Archiwum i Windows Server 2016 - zarządzanie zasadami grupy: Różnica pomiędzy stronami
imported>Admin Nie podano opisu zmian |
imported>Admin Nie podano opisu zmian |
||
| Linia 1: | Linia 1: | ||
__FORCETOC__ | |||
==Narzędzie - Zarządzanie zasadami grupy== | |||
Do zarządzania zasadami grupy służy narzędzie zarządzanie zasadami grupy | |||
[[ | [[Plik:srv2016-gpo1.png|800px]] | ||
[[ | [[Plik:srv2016-gpo2.png]] | ||
Jak widzimy na obrazku powyżej, główny obiekt z polisami całej domeny nazywa się ''default domain policy''. Jak widać możemy podejrzeć jego ustawienia. Trzeba uważać przy jego edycji, bo łatwo coś popsuć, jak ktoś jest zielony. Lepiej stworzyć kolejne pliki. Każdy kolejny i tak z niego dziedziczy. | |||
==Tworzenie nowego obiektu w jednostce organizacyjnej== | |||
Stworzymy teraz nowy obiekt zasad grupy w jednostce organizacyjnej pracownicy. Ustawione restrykcje będą dotyczyć tylko umieszczonych tam kont. | |||
[[ | [[Plik:srv2016-gpo3.png]] | ||
[[Plik:srv2016-gpo4.png]] | |||
[[Plik:srv2016-gpo5.png]] | |||
==Edytowanie obiektu zasad grupy== | |||
[[ | [[Plik:srv2016-gpo6.png]] | ||
===Blokada panelu sterowania=== | |||
Zablokujemy użytkownikom zgrupowanych w jednostce organizacyjnej pracownicy wchodzenie do panelu sterowania i ekranu ustawienia komputera. Edytujemy polisę ''pracownicy'' | |||
[[ | [[Plik:srv2016-gpo7.png|800px]] | ||
[[ | [[Plik:srv2016-gpo8.png]] | ||
===Zmiana zasad haseł=== | |||
Teraz edytujemy główną polisę, czyli ''default domain policy'' | |||
Ustawny, że | |||
*hasła mają być złożone | |||
*mają być zmieniane maksymalnie co 30 dni | |||
*minimalna długość hasła ma wynosić 10 znaków | |||
*hasła można zmieniać w każdej chwili (minimalny okres ważności) | |||
*wymuś historię 24 używanych haseł (nie mogą się wtedy powtórzyć) | |||
[[ | [[Plik:srv2016-gpo9.png]] | ||
===Zmiana zasad blokady konta=== | |||
[[Category: | Dalej edytujemy główną polisę, czyli ''default domain policy'' | ||
Ustawny, że | |||
*blokada konta trwa 30 minut | |||
*próg blokady to 5krotne źle wprowadzone hasło | |||
*wyzeruj licznik blokady po 30 minutach | |||
[[Plik:srv2016-gpo10.png]] | |||
==Testujemy, czy ustawienia działają== | |||
Pamiętaj, jakby na stacji roboczej nie skutkowały nowe zasady, możesz je wymusić w CMD komendą <code>gpupdate /force</code> | |||
W jednostce organizacyjnej pracownicy mamy założone konto. | |||
[[Plik:srv2016-gpo11.png]] | |||
Po zalogowaniu do domeny sprawdzamy, czy nałożone ustawienia działają. | |||
[[Plik:srv2016-gpo12.png|800px]] | |||
Przy próbie właczenie panelu sterowania pojawia się komunikat o ograniczeniach. | |||
[[Plik:srv2016-gpo13.png|800px]] | |||
Przy próbie zmiany hasła na niespełniające naszych wymagań również komunikat o niepowodzeniu. | |||
[[Plik:srv2016-gpo14.png|800px]] | |||
Konto zostało zablokowane po 5 próbie wpisania niepoprawnego hasła. | |||
==Wynikowy zestaw zasad== | |||
Przy większej liczbie wprowadzonych polis można łatwo się pogubić, jakie restrykcje tak naprawdę są aktywne. Ręczna analiza kolejnych polis jest żmudna. Z pomocą przychodzi RSoP, czyli wynikowy zestaw zasad. Wpisujemy <code>rsop.msc</code> w tym przypadku będąc zalogowanym na stacji roboczej jako zwykły użytkownik. Niestety możemy podejrzeć wtedy tylko konfigurację użytkownika bez konfiguracji użytkownika. | |||
[[Plik:srv2016-gpo15.png]] | |||
[[Plik:srv2016-gpo16.png]] | |||
Jeśli jesteśmy administratorami to uruchamiamy '''rsop.msc''' jako administratorzy i mamy dostęp do ustawień komputera i użytkownika | |||
[[Plik:srv2016-gpo17.png]] | |||
[[Plik:srv2016-gpo18.png]] | |||
[[Plik:srv2016-gpo19.png|800px]] | |||
[[Plik:srv2016-gpo20.png]] | |||
[[Plik:srv2016-gpo21.png]] | |||
[[Plik:srv2016-gpo22.png]] | |||
[[Plik:srv2016-gpo23.png|800px]] | |||
[[Plik:srv2016-gpo24.png|800px]] | |||
==Ćwiczenia== | |||
