הדרכה: שמחות המדיניות הקבוצתית של Windows Server

כאשר מיקרוסופט הציגה אובייקטים של מדיניות קבוצתית (GPO) יחד עם Windows Server 2000 לפני כמעט 17 שנה, הם היו גישה חדשה ומלהיבה לניהול הרשאות משתמש ומערכת. כיום הם פשוט חלק מעבודות העץ הניהוליות, וכתוצאה מכך, כמה ממנהלי IT שכחו עד כמה הגדרות אלה יכולות להיות חזקות ומתי ניתן להשתמש בהן כדי לפתור בעיות.

כאשר שרת Windows Server 2016 ישוחרר מאוחר יותר בסתיו זה, הוא ישמור על אותם GPO כל כך שימושיים, וישאיר אותם ללא שינוי למעט תוספת של כמה הגדרות ספציפיות ל- Windows Server 2016 ו- Windows 10. אם זה לא נשבר ...

הכלים לניהול מדיניות קבוצתית מותקנים עם Active Directory, אך אתה זקוק לשירותי Domain Domain Active Directory (ADFS) כדי שמדיניות קבוצתית אכן תפעל. כדי לשלוט על שרתים או תחנות עבודה, הם חייבים להיות מחוברים (המכונים "הצטרפו") לדומיין. למרות שניתן להגדיר מדיניות מקומית למחשבים אישיים (שאינם מחוברים לתחום), זהו תרחיש חד פעמי שאינו נכנס לערך הליבה של יישום מדיניות קבוצתית כדי לשלוט במספר מערכות ומשתמשים בבת אחת.

יש אלפי הגדרות תצורה ואפשרויות אפשריות עבור GPOs. הדרך הקלה ביותר למצוא את הדרך להגדרה היא לזהות את נתיב המיקום שלה בכלי מסוף ניהול המדיניות הקבוצתית (GPMC), כפי שמוצג באיור 1. נתיב המיקום מראה לך את הנתיב המלא להגדרות שאתה מחפש, באותה הדרך שבה אתה עשוי לחפש קובץ שקבור במספר תיקיות.

שלושה שימושים במדיניות קבוצתית מהווים נקודת התחלה טובה הן למנהל המתחיל והן למנהל המנוסה שלקח את המדיניות הקבוצתית כמובנת מאליה והפסיק לחפש דרכים להשתמש בהן לצרכים חדשים. (כשאתה מוכן להעמיק, למיקרוסופט יש מדריך טוב ומפורט שנכנס למורכבויות של מדיניות קבוצתית.)

דוגמה GPO 1: אכוף את מורכבות הסיסמה

כדי ליצור מדיניות מורכבות סיסמאות החלה על כל המשתמשים בתחום, בצע את השלבים הבאים:

  1. פתח את מסוף ניהול המדיניות הקבוצתית שלך.
  2. הרחב את מיכל הדומיינים ובחר את שם הדומיין שלך.
  3. לחץ לחיצה ימנית על שם התחום ובחר באפשרות צור GPO בתחום זה וקשר אותו לכאן.
  4. תן ל- GPO החדש שם (למשל, מדיניות מורכבות הסיסמה) ולחץ על אישור.
  5. לאחר שהמדיניות גלויה בדומיין שלך, לחץ באמצעות לחצן העכבר הימני על המדיניות ובחר ערוך. פעולה זו פותחת את עורך ניהול המדיניות הקבוצתית (GPME).
  6. ועמק נתיב המיקום של GPME, כפי שמוצג באיור 2: GPO_name\Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  7. לחץ לחיצה ימנית על האפשרות סיסמה חייבת לעמוד בדרישות המורכבות ולחץ על מאפיינים, כפי שמוצג באיור 3.
  8. סמן את התיבה הגדר הגדרת מדיניות זו, סמן את Enabled ואז לחץ על OK. הערה: ניתן גם ללחוץ על הכרטיסייה הסבר לקבלת הסבר מלא על מה הגדרה זו עושה.

יש כמובן הגדרות אחרות שתוכל לכלול ב- GPO זה. לדוגמא, באפשרותך לאפשר את דרישות המורכבות ולהגדיר את אורך הסיסמה המינימלי ל, למשל, שמונה תווים.

