1DV416 Windowsadministration I, 7.5hp MODULE 4 GROUP POLICY, STORAGE AND ACCESS CONTROLS GROUP POLICY

Transkript

1 1DV416 Windowsadministration I, 7.5hp MODULE 4 GROUP POLICY, STORAGE AND ACCESS CONTROLS GROUP POLICY

2 Lecture content Today's lecture Group Policy Överblick Administration Exempel Jacob Lindehoff 2

3 Jacob Lindehoff 3 Introduk-on -ll gruppolicys Gruppolicys gör det möjligt att: tilldela centraliserade policys tillförsäkra att en användare har den obligatoriska användarmiljön upprätthålla företagspolicys Site Användare Admin GPO Domän OU Datorer Administratören sätter en gruppolicy en gång Windows Server tilldelar den kontinuerligt

4 Jacob Lindehoff 4 Olika typer av gruppolicyinställningar Olika typer av gruppolicys: Administrativa mallar registerbaserade gruppolicyinställningar Security inställningar för lokal-, domän- och nätverkssäkerhet Software Installation inställningar för centraliserad installation av mjukvara Scripts uppstart, avstängning, inloggning och utloggning Remote Installation Service inställningar till klientinstallations- wizarden som används för RIS Internet Explorer Maintenance inställningar för administratören för att skräddarsy MS IE Folder Redirection inställningar för att lagra speci_ika användarkataloger på en central server

5 Jacob Lindehoff 5 GPO- objekt och AD- containrar Gruppolicyinställningar påverkar endast användare- och datorobjekt Man länkar ett gruppolicyobjekt till en site, domän eller ett OU och det aktuella GPOt påverkar endast de objekt som _inns inom dessa En gruppolicy kan länkas till en eller _lera sites, domäner eller organisationsenhet Man kan länka _lera gruppolicys till en site, domän eller organisationsenhet Site- GPO Kan inte länkas till standard containers Domän- GPO Site Domän- GPO OU OU OU- GPO OU Domän OU OU- GPO OU Domän OU

6 Gruppolicyinställningar Gruppolicyinställningar för datorer Datorer speci_icerar operativsystemets uppförande skrivbordsinställningar säkerhetsinställningar datorns uppstarts- och avstängnings- script datortilldelade applikationsval applikationsinställningar Gruppolicyinställningar för användarkonton Användare speci_icerar operativsystemets uppförande skrivbordsinställningar säkerhetsinställningar tilldelade och publicerade applikationsinstallationer applikationsinställningar katalogomdirigeringsval användarinloggnings- och användarutloggningsscript Jacob Lindehoff 6

7 Jacob Lindehoff 7 Demo Demo Skapa en GPO

8 Gruppolicy arv 1.) Site 2.) Domän 3.) OU Windows 2000/2003 tilldelar GPO- inställningar i en speci_ik ordning Domän- GPO Domän Development Tilldelningen av GPO sker i följande ordning 1. Lokal grupprinciper 2. Grupprinciper för Siten 3. Grupprinciper för Domänen 4. Grupprinciper för organisationsenheten 5. Grupprinciper för dotterorganisationsenheten Datorer Användare Jacob Lindehoff 8

9 Konflikter mellan gruppolicyinställningar Kon_likter mellan gruppolicyinställningar: alla gruppolicys appliceras om det inte uppstår kon_likter gruppolicyn lägst ner i Active Directory hierarkin appliceras den översta gruppolicyn i GPO- listan appliceras datorpolicyn har högre prioritet än användarpolicyn Jacob Lindehoff 9

