niedziela, 7 lipca 2013

Windows 2008 Serwer - Zasady grup(70-640) cz.7

Zasady grup pozwalają zachować kontrolę nad poczynaniami naszych użytkowników, którzy czasami przypadkowo mogą przysporzyć nam nieco kłopotów w domenie.

Aby zacząć korzystać do Group Policy(GPO) musimy posiadać skonfigurowaną domenę pod MS 2008 Server. Bezpośrednio do GPO możemy dostać się wpisując w Uruchom: gpedit.msc:



Jak widzimy istnieją dwa główne gniazda, które przechowują skonfigurowane przez nas zasady:



1) Computer Configuration - jak wskazuje nazwa określa ograniczenia dla komputerów, bez znaczenia jakie konto będzie się tam logować.

2) User Configuration -  określa ograniczenia przypisane dla konta użytkownika.

Odświeżanie GPO odbywa się w trakcie logowania / uruchamiania komputera, później co 90 do 120 minut.

W każdej z w/w grup znajduje się węzeł zawierający Settings Software, gdzie definiowane się zasady instalowania oprogramowania.

Podobnie sprawa ma się jeżeli chodzi o Windows Settings, w którym mamy:




3) Scripts - możemy dodać skrypty, które uruchomią się podczas logowania oraz wylogowywania z komputera / konta. Ograniczeniem dla wywołania skryptów jest 10 minut, czyli w takim czasie powinniśmy zmieścić się z naszymi skryptami. Możemy korzystać min. z .bat, .vbs oraz ActiveX.

4) Security Settings - możemy skonfigurować zabezpieczenia jako dodatek lub w zamian szablonów administracyjnych.

5) Policy-Based QoS - ustawienia sterujące ruchem sieciowym, możemy zdefiniować wyższy priorytet dla krytycznych w naszym środowisku aplikacji, czyli uruchomić je wcześniej niż inne.

6) Dodatkowe ustawienia w User Configuration:

6.1) Remote Installation Services - zdalna instalacja systemu operacyjnego.

6.2) Folder Redirection - możemy przekierować katalogi profilowe jednego użytkownika dla drugiego.

6.3) Internet Explorer Mainteance - ustawienie ograniczeń dla Internet Explorer'a.

7) Administrative Templates - szablony odpowiadają za konfigurowanie taki rzeczy jak wygląd tapety na pulpitach, ograniczenia dla zmian ustawień sieciowych itd.

Dla przykładu włączymy wygaszacz dla wszystkich użytkowników, oraz wymusimy podanie hasła, aby odblokować konto:












Możemy dodać komentarz dla naszej zasady, w tym celu klikamy na główny węzeł w GPO (nazwa naszego serwera), następnie klikamy prawym na nią oraz wybieramy Properties (Właściwości), przechodzimy na zakładkę Comment i tam wpisujemy nasz opis.

Dla łatwiejszego odnalezienia interesującej nas opcji uruchomimy Filtrowanie po słowach kluczowych tych właśnie opcji:



Wpiszemy screen saver,  tak aby odnaleźć dokładną opcje odpowiadającą za nasz wygaszacz. Dodatkowo możemy wpisać komentarze dla tych dwóch opcji za każdym razem przechodząc na zakładkę Comment:




Przechodzimy do widocznej poniżej opcji (klikamy 2x):



Uruchamiamy włączenie wygaszacza po 10 minutach:



Dodatkowo zabezpieczymy nasze konto koniecznością wpisania hasła gdy uruchomiony zostanie wygaszacz:





Zamykamy okno Group Policy Management Editor.

Musimy na koniec powiedzieć GPO, aby nasze ustawienia przekazał do działania, czyli każdy zalogowany użytkownik ma mieć włączamy wygaszacz po 10 minutach bezczynności:


Zaznaczamy nasze Wygaszacze, następnie klikamy na OK:


Oczywiście w ten sam sposób możemy w inny sposób utrudnić życie naszym użytkownikom. Oczywiście chodzi tyko i wyłącznie o kwestie bezpieczeństwa, atak aby w przypadku przejęcia konta ewentualne szkody były jak najmniejsze.



Brak komentarzy:

Prześlij komentarz