Налаштування групової політики в Windows Server 2012 R2

Привіт, дана стаття розповість вам про групову політику Windows Server 2012. Group Police – це потужний інструмент який дозволяє управляти користувачами, системою, різними настройками централізовано.

Управління та налаштування Group Police відбувається через Active Directory а саме настройками для користувачів і ПК які входять в домен.

Розвиток групових політик проводиться в рамках домена і тут же ж реплицируются, в основному вони потрібні для настройки конфігурації декількох комп’ютерів в тому числі, тут розташовано і налаштування безпеки, установка програмного забезпечення, різні сценарії, переадресації папок і переваги!

Налаштування які створюються в груповий політики розташовані в об’єктах групових політик.

Існують два типи ДП а саме: локальний і не локальний.

Чи не локальні об’єкти ДП знаходяться на контролері домену і мати до них доступ можливо тільки в середовищі AD, вони можуть бути використані тільки до користувачів і комп’ютерів в web-сайті, доменах або підрозділах.

Локальні об’єкти ДП зберігаються на локальному ПК і причому на комп’ютері буде існувати тільки 1 локальний об’єкт ДП і він буде містити набір різних параметрів доступних поза локальному об’єкті.

У разі конфлікту локального об’єкта будуть перезаписані в не локальна, або параметри будуть застосовані спільно.
Кожен об’єкт ДП складається з контейнера GP і шаблону GP.

В системі присутній два об’єкти Group Police за замовчуванням, це політика домену по дефолту і контролера домену.

Default Domain Controller Police – ця політика створена в Server 2012 з замовчуванням якщо виконана умова розгортання сервер-доменних служб AD, і вона містить настройки які застосовані тільки до контролера домену.

Default Domain Police (політика домену по дефолту) – створюється так само при розгортанні ролі сервера-доменних служб AD і містить настройки які застосовані до всіх робочих станцій і користувачам домену.

Можна створювати свої об’єкти але при створенні потрібно завжди усвідомлювати доцільність цих дій, кожен об’єкт складається з параметрів в яких можна виділити дві папки:

Computer Configuration – ця папка буде містити установки, які будуть застосовуватися до ПК і неважливо хто з користувачів заходять в систему.

User Configuration – папка містить настройки, які будуть використані для застосування до користувачів Microsoft і не важливо яку робочу станцію вони, будуть використовувати.

Дані параметри будуть мати істотні повноваження, які в наслідку будуть вирішувати долю користувачів в цілому.

У папках Computer Configuration і User Configuration спостерігаємо дві папки це папка Policies (параметр політики) – в якій розташована конфігурація політики однозначно застосовуються до GP, а папка Preferences (параметри переваг) – містить різні переваги які можливо використовувати для редагування майже кожних параметрів реєстру, файлу , папки або будь-якого елементу, за допомогою даної папки можна налаштувати програми що не залежать від ДП.

В процесі зміни налаштувань Group Police ви зіткнетеся з різними варіантами, але в загальному випадку вам буде потрібно вибрати з трьох варіантів, які призводять до результатів показаних нижче:

Enabled – запис до реєстру включення

Disabled – це протилежний алгоритм Enabled, який буде записаний зі значенням виключення

Not Configured – це політика не буде записувати до реєстру, відповідно вона не робить якого-небудь впливу

Важливо знати коли застосовуються Group Police, якщо ви змінили параметр відносяться до налаштувань комп’ютера, то поновлення вступлять в силу при запуску, якщо застосовуємо до користувачів то при наступному вході в систему.

Зрозуміло не завжди зручно і вигідно чекати коли ж комп’ютер буде перезавантажений або користувач заново увійде в систему, тому по дефолту зміна в конфігурації політики відбуваються кожні 90 хвилин, цей час ви можете змінити. Якщо хочемо запустимо політику відразу, запускаємо команду: gpupdate.

Якщо у вас є підрозділи і в них будуть присутні якісь дочірні підрозділи, то спочатку в пріоритеті стоїть спочатку дочірній підрозділ після підрозділи і тільки після домен і т.д

Хочу зазначити що цей інструмент дуже складний і дуже великий, і замість того що б ще більше міркувати про теорію ми перейдемо безпосередньо до налаштування

Налаштування GPO Server 2012:

Для того що б почати роботу відкрийте Панель управління”

Далі перейдіть у вкладку адміністрування “

У вікні, клацніть по пункту Управління ДП “

В об’єктах групової політики ви побачите дві політиці по дефолту, саме їх і будемо редагувати. Для внесення змін тиснемо ПКМ по Default Domain Policy “ і кликнемо змінити “

Якщо ми розгорнемо в конфігурації ПК папку Політики то побачимо три папки це: конфігурація програм, конфігурація windows, адміністративні шаблони.

Одним з показових прикладів того як змінювати політику стосується користувача є зміни стосуються з акаунтом. переходимо: політикиконфігурація Windowsпараметри безпекиПолітика облікових записів “ і бачимо тут три розділи для змін, давайте поки що внесемо зміни скажімо в політику паролів виставимо значення як показано на малюнку нижче, все значення ви виставляєте як вважаєте за потрібне:

заходимо в Максимальний термін дії пароля “ і прибираємо галочку з Визначити наступний параметр політики “ після чого застосовуємо зміни, дана функція необхідна для того що б у користувача був постійно один і той же пароль

У властивостях Мінімальної довжини пароля “ знову приберемо перемикач і застосуємо зміни

І нарешті то найцікавіший пункт Пароль повинен відповідати вимогам складності “ ставимо відключено “ і застосовуємо зміни, після відключення даної політиці користувачеві не потрібно буде вводить пароль який би відповідав вимогам безпеки, але це ще не остаточні налаштування, що б повний алгоритм відключення складних паролів читайте цю статтю.

Але попереджаю, як тільки ви внесете зміни в політику паролів Server 2012 безпеку вашої системи погіршиться, тому вирішуйте самі!

Наведу ще один приклад, припустимо ми хочемо заборонити йому слухати будь-які аудіо доріжки, за це буде відповідати служба Windows Audio “ яка знаходиться в папці Системні служби “

Але для початку відкриємо список локальних служб у користувача, і зможемо побачити, що дана служба у нього поки що запущена за замовчуванням

Ми повертаємося на контролер домену і міняємо параметр Windows Audio “ для цього натискаємо по ній ПКМ і переходимо в властивості “

Перш за все включаємо чекбокс Визначся наступний параметр політики “ в режимі запуску ставимо заборонено “ далі застосувати “

Коли користувач знову увійде в систему то служба вже буде відключена і звук функціонувати у нього не буде.

На цьому я закінчую розповідь про Group Police, що виникають питання по темі пишіть в коментарі і не забуваємо підписуватися на новини!

Ссылка на основную публикацию