Administracja systemami operacyjnymi
Instalacja usługi Active Directory na przykładzie Windows Server 2008 R2
Po pierwsze: należy zmienić domyślną nazwę komputera (łatwiej będzie w przyszłości odwoływać się do serwera jeśli uprościmy jego nazwę).
Po drugie: należy określić hasło dostępu dla konta Administrator (jeśli zrobiliście to wcześniej, krok ten należy pominąć, natomiast jeśli nie, to należy go wykonać ponieważ instalacja AD bez nadania hasła dla tego konta nie powiedzie się).
Zmiana nazwy komputera
Aby wykonać tą czynność klikamy w ikonę serwera znajdującą się na pasku zadań obok przycisku START i wybieramy opcję Change System Properities
W kolejnym kroku wybieramy Change
Następnie nadajemy nazwę komputera – w moim przypadku jest to sever_ad i potwierdzamy zmiany kilkając w przycisk OK
WAŻNE: W tym momencie system „zaprotestuje” ponieważ w nazwie pojawił się symbol podkreślnika (_), jednak nie musimy się tym nadto przejmować i możemy potwierdzić zamiany w komunikacie, który się pojawił. Aby system zapisał zmiany w konfiguracji niezbędne jest jego ponowne uruchomienie.
Określenie hasła dla konta Administrator
Aby wykonać tą czynność ponownie klikamy w ikonę serwera znajdującą się na pasku zadań obok przycisku START i tym razem rozwijamy element Configuration -> Local Users i wybieramy folder Users
Następnie klikamy prawym przyciskiem myszy na konto Administrator, wybieramy opcję Set Password i potwierdzamy chęć nadania hasła dla konta klikając Proceed
Wpisujemy hasło – w moim przypadku będzie to !QAZ2wsx i potwierdzamy przyciskiem OK
Jeśli nasze hasło spełnia wymagania określone w Password Policy (Zasadach haseł – o tym szerzej w kolejnych wpisach) pojawi się komunikat identyczny z poniższym
Kolejnym ważnym krokiem przy instalacji AD jest przypisanie odpowiednich adresów IP dla poszczególnych interfejsów sieciowych. Przypominam, że nasz serwer posiada dwa interfejsu sieciowe:
Pierwszy – łączący serwer z siecią zewnętrzną (dalej będziemy określać go jako WAN), którego postać zależy od tego do jakiej sieci podłączony jest nasz serwer i tak:
Jeśli nasz serwer pracować będzie w sieci o adresie 192.168.1.0/24 to adres interfejsu WAN musi zawierać się w przedziale od 192.168.1.1 do 192.168.1.254.
Pamiętać jednak należny o tym, że w tej sieci pracują już zapewne
urządzenia i należy wiedzieć, które z adresów z w/w puli są już zajęte, a
które wolne. Z dużą dozą prawdopodobieństwa można stwierdzić, że adres 192.168.1.1 jest
już zajęty, ponieważ jest to pierwszy adres w sieci i zawsze
rezerwowany jest przez bramę domyślną (inny serwer lub ruter), dodatkowo
jeśli jest na nim uruchomia usługa DHCP to pewnie zakres adresów jest
przydzielany automatycznie, zatem aby uniknąć problemów wybieramy adres
inny niż te określone w zakresie DHCP. Aby dowiedzieć się jakie to
adresy, należy sprawdzić konfiguracje usługi DHCP na naszym urządzeniu.
Przykład: Mój serwer pracować będzie w sieci o adresie 192.168.0.0/24, usługa DHCP mojego routera przydziela adresy z zakresu od 192.168.0.101 do 192.168.0.200, a zatem mamy sporą swobodę w dobrze adresu i wybieram adres 192.168.0.10 dla interfejsu WAN mojego serwera.
Drugi – tworzący naszą wewnętrzną sieć (dalej będziemy określać go jako LAN),
dla niego ustawiamy inny adres, który będzie adresem sieci wewnętrznej,
w której będzie pracował nasz serwer Active Directory. W moim przypadku
będzie to adres 10.0.0.1.Przypisanie adresacji interfejsu WAN
Aby zmienić nazwę interfejsu oraz przypisać mu adres IP ponownie klikamy w ikonę serwera znajdującą się obok przycisku START i wybieramy opcję View Network Connections
WAŻNE:
przed zmianą nazwy należny sprawdzić, który z interfejsów łączy nasz
z siecią zewnętrzną, a który będzie tworzył sieć wewnętrzną, dopiero potem dokonywać zmian nazwy!
z siecią zewnętrzną, a który będzie tworzył sieć wewnętrzną, dopiero potem dokonywać zmian nazwy!
