Zasady grupowe

 

 

Cel: opanowanie zadań związanych z: 

•

 

zapoznanie się z opcjami, które są konfigurowane za pomocą 
zasad grupowych, 

•

 

opanowanie tworzenia obiektów GPO dla róŜnych obiektów w 
domenie, 

•

 

zrozumienie zasad przetwarzania GPO wraz z opcjami Nie 
zastępuj oraz Zablokuj dziedziczenie, 

•

 

przypisywanie obiektów GPO do grup zabezpieczeń. 

 

 

NajwaŜniejsze informacje: 

Obiekty  zasad  grupowych  (GPO)  mogą  być  przypisywane  do 
następujących  obiektów  Active  Direktory:  lokalny  komputer,  lokacja, 
domena, jednostka organizacyjna. 

KaŜdy  obiekt  składa  się  z  dwóch  podstawowych  węzłów 
(konfiguracja komputera oraz uŜytkownika) rys. 1. 

 

Rys. 1. Lokalny obiekt zasad grupy 

Dla  większości  ustawień  stan  parametru  moŜe  przyjmować  wartość: 
włączone, wyłączone lub nie skonfigurowano (rys. 2). 

 

 

Rys. 2. MoŜliwe wartości parametru dla opcji Usuń ikonę Kosz z pulpitu 

Poza  komputerem  lokalnym,  kaŜdy  obiekt  moŜe  mieć  przypisanych 
więcej niŜ jeden obiekt GPO (rys. 3 domena reskit.com posiada GPO 
oznaczone A1, A2I) 

 

Rys. 3. Przykład przydziału GPO w domenie 

(http://www.microsoft.com/poland/windows2000/win2000serv/SYS_ROZ/roz22.mspx#1) 

Zasady grup są przetwarzane hierarchiczne, w następującej kolejności: 
lokalny  komputer,  lokacja,  domena,  jednostka  organizacyjna 
nadrzędna, jednostka organizacyjna podrzędna. 

Domyślnie  zasady  ustawione  w  dole  hierarchii  zastępują  zasady 
ustawione wcześniej (ustawienie Nie skonfigurowano nie ma wpływu 
na wcześniejsze ustawienia) 

Jeśli  obiekt  ma  przypisanych  kilka  obiektów  GPO  to  ich  kolejność 
przetwarzania  ustawiana  jest  administracyjnie  (od  dołu  listy  –  rys.  3 
dla domeny  reskit.com na początku A2, później A1).  

 

Opcja  Nie  zastępuj  ustawiona  dla  obiektu  GPO  powoduje,  Ŝe  zasady 
przetwarzane później nie będą brane pod uwagę. 

Opcja  Zablokuj  dziedziczenie  blokuje  dziedziczenie  z  góry  hierarchii 
(nie ustawia się jej dla lokacji) 

W przypadku  konfliktu  opcja  Nie  zastępuj  ma  pierwszeństwo  przed 
Zablokuj dziedziczenie.  

  

 

Zadania tydzień pierwszy: 
 
1. Stworzyć Jednostkę Organizacyjną i dla niej przypisać obiekt GPO: 
 
Proszę nie edytować zasad dla Domeny (wszystkie opcje naleŜy przećwiczyć dla własnej 
jednostki organizacyjnej lub hierarchii jednostek) 
 

1.

 

Otwórz przystawkę UŜytkownicy i komputery usługi Active Directory.  

2.

 

W drzewie konsoli kliknij prawym przyciskiem myszy jednostkę organizacyjną, dla 
której chcesz ustawić zasady grupy.  

3.

 

Kliknij polecenie Właściwości, a następnie kliknij kartę Zasady grupy.  

4.

 

Wykonaj jedną z następujących czynności:  

o

 

Aby utworzyć nowy obiekt zasad grupy, kliknij przycisk Nowy, wpisz nazwę 
nowego obiektu zasad grupy, a następnie kliknij przycisk Edytuj.  

o

 

Aby zmodyfikować istniejący obiekt zasad grupy, kliknij obiekt zasad grupy 
na liście, a następnie kliknij przycisk Edytuj.  

2. Zapoznać się z opcjami, które znajdują się w zasadach grupowych. 

3. Porównać opcje z p.2 z Zasadami lokalnego komputera (nie edytować !!!) – dostęp między 
innymi przez: gpedit.msc /gpcomputer. 