10 Hur gruppolicys -lldelas Olika gruppolicys: GPO1 ser till att favoriterna _inns på startmenyn. GPO2 kräver ett lösenord på minst 11 bokstäver och tecken. GPO3 tar bort Windows Updateikonen från startmenyn. GPO4 tar bort favoriterna från startmenyn och lägger till Windows Update- ikonen. Vad är resultatet av gruppolicyinställningarna för OU:n? Site Domän OU GPO1 GPO2 GPO3 GPO4 Svar: Eftersom Windows läser gruppolicyinställningar från siten och nedåt till organisationsenheten så kommer OU:n få följande inställningar: Site favoriterna kommer att _innas tillgängliga på startmenyn. Domän favoriterna kommer att _innas tillgängliga på startmenyn, du måste använda dig av ett lösenord med mer än 11 tecken och update- ikonen kommer inte att _innas på startmenyn. OU favoriterna kommer inte att _innas på startmenyn, update- ikonen kommer att _innas på startmenyn och du måste använda dig av ett lösenord med mer än 11 tecken Jacob Lindehoff 10

11 Kontrollera hanteringen av gruppolicys Uppdateringsintervall: 5 minuter, för domänkontrollanter 90 minuter, för icke domänkontrollanter Jacob Lindehoff 11

12 Jacob Lindehoff 12 Blockera arvet Blockera arvet: Går inte att välja särskilda GPOs att blockera Enforced har högre prioritet Produktion GPO:s Blockering av arvet Inga GPO- inställningar tilldelas Försäljning

13 Jacob Lindehoff 13 Ak-vera Enforced No Override GPO- inställningar Produktion Enforced: går över blockering av arvet Appliceras högt i ADet Appliceras på länkar och inte GPOer Försäljning Blockering av arvet, men gruppolicyn tilldelas eftersom den är satt till Enforced. Domän- GPO- inställningar tilldelas

14 Filtrera GPO- inställningar Gruppolicyn appliceras på alla användarkonton och datorer som residerar i containern den är länkad till, men: GPO har en ACL Kan sätta vilka användare/grupper/datorer som har rättighet att applicera GPOt Kan även sätta vem som har rättigheter att modi_iera GPOt Jacob Lindehoff 14

15 Jacob Lindehoff 15 Filtrera GPO- inställningar Precis som vanliga Deny En sista utväg Försvårar administration och felsökning Maria Carl Grupp Filtrera gruppolicy inställningar genom att: explicit neka Apply group- policy-rättigheter. explicit utelämna Apply grouppolicy-rättigheten. Tillåter Read och Apply grupppolicy Nekar Apply grouppolicy

16 Administrera GPO Jacob Lindehoff 16

17 Jacob Lindehoff 17 Gruppolicyskrip-nställningar Gruppolicyskriptinställningar: Datorn Uppstart/Avstängning Script Användaren Inloggning/Utloggning Datorkon_iguration Uppstart/Avstängning Användarkon_iguration Inloggning/Utloggning

18 Group Policy Skripts Både för datorn och användare Användare In och ut- loggning Dator Uppstart och avstängning Möjlighet att köra _ler än ett skript Jacob Lindehoff 18

19 GP Skript Jacob Lindehoff 19

20 Jacob Lindehoff 20 Felsökningsverktyg för gruppolicys Hjälpfulla kommandon: gpupdate gpresult Hjälpfulla kommandon i Resource Kit Tools: netdiag dcdiag replmon

21 Group Policy Felsökning Felsökning Event Viewer Sparar information om vad som gått fel GPResult Kommando Listar vilka GPOer som har applicerats Jacob Lindehoff 21

22 Group Policy Installa-on av program MSI installation Både för datorn och användare Publiched Assigned Användaren måste installationsrättigheter Datorn har automatiskt rättigheter Måste vara MSIpacket Jacob Lindehoff 22

23 Jacob Lindehoff 23 Tilldela mjukvara Tilldela/Assigned mjukvara: Tilldelar en användarkon_iguration applikationen installeras nästa gång användaren aktiverar/använder applikationen. Distribueringspunkt För mjukvara Tilldelar en datorkon_iguration applikationen installeras nästa gång datorn startas upp.

24 Jacob Lindehoff 24 Publicera mjukvara Publicera/Publiched mjukvara: Lägga till och radera program applikationen installeras när användaren väljer det från Add or Remove Program i kontrollpanelen. Distribueringspunkt för mjukvara Dokumentaktivering applikationen installeras när användaren dubbelklickar på en _il med okänd _iltyp.?

25 GPO GP Installation Felsökning Jacob Lindehoff 25