Następnie klikamy prawym przyciskiem myszy ikonę interfejsu, wybieramy opcje Rename
i zmieniamy nazwę interfejsu na WAN
i zmieniamy nazwę interfejsu na WAN
W kolejnym kroku klikamy prawym przyciskiem myszy na interfejs WAN i wybieramy Properites
Zaznaczamy Internet Protocol Version 4 i ponownie klikamy Properties
Nadajmy adresację, którą wybraliśmy wcześniej, uzupełniając o dane takie jak: maska podsieci: 255.255.255.0, adres bramy domyślnej (urządzenia łączącego nas z Internetem): 192.168.0.1 (jeśli nasza sieć ma adres 192.168.0.0 to brama jest zawsze pierwszym adresem następującym po adresie sieci, czyli 192.168.0.1), adres serwera DNS: taki sam jak bramy, czyli 192.168.0.1. Zmiany zatwierdzamy przyciskiem OK.
Przypisanie adresacji interfejsu LAN
Zmianę nazwy interfejsu oraz nadanie adresu dokonujemy w analogiczny sposób jak w przypadku interfejsu WAN. Nadajemy adres wybrany wcześniej, uzupełniamy pozostałe dane takie jak: maska podsieci: 255.255.255.0 oraz adres serwera DNS: 10.0.0.1 Zmiany zatwierdzamy przyciskiem OK.
Po wykonaniu (i sprawdzeniu poprawności!) powyższych czynności możemy przystąpić do właściwej instalacji usługi Active Directory, która składać się będzie z dwóch części:
Pierwsza: dodanie usługi serwera i instalacja .NET Framework
Druga: instalacja usługi Active Directory
Dodanie usługi serwera i instalacja .NET Framework
Ponownie klikamy w ikonę serwera i wybieramy opcję Add Roles
W pierwszym kroku instalacji system
poinformuje nas o czynnościach jakie powinny zostać przez nas wykonane
przed dodaniem roli serwera, my już wszystkie z nich wykonaliśmy
poprzednio, zatem aby ten krok nie pojawiał się już więcej przy
dodawaniu kolejnych ról, zaznaczamy opcję Skip this page by default i wybieramy Next
W kolejnym kroku pojawia się lista usług, które możemy zainstalować, wybieramy Active Directory Domain Services
W tym momencie pojawi się komunikat systemowy o konieczności instalacji wtyczki .NET Framework, zatwierdzamy operację klikając Add Required Feathure
Po poprawnym zaznaczeniu usługi do instalacji klikamy Next
Kolejne okno to informacje systemowe związane z samą usługą Active Directory, potwierdzamy zapoznanie się z nimi klikając Next
W ostatnim kroku kreatora widzimy
podsumowanie zawierające m.in. informacje o tym jakie czynności należny
wykonać po instalacji, potwierdzamy klikając Install
Jeśli wszystkie czynności wykonaliśmy
poprawnie, wówczas pojawi się komunikat podobny do tego poniżej. Widać
tutaj, że system wykrył, iż automatyczne aktualizacje są wyłączone więc
mile widziane jest ich włączenie w celu wyeliminowania podobnych
komunikatów. Klikamy Close celu zakończenia instalacji
Instalacja usługi Active Directory
Klikamy przycisk START, w polu Search programs and files wpisujemy dcpromo.exe potwierdzamy przyciskiem Enter na klawiaturze
Ponownie pojawi się komunikat o nazwie zawierającej znak specjalny, ale i tym razem go ignorujemy i wybieramy opcję Continue
W pierwszym kroku kreatora instalacji nie dokonujemy żadnych modyfikacji i klikamy Next
Kolejny krok instalatora to ostrzeżenie o
tym, iż system Windows Server 2008 oraz Windows Server 2008 R2 nie
wspierają już rozwiązań bezpieczeństwa stosowanych w starszych wersjach
systemu, w naszym przypadku nie ma to znaczenia więc ponownie klikamy Next
Tworzymy całkiem nowy las oraz domenę więc w następnym kroku wybieramy opcję Create a new domain in a new forest i klikamy Next
Następnie nadajemy nazwę domeny (domowa), będzie to domena lokalna więc po nazwie wpisujemy .local i klikamy Next
Teraz system sprawdzi czy nazwa, która
podaliśmy już istnieje, jeśli nie, wówczas pojawi się kolejne okno
kreatora, w którym określimy z jakimi serwerami wstecznymi nasz serwer
(a właściwie las domen, który stworzyliśmy wcześniej) będzie
kompatybilny. Zostajemy przy opcji domyślnej i klikamy Next
W kolejnym kroku nie dokonujemy żadnych zmian i klikamy Next
Jeśli pojawi się ostrzeżenie o serwerze DNS, ignorujemy je klikając Yes
Następnie pojawia się okno z informacją o ścieżkach do katalogów Active Directory, również nie dokonujemy w nim żadnych modyfikacji i klikamy Next
Kolejny krok to nadanie hasła do
odzyskiwania usług katalogowych, w moim przypadku jest to takie samo
hasło jak dla konta Administrator, czyli !QAZ2wsx. Po wpisaniu hasła klikamy Next
Kolejny krok to podsumowanie, jeśli wszystkie informacje tam zawarte pokrywają się z tym co zamierzaliśmy wybieramy Next
Następuje instalacja usługi, która może potrwać od kilku do kilkunastu minut
Po instalacji usługi pojawi się komunikat widoczny poniżej, aby zakończyć proces instalacji klikamy Finish, następnie restartujemy nasz serwer.
