Zasady grupy w domenie Windows
-
- 14.02.2014
WARSZTAT
Tworzenie i wdrażanie polis GPO w domenie
Na potrzeby przykładowego scenariusza wdrożenia przyjęto, że grupa użytkowników pracujących w dziale księgowości nie będzie mogła usuwać plików przez przeciągnięcie ich do ikony Kosza, umieszczonej na pulpicie. Ikona Kosz zostanie usunięta również z Eksploratora Windows, okna dialogowego Otwieranie oraz okien innych aplikacji, które korzystają z systemowego kosza Windows. Zakłada się, że użytkownik będzie mógł usunąć plik z dysku innymi sposobami.
Zaloguj się na pulpit kontrolera domeny, a następnie otwórz przystawkę Zarządzanie zasadami grupy. W tym celu wydaj polecenie gpmc.msc. Skrót do tego narzędzia znajdziesz również w menu Start | Narzędzia administracyjne. Rozwiń gałąź domeny, a następnie kliknij prawym przyciskiem myszy (ppm.) kontener Obiekty zasad grupy.
Z menu wybierz Nowe, a następnie wprowadź nazwę tworzonego obiektu, która pozwoli jednoznacznie zidentyfikować jego przeznaczenie w przyszłości. Kliknij prawym przyciskiem myszy nazwę nowo dodanej polisy, a następnie z menu kontekstowego wybierz Edytuj. W oknie edytora zasad rozwiń gałąź Konfiguracja użytkownika | Zasady | Szablony administracyjne | Pulpit, po czym na liście elementów dwukrotnie kliknij zasadę Usuń ikonę Kosz z pulpitu. Skonfiguruj to ustawienie jako Włączone.
Zamknij edytor zasad, a następnie wróć do okna przystawki Zarządzanie zasadami grupy. Kliknij prawym przyciskiem myszy nazwę domeny lub jednostki organizacyjnej, wybierz z menu Połącz z istniejącym obiektem zasad grupy, a następnie wskaż obiekt zasad grupy, który ma zostać powiązany z wybranym kontenerem.
Kliknij dwukrotnie nazwę nowo utworzonej polisy, aby wyświetlić jej właściwości, po czym w sekcji Filtrowanie zabezpieczeń wskaż, dla których grup, użytkowników lub komputerów mają być stosowane zawarte w niej ustawienia zasad. W naszym przykładzie może to być grupa zabezpieczeń @Księgowość. Na koniec usuń z tej lisy podmiot Użytkownicy uwierzytelnieni. Zmiany wprowadzone przez zasady grupy będą widoczne dla użytkowników po ich ponownym zalogowaniu się do komputera.
Lokalne zasady grupy przechowują ustawienia zasad grupy na pojedynczych komputerach, nawet gdy nie są one częścią środowiska Active Directory. Zwróć uwagę, że lokalna polisa zawiera nieco mniej ustawień zabezpieczeń niż obiekty zasad grupy wdrażane w domenie Windows. Lokalne zasady grupy nie obsługują również funkcji Przekierowania folderów oraz Instalacji oprogramowania.
W systemie Windows Vista i nowszym komputer ma trzy odrębne zasady grupy, nazwane tutaj Multiple Local Group Policy (MLGPO). Wcześniej stosowany był tylko jeden obiekt GPO. Polisy te pozwalają definiować konfigurację systemu na poziomie komputera lokalnego (Local Computer Policy), użytkowników z uprawnieniami administratora oraz konkretnego użytkownika. Edycja lokalnego obiektu GPO odbywa się za pomocą Edytora lokalnych zasad grupy (gpedit.msc).
W przypadku komputerów podłączonych do domeny, lokalne zasady grupy są przetwarzane w trakcie uruchamiania komputera i logowania się użytkownika jako pierwsze. Oznacza to, że obiekty zasad grupy połączone w lokacji, domenie lub jednostce organizacyjnej mają wyższy priorytet niż ustawienia zdefiniowane lokalnie.
