1DV416 Windowsadministration I, 7.5hp MODULE 4 GROUP POLICY, STORAGE AND ACCESS CONTROLS GROUP POLICY

1DV416 Windowsadministration I, 7.5hp MODULE 4 GROUP POLICY, STORAGE AND ACCESS CONTROLS GROUP POLICY

Lecture content Today's lecture Group Policy Överblick Administration Exempel 2013-12- 17 2013 Jacob Lindehoff 2

2013-12- 17 2013 Jacob Lindehoff 3 Introduk-on -ll gruppolicys Gruppolicys gör det möjligt att: tilldela centraliserade policys tillförsäkra att en användare har den obligatoriska användarmiljön upprätthålla företagspolicys Site Användare Admin GPO Domän OU Datorer Administratören sätter en gruppolicy en gång Windows Server tilldelar den kontinuerligt

2013-12- 17 2013 Jacob Lindehoff 4 Olika typer av gruppolicyinställningar Olika typer av gruppolicys: Administrativa mallar registerbaserade gruppolicyinställningar Security inställningar för lokal-, domän- och nätverkssäkerhet Software Installation inställningar för centraliserad installation av mjukvara Scripts uppstart, avstängning, inloggning och utloggning Remote Installation Service inställningar till klientinstallations- wizarden som används för RIS Internet Explorer Maintenance inställningar för administratören för att skräddarsy MS IE Folder Redirection inställningar för att lagra speci_ika användarkataloger på en central server

2013-12- 17 2013 Jacob Lindehoff 5 GPO- objekt och AD- containrar Gruppolicyinställningar påverkar endast användare- och datorobjekt Man länkar ett gruppolicyobjekt till en site, domän eller ett OU och det aktuella GPOt påverkar endast de objekt som _inns inom dessa En gruppolicy kan länkas till en eller _lera sites, domäner eller organisationsenhet Man kan länka _lera gruppolicys till en site, domän eller organisationsenhet Site- GPO Kan inte länkas till standard containers Domän- GPO Site Domän- GPO OU OU OU- GPO OU Domän OU OU- GPO OU Domän OU

Gruppolicyinställningar Gruppolicyinställningar för datorer Datorer speci_icerar operativsystemets uppförande skrivbordsinställningar säkerhetsinställningar datorns uppstarts- och avstängnings- script datortilldelade applikationsval applikationsinställningar Gruppolicyinställningar för användarkonton Användare speci_icerar operativsystemets uppförande skrivbordsinställningar säkerhetsinställningar tilldelade och publicerade applikationsinstallationer applikationsinställningar katalogomdirigeringsval användarinloggnings- och användarutloggningsscript 2013-12- 17 2013 Jacob Lindehoff 6

2013-12- 17 2013 Jacob Lindehoff 7 Demo Demo Skapa en GPO

Gruppolicy arv 1.) Site 2.) Domän 3.) OU Windows 2000/2003 tilldelar GPO- inställningar i en speci_ik ordning Domän- GPO Domän Development Tilldelningen av GPO sker i följande ordning 1. Lokal grupprinciper 2. Grupprinciper för Siten 3. Grupprinciper för Domänen 4. Grupprinciper för organisationsenheten 5. Grupprinciper för dotterorganisationsenheten Datorer Användare 2013-12- 17 2013 Jacob Lindehoff 8

Konflikter mellan gruppolicyinställningar Kon_likter mellan gruppolicyinställningar: alla gruppolicys appliceras om det inte uppstår kon_likter gruppolicyn lägst ner i Active Directory hierarkin appliceras den översta gruppolicyn i GPO- listan appliceras datorpolicyn har högre prioritet än användarpolicyn 2013-12- 17 2013 Jacob Lindehoff 9

Hur gruppolicys -lldelas Olika gruppolicys: GPO1 ser till att favoriterna _inns på startmenyn. GPO2 kräver ett lösenord på minst 11 bokstäver och tecken. GPO3 tar bort Windows Updateikonen från startmenyn. GPO4 tar bort favoriterna från startmenyn och lägger till Windows Update- ikonen. Vad är resultatet av gruppolicyinställningarna för OU:n? Site Domän OU GPO1 GPO2 GPO3 GPO4 Svar: Eftersom Windows läser gruppolicyinställningar från siten och nedåt till organisationsenheten så kommer OU:n få följande inställningar: Site favoriterna kommer att _innas tillgängliga på startmenyn. Domän favoriterna kommer att _innas tillgängliga på startmenyn, du måste använda dig av ett lösenord med mer än 11 tecken och update- ikonen kommer inte att _innas på startmenyn. OU favoriterna kommer inte att _innas på startmenyn, update- ikonen kommer att _innas på startmenyn och du måste använda dig av ett lösenord med mer än 11 tecken. 2013-12- 17 2013 Jacob Lindehoff 10