# W jednostce organizacyjnej pracownicy załóż konto dla użytkownika TwojeImię TwojeNazwisko o nazwie użytkownika TwojeNazwisko2. | |||
# Stwórz polisę o nazwie pracownicy. Ma dotyczyć jednostki oraganizacyjnej pracownicy. | |||
# Zablokuj wszystkim pracownikom dostęp do wiersza poleceń (konfiguracja użytkownika=>szablony administracyjne=>system) | |||
# Usuń dostępność menedżera zadań po wywołaniu kombinacji ctrl alt del (konfiguracja użytkownika=>szablony administracyjne=>system) | |||
# Usuń ikonę kosz z pulpitu (konfiguracja użytkownika=>szablony administracyjne=>pulpit) | |||
# W zarządzaniu zasadami grupy wyświetl raport (zakładka ustawienia) ustawień polisy pracownicy. | |||
# Zaloguj się na konto TwojeNazwisko2 i udowodnij, że wprowadzone restrykcje działają. | |||
# Wyświetl wynikowy zestaw zasad dla konta TwojeNazwisko2 | |||
[[Category:Microsoft Windows]] | |||
Aktualna wersja na dzień 18:24, 16 lis 2020
Narzędzie - Zarządzanie zasadami grupy
Do zarządzania zasadami grupy służy narzędzie zarządzanie zasadami grupy
Jak widzimy na obrazku powyżej, główny obiekt z polisami całej domeny nazywa się default domain policy. Jak widać możemy podejrzeć jego ustawienia. Trzeba uważać przy jego edycji, bo łatwo coś popsuć, jak ktoś jest zielony. Lepiej stworzyć kolejne pliki. Każdy kolejny i tak z niego dziedziczy.
Tworzenie nowego obiektu w jednostce organizacyjnej
Stworzymy teraz nowy obiekt zasad grupy w jednostce organizacyjnej pracownicy. Ustawione restrykcje będą dotyczyć tylko umieszczonych tam kont.
Edytowanie obiektu zasad grupy
Blokada panelu sterowania
Zablokujemy użytkownikom zgrupowanych w jednostce organizacyjnej pracownicy wchodzenie do panelu sterowania i ekranu ustawienia komputera. Edytujemy polisę pracownicy
Zmiana zasad haseł
Teraz edytujemy główną polisę, czyli default domain policy
Ustawny, że
- hasła mają być złożone
- mają być zmieniane maksymalnie co 30 dni
- minimalna długość hasła ma wynosić 10 znaków
- hasła można zmieniać w każdej chwili (minimalny okres ważności)
- wymuś historię 24 używanych haseł (nie mogą się wtedy powtórzyć)
Zmiana zasad blokady konta
Dalej edytujemy główną polisę, czyli default domain policy
Ustawny, że
- blokada konta trwa 30 minut
- próg blokady to 5krotne źle wprowadzone hasło
- wyzeruj licznik blokady po 30 minutach
Testujemy, czy ustawienia działają
Pamiętaj, jakby na stacji roboczej nie skutkowały nowe zasady, możesz je wymusić w CMD komendą gpupdate /force
W jednostce organizacyjnej pracownicy mamy założone konto.
Po zalogowaniu do domeny sprawdzamy, czy nałożone ustawienia działają.
Przy próbie właczenie panelu sterowania pojawia się komunikat o ograniczeniach.
Przy próbie zmiany hasła na niespełniające naszych wymagań również komunikat o niepowodzeniu.
Konto zostało zablokowane po 5 próbie wpisania niepoprawnego hasła.
Wynikowy zestaw zasad
Przy większej liczbie wprowadzonych polis można łatwo się pogubić, jakie restrykcje tak naprawdę są aktywne. Ręczna analiza kolejnych polis jest żmudna. Z pomocą przychodzi RSoP, czyli wynikowy zestaw zasad. Wpisujemy rsop.msc w tym przypadku będąc zalogowanym na stacji roboczej jako zwykły użytkownik. Niestety możemy podejrzeć wtedy tylko konfigurację użytkownika bez konfiguracji użytkownika.
Jeśli jesteśmy administratorami to uruchamiamy rsop.msc jako administratorzy i mamy dostęp do ustawień komputera i użytkownika
Ćwiczenia
- W jednostce organizacyjnej pracownicy załóż konto dla użytkownika TwojeImię TwojeNazwisko o nazwie użytkownika TwojeNazwisko2.
- Stwórz polisę o nazwie pracownicy. Ma dotyczyć jednostki oraganizacyjnej pracownicy.
- Zablokuj wszystkim pracownikom dostęp do wiersza poleceń (konfiguracja użytkownika=>szablony administracyjne=>system)
- Usuń dostępność menedżera zadań po wywołaniu kombinacji ctrl alt del (konfiguracja użytkownika=>szablony administracyjne=>system)
- Usuń ikonę kosz z pulpitu (konfiguracja użytkownika=>szablony administracyjne=>pulpit)
- W zarządzaniu zasadami grupy wyświetl raport (zakładka ustawienia) ustawień polisy pracownicy.
- Zaloguj się na konto TwojeNazwisko2 i udowodnij, że wprowadzone restrykcje działają.
- Wyświetl wynikowy zestaw zasad dla konta TwojeNazwisko2