W tym momencie zakończyliśmy instalację
usługi Active Directory. Kiedy serwer uruchomi się na nowo, wówczas
będziemy mogli korzystać z niego logując się na konto Administrator
podając hasło ustawione na początku, zauważyć należy, iż przed nazwą
użytkownika pojawiła się nazwa naszej domeny, oznacza to, iż cały proces
instalacji przebiegł poprawnie.
Korzystanie z usługi Active Directory
Korzystanie z usługi Active Directory należy rozpocząć od stworzenia nowego konta z uprawnieniami administratora oraz od wyłączenia konta Administrator – wynika to ze względów bezpieczeństwa, nie powinno korzystać się z domyślnego konta do zarządzania systemem.
Aby dokonać zmian konfiguracyjnych użytkowników klikamy w ikonę serwera znajdującą się obok przycisku START, rozwijamy element Roles -> Active Directory Domain Services ->Active Directory Users and Computers -> domowa.local i klikamy w Users
Następnie klikami prawym przyciskiem myszy na konto Administrator i wybieramy Copy (jest to najprostszy sposób stworzenia konta z uprawnieniami administratora)
Uzupełniamy formularz tworzenia nowego konta (nie trzeba wypełniać wszystkich pół, wystarczy podać First name oraz User logon name, w moim przypadku są takie same, pole Full name wypełni się automatycznie) i klikamy Next
Wpisujemy hasło, w moim przypadku !QAZ2wsx, pozostałe opcje pozostawiamy bez zmian i klikamy Next
Zatwierdzamy zmiany klikając Finish
Jak widzimy konto konserwator zostało utworzone
Na koniec wyłączamy konto Administrator, klikając prawym przyciskiem myszy i wybierając Disable Account
Po prawidłowym wykonaniu operacji ukarze się komunikat taki jak poniżej
Aby zmienić adres IP komputera należy
zalogować się na lokalne konto a uprawnieniami administratora, kliknąć w
ikonę sieci znajdującą się w prawej, dolnej części ekranu i wybrać Otwórz Centrum sieci i udostępniania
Następnie klikamy w Zmień ustawienia karty sieciowej
Klikamy prawym przyciskiem myszy na połączenie sieciowe i wybieramy Właściwości
Wybieramy Protokół internetowy w wersji 4 i klikamy Właściwości
Uzupełniamy adresację, i tak: adres IP: 10.0.0.2 (kolejny po adresie naszego serwera), maskę podsieci: 255.255.255.0 oraz bramę domyślną i adres serwera DNS: 10.0.0.1 (czyli adres naszego serwera) i zatwierdzamy zmiany klikając OK
System poprosi nas teraz o wybranie rodzaju sieci z jaką się łączymy, wybieramy Sieć firmowa
Zatwierdzamy zmiany klikając Zamknij
Przed właściwym procesem dodawanie
komputera do domeny zaleca się sprawdzenie komunikacji pomiędzy serwerem
a klientem, jak widzicie poniżej w moim przypadku zadziałało polecenie ping wysłane do bramy co oznacza właściwą konfigurację sieci
Aby dodać komputer do domeny klikamy w przycisk START, prawym przyciskiem myszy klikamy w Komputer i wybieramy Właściwości
Klikamy w Zmień ustawienia obok nazwy naszego komputera
Wybieramy Identyfikator sieciowy
Nie dokonujemy modyfikacji i klikamy Dalej
Ponownie brak modyfikacji