Kontrollera hanteringen av gruppolicys Uppdateringsintervall: 5 minuter, för domänkontrollanter 90 minuter, för icke domänkontrollanter 2013-12- 17 2013 Jacob Lindehoff 11

2013-12- 17 2013 Jacob Lindehoff 12 Blockera arvet Blockera arvet: Går inte att välja särskilda GPOs att blockera Enforced har högre prioritet Produktion GPO:s Blockering av arvet Inga GPO- inställningar tilldelas Försäljning

2013-12- 17 2013 Jacob Lindehoff 13 Ak-vera Enforced No Override GPO- inställningar Produktion Enforced: går över blockering av arvet Appliceras högt i ADet Appliceras på länkar och inte GPOer Försäljning Blockering av arvet, men gruppolicyn tilldelas eftersom den är satt till Enforced. Domän- GPO- inställningar tilldelas

Filtrera GPO- inställningar Gruppolicyn appliceras på alla användarkonton och datorer som residerar i containern den är länkad till, men: GPO har en ACL Kan sätta vilka användare/grupper/datorer som har rättighet att applicera GPOt Kan även sätta vem som har rättigheter att modi_iera GPOt 2013-12- 17 2013 Jacob Lindehoff 14

2013-12- 17 2013 Jacob Lindehoff 15 Filtrera GPO- inställningar Precis som vanliga Deny En sista utväg Försvårar administration och felsökning Maria Carl Grupp Filtrera gruppolicy inställningar genom att: explicit neka Apply group- policy-rättigheter. explicit utelämna Apply grouppolicy-rättigheten. Tillåter Read och Apply grupppolicy Nekar Apply grouppolicy

Administrera GPO 2013-12- 17 2013 Jacob Lindehoff 16

2013-12- 17 2013 Jacob Lindehoff 17 Gruppolicyskrip-nställningar Gruppolicyskriptinställningar: Datorn Uppstart/Avstängning Script Användaren Inloggning/Utloggning Datorkon_iguration Uppstart/Avstängning Användarkon_iguration Inloggning/Utloggning

Group Policy Skripts Både för datorn och användare Användare In och ut- loggning Dator Uppstart och avstängning Möjlighet att köra _ler än ett skript 2013-12- 17 2013 Jacob Lindehoff 18

GP Skript 2013-12- 17 2013 Jacob Lindehoff 19

2013-12- 17 2013 Jacob Lindehoff 20 Felsökningsverktyg för gruppolicys Hjälpfulla kommandon: gpupdate gpresult Hjälpfulla kommandon i Resource Kit Tools: netdiag dcdiag replmon

Group Policy Felsökning Felsökning Event Viewer Sparar information om vad som gått fel GPResult Kommando Listar vilka GPOer som har applicerats 2013-12- 17 2013 Jacob Lindehoff 21

Group Policy Installa-on av program MSI installation Både för datorn och användare Publiched Assigned Användaren måste installationsrättigheter Datorn har automatiskt rättigheter Måste vara MSIpacket 2013-12- 17 2013 Jacob Lindehoff 22

2013-12- 17 2013 Jacob Lindehoff 23 Tilldela mjukvara Tilldela/Assigned mjukvara: Tilldelar en användarkon_iguration applikationen installeras nästa gång användaren aktiverar/använder applikationen. Distribueringspunkt För mjukvara Tilldelar en datorkon_iguration applikationen installeras nästa gång datorn startas upp.

2013-12- 17 2013 Jacob Lindehoff 24 Publicera mjukvara Publicera/Publiched mjukvara: Lägga till och radera program applikationen installeras när användaren väljer det från Add or Remove Program i kontrollpanelen. Distribueringspunkt för mjukvara Dokumentaktivering applikationen installeras när användaren dubbelklickar på en _il med okänd _iltyp.?

GPO GP Installation Felsökning 2013-12- 17 2013 Jacob Lindehoff 25