דוגמה GPO 2: השבת כונני USB

יש להחיל מדיניות מסוימת באופן מצבי (על יחידת ארגון, המכונה OU), כמו השבתת התקני USB. לדוגמה, ייתכן שיש לך לוחמי דרכים הזקוקים לגישה USB במחשבים הניידים שלהם, ואולי כדאי לך לנעול את יציאות ה- USB הביתיות.

כך תיצור מדיניות מצב כזו:

  1. במסוף ניהול המדיניות הקבוצתית, הרחב את שם התחום וחפש את המכולה אובייקטים של מדיניות קבוצתית. בדרך כלל, יש שתי מדיניות ברירת מחדל במכל זה (בקר תחום ברירת מחדל ומדיניות תחום ברירת מחדל), אך אם הגדרת את מדיניות מורכבות הסיסמה, היא גם תופיע.
  2. לחץ לחיצה ימנית על התיקיה אובייקטים של מדיניות קבוצתית ולחץ על חדש.
  3. תן ל- GPO החדש שם כמו הגבלת USB ולחץ על אישור.
  4. בחר את המדיניות ולחץ על ערוך כדי לפתוח את עורך ניהול המדיניות הקבוצתית.
  5. נווט אל GPO_name\Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access, כפי שמראה איור 4.
  6. לחץ פעמיים על ההגדרה, סמן את Enabled (מופעל) ואז לחץ על OK או החל.

כפי שמוצג באיור 4, יש מגוון הגדרות לבחירה. הנה, בחרתי באפשרות כל הכיתות לאחסון נשלף: מניעת כל גישה להגדרה. תוכל לראות תיאור של הגדרה שנבחרה בחלונית התיאור אם תלחץ על הכרטיסייה מורחבת.

זכור שיצרת בשלב זה רק את הגדרת המדיניות; לא קישרת את זה לשום דבר. לקישור:

  1. בחר את הדומיין במסוף ניהול המדיניות הקבוצתית או את היחידה הארגונית שיש לך.
  2. לחץ באמצעות לחצן העכבר הימני על היחידה הארגונית (כפי שמוצג באיור 5) ובחר קישור לע"מ קיים.
  3. בחר ב- GPO של הגבלת USB ולחץ על אישור.
  4. לחץ באמצעות לחצן העכבר הימני על ה- GPO שמקושר כעת ובדוק את האפשרות Enforced לאכוף אותו על אותו GPO.

לוקח קצת זמן להחיל את המדיניות הקבוצתית על מערכות ומשתמשים, אבל אתה יכול לאלץ את השינויים להחיל על ידי פתיחת שורת פקודה והקלדה gpupdate /force.

לאחר החלת מדיניות זו, משתמש שמנסה להציג התקן USB צריך לקבל את ההודעה "גישה נדחתה".

דוגמה GPO 3: השבת יצירת קובץ PST

כולנו התמודדנו עם סיוט הציות שמקורו בשימוש בקבצי תיבת דואר PST. אז איך מונעים ממשתמשים ליצור אותם? עם מדיניות קבוצתית, כמובן. (כן, ישנן עריכות תצורת רישום בהן תוכלו להשתמש כדי לבצע זאת, אך מדיניות קבוצתית היא קלה ומהירה בהרבה).

כדי לבצע את השינויים תחילה עליך להוריד את תבניות הניהול של המדיניות הקבוצתית עבור גרסת Office שעליה אתה מגדיר הגדרות. לאחר התקנת התבניות הללו (שעשויות לדרוש מעט הסתגלות), אתה מחיל הגדרות נוספות (מוצגות באיור 6) כדי לשלוט בגירסה זו של Office באמצעות מדיניות קבוצתית.

לאחר שבחרת ברמת האתר, הדומיין או היחידה הארגונית להחלת המדיניות עליה ופתחת את עורך ניהול המדיניות הקבוצתית, נווט אל GPO_name\User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous\PST Settings.

ישנן שתי הגדרות שתרצה להגדיר. הראשון הוא למנוע ממשתמשים להוסיף תוכן חדש לקבצי PST קיימים, אשר (כשמו כן הוא) מונע ממשתמשים להוסיף דוא"ל נוסף ל- PST שכבר יש להם. ההגדרה השנייה היא מניעת המשתמשים להוסיף PST לפרופילי Outlook ו / או למנוע שימוש ב- PST בלעדי לשיתוף, החוסם את יצירת קבצי PST חדשים על ידי המשתמשים שלך.