncie użytkownika studentX+2. Ten zrzut ekranu należy włączyć do sprawozdania



4. Określanie instalacji oprogramowania na stacjach roboczych
Obiekty GPO można również wykorzystać do instalacji/aktualizacji oprogramowania stacji roboczych w domenie AD, co bardzo ułatwia automatyzację tasków systemowych z tym związanych. W tym celu wykorzystujemy konta konkretnych komputerów a nie użytkowników. Konta komputerów na których należy automatycznie instalować oprogramowanie trzeba umieścić w danej jednostce organizacyjnej dla użytkowników której ma być instalowane oprogramowanie, następnie utworzyć obiekt GPO związany z samą instalacją po czym połączyć ten obiekt z jednostką. Jak na razie, w węźle Computers przystawki Active Directory Users and Computers mamy jeden komputer - kompX (przyłączony do domeny podczas jednego z początkowych ćwiczeń odnośnie WS, u mnie komp0). Jednak chcielibyśmy instalować oprogramowanie na kontach jednostki organizacyjnej students, dlatego też, to w tej jednostce trzeba posiadać konto komputera kompX. Mamy tutaj dwa rozwiązania: pierwsze to po prostu usunąć konto kompX z węzła Computers i utworzyć analogiczne w jednostce students. Nie jest to jednak najlepszy pomysł, dlatego, że po takim prostym usunięciu i ponownym utworzeniu konta komputera, musielibyśmy odłaczyć komputer kliencki od domeny i ponownie go do niej przyłączyć. Istnieje jednak druga, lepsza i o wiele szybsza metoda, która polega na tym, że nie usuwamy a tylko przenosimy konto komputera kompX z węzła Computers do jednostki organizacyjnej students. Robimy to klikając PPM na koncie kompX i wybierając z menu podręcznego opcję Move... po czym docelowo wskazując jednostkę students. W wyniku tej czynności konto kompX zostanie przeniesione do tej jednostki.





Ten zrzut ekranu należy włączyć do sprawozdania



Na dysku serwera tworzymy folder np. C:\instalki. Kopiujemy do tego folderu pliki instalacyjne interesującego nas oprogramowania (*.msi). Ja ściągnąłem program PuTTy (putty-64bit-0.79-installer.msi).



Udostępniamy utworzony folder dla wszystkich użytkowników nadając uprawnienia Pełna kontrola.



Nadajemy dla folderu uprawnienia w systemie NTFS. Grupy Everyone i Authenticated Users (użytkownicy uwierzytelnieni) powinny mieć prawa odczytu.



Grupa Domain admins (administratorzy domeny) powinna mieć pełną kontrolę. Ten zrzut ekranu należy włączyć do sprawozdania



Następnie, po zaakceptowaniu powyższych zmian, przechodzimy do Server Manager / Tools / Group Policy Management klikając PPM jednostkę students wybierając opcję Create a GPO in this domain, and Link it here...



Wprowadzamy nazwę, np. InstalacjaOprogr.



Klikamy PPM utworzony obiekt i wybieramy Edit...



W nowouruchomionym oknie rozwijamy węzeł Computer Configuration / Policies / Software Settings / Software installation po czymlikamy PPM puste pole wybierając New / Package...



Wpisujemy ścieżkę sieciową (ważne: nie wskazujemy po prostu pliku instalki myszą a podajemy pełną ścieżkę UNC, Universal Naming Convention) do pliku zawierającego pakiet instalacyjny oprogramowania na serwerze, u mnie \\WIN-N0O4PFFTTQC\PRACOWNIA0.LOCAL\instalki\putty.msi po czym klikamy Open. Ten zrzut ekranu należy włączyć do sprawozdania



W okienku deploymentu oprogramowania wybieramy opcję przypisania Assigned.



Po zatwierdzeniu, wprowadzona opcja pojawi się w oknie Group Policy Management Editor. Ten zrzut ekranu należy włączyć do sprawozdania



Na stacji roboczej odświeżamy ustawienia wpisując w wierszu polecenia komendę: gpupdate /force po czym wpisujemy Y i naciskamy Enter, a w ciągu minuty system Windows 10 się zrestartuje. Ten zrzut ekranu należy włączyć do sprawozdania



Podczas ponownego uruchomienia stacji oprogramowanie zostanie zainstalowane podczas startu komputera, co widać w menu startowym systemu.



Z kolei w wierszu polecenia wydając komendę wmic, następnie product get name i quit można sprawdzić, że zainstalowany program również jest widoczny. Ten zrzut ekranu należy włączyć do sprawozdania