4. Dla szybszego sprawdzania wprowadzonych zmian dla Zasad grupy własnej JO ustawić 
minimalny interwał odświeŜania zasad (jaki jest domyślny czas odświeŜania) – rys. 4. 

5. Przetestować działanie opcji znajdujących się między innymi w węzłach: 

Konfiguracja uŜytkownika 

→

  Szablony administracyjne 

→

  Pulpit  

Konfiguracja uŜytkownika 

→

  Szablony administracyjne 

→

  Panel sterowania 

 i innych. 

 

 

Rys. 4. Ustawienie interwału odświeŜania zasad dla węzła Konfiguracja uŜytkownika  

(dotyczy tylko opcji z tego węzła) 

 
 
 
Zadania tydzień drugi: 

1.

 

Stworzyć  dla  własnej  jednostki  organizacyjnej  kilka  obiektów  zasad  grupowych  (rys.  5), 
dla  kaŜdego  z  nich  skonfigurować  jeden  parametr  (np.  Usuń  ikonę  Mój  Komputer  z 
pulpitu) w trzech róŜnych ustawieniach Włączone, Wyłączone oraz  Nie skonfigurowano.  
a.

 

Skorzystać  z  polecenia  gpupdate.exe  do  wymuszenia  odświeŜenia  zasad  (po 
wykonaniu  tego  polecenia  dla  opcji  związanych  z  pulpitem  naleŜy  uŜyć  polecenia 
OdświeŜ z menu kontekstowego).  

b.

 

Sprawdzić  jaka  jest  kolejność  przetwarzania  zasad  (tzn.  z  jakim  ustawieniem  będzie 
obowiązywała zasada) – do zmiany kolejności przetwarzania uŜyć przycisków: W dół 
lub W górę. 

c.

 

Sprawdzić działanie opcji Nie zastępuj dostępnej z przycisku Opcje (rys. 6). Wyjaśnić 
wpływ tej opcji na kolejność przetwarzania zasad. 

d.

 

Skorzystać  z  Wynikowego  zestawu  zasad    w  celu  ustalenia  jakie  ustawienia 
obowiązują dla wybranego uŜytkownika (rys. 7). 

 

 

Rys. 5. Trzy obiekty zasad grupowych przypisane dla jednej jednostki organizacyjnej 

 

 

Rys. 6. Włączona opcja Nie zastępuj dla zasady Zasada_WŁ 

 

 

 

 

Rys. 7. Uruchomienie kreatora tworzenia wynikowego zastawu zasad 

 

2.

 

Przypisać obiekt zasad grupy do grupy zabezpieczeń: w tym celu naleŜy  wybrać przycisk 
Właściwości a następnie skorzystać z karty Zabezpieczenia. Dla wybranego uŜytkownika 
lub  grupy  zabezpieczeń  ustawić  opcje,  które  opisane  są  w  Tab.  1  i  okazane  na  rys.  8. 
Usunąć  grupę  UŜytkownicy  uwierzytelnieni.  (Ustawienia  zasad  grupy  wpływają  tylko  na 
tych  uŜytkowników  i  te  komputery,  które  naleŜą,  w  tym  przypadku,  do  danej  jednostki 
organizacyjnej). 

Wykonać punkty tak jak w p.1.b oraz 1.c. 

Tab. 1 Opis opcji dla przypisania zasad grupowych do grup zabezpieczeń 

Zamiar 

Uprawnienia 

Wynik 

Dany obiekt zasad 
grupy powinien być 
stosowany do 
członków tej grupy 
zabezpieczeń. 

Ustaw uprawnienie 
Stosowanie zasad grup na 
wartość Zezwalaj. Ustaw 
uprawnienie Odczyt na 
wartość Zezwalaj. 

Dany obiekt zasad grupy jest 
stosowany do członków tej grupy 
zabezpieczeń, chyba Ŝe są oni 
członkami przynajmniej jednej grupy 
zabezpieczeń, w której uprawnienie 
Stosowanie zasad grup, Odczyt lub 
oba te ustawienia mają wartość 
Odmawiaj. 

Członkowie tej 
grupy zabezpieczeń 
są wykluczeni z 
danego obiektu 
zasad grupy. 

Ustaw uprawnienie 
Stosowanie zasad grup na 
wartość Odmawiaj. Ustaw 
uprawnienie Odczyt na 
wartość Odmawiaj. 

Dany obiekt zasad grupy nigdy nie 
jest stosowany do członków tej grupy 
zabezpieczeń, niezaleŜnie od 
uprawnień, jakie członkowie ci mają 
w innych grupach zabezpieczeń. 

 

 

 

Rys. 8. Edycja karty Zabezpieczenia dla obiektu zasad grupowych 

3.

 

Stworzyć  hierarchię  jednostek  organizacyjnych  i  przetestować  opcję  Zablokuj 
dziedziczenie zasad, którą ustawia się dla wybranego obiektu – rys. 9. Pokazać, Ŝe opcja 
Nie zastępuj ma pierwszeństwo przed Zablokuj dziedziczenie. 

4.

 

Zapoznać się z opcjami z następujących węzłów: 

Konfiguracja uŜytkownika 

→

  Szablony administracyjne 

→

  System 

→

 Profile 

uŜytkownika 

Konfiguracja uŜytkownika 

→

  Szablony administracyjne 

→

  Sieć 

→

 Połączenia 

sieciowe 

Konfiguracja uŜytkownika 

→

 Ustawienia systemu Windows 

→

 Przekierowanie folderu 

 

 

 

Rys. 9. Zastosowanie opcji Zablokuj dziedziczenie zasad dla JO_test_podrz 

 

 

 

Zadania tydzień trzeci: 

Działanie  i  mechanizm  przetwarzania  zasad  zostanie  przećwiczony  na  opcji  Zamykanie 
systemu,  która  pozwala  na  zamknięcie  systemu  z  menu  Start.    Opcja  ta  znajduje  się  w 
Konfiguracja  komputera 

→

  Ustawienia  systemu  Windows 

→

    Ustawienia  zabezpieczeń 

→

 

Zasady lokalne 

→

  Przypisywanie praw uŜytkownika. 

1.

 

Sprawdzić  czy  na  komputerze,  który  jest  członkiem  domeny  moŜna  edytować  lokalny 
zestaw  zasad  grupy.  Jeśli  nie  ma  takiej  moŜliwości  to  naleŜy  odpowiednie  konto 
uŜytkownika dodać do lokalnej grupy komputera – Administratorzy. 

2.

 

Sprawdzić  jakie  są  właściwości  opcji  Zamykanie  systemu  na  komputerze  członkowskim 
(lokalne zasady grupy). 

3.

 

Sprawdzić  jakie  są  właściwości  tej  opcji  dotyczące  komputerów  w  domenie  –    na 
komputerze, który jest kontrolerem domeny naleŜy edytować GPO dotyczący domeny lub 
wykorzystać  skrót  do  węzła  Ustawienia  zabezpieczeń  dostępny  z  menu  Start 

→

  

Programy 

→

 Zasady zabezpieczeń domeny. 

4.

 

Stworzyć  konto  testowe  dla  uŜytkownika  oraz  konto  testowe  grupy  zabezpieczeń  (dodać 
uŜytkownika  do  grupy),  zalogować  się  na  komputerze  członkowskim,  korzystając  z  tego 
konta. Czy moŜna zamknąć system z menu Start ? 

5.

 

UmoŜliwić  danemu  uŜytkownikowi  (grupie)  zamykanie  systemu  przez  edycję 
odpowiedniej opcji znajdujące się w zasadach dotyczących domeny (patrz p. 3). 

6.

 

Czy uŜytkownik moŜe po powtórnym zalogowaniu zamykać system ? 

7.

 

Co  naleŜy  wykonać,  aby  było  to  moŜliwe  ?  NaleŜy  doprowadzić  do  sytuacji  aby  w 
lokalnych zasadach grupy (komputer członkowski) była  widoczna sytuacja przedstawiona 
na  rys.  10  –    opcja  Zamykanie  systemu  ma  inną  ikonę  niŜ  pozostałe,  co  oznacza,  Ŝe  jej 
wartość  została  w  lokalnych  zasadach  grupy  nadpisana  przez  zasady  obowiązujące  w 
domenie. 

 

  

Rys. 10. Przykład zastąpienia lokalnych zasad grupy 

 

Pytania i zadania  do samodzielnego wykonania: 

Kto posiada oprócz grupy testowej prawa do zamykania tego systemu?  

Zezwolić grupie testowej na logowanie się do kontrolera domeny. 

Zezwolić grupie testowej na przejmowanie na własność obiektów systemu plików tylko na 
komputerze członkowskim. 

Jaką opcję naleŜy skonfigurować aby uŜytkownik nie zalogowany maił (nie miał) moŜliwość 
zamykania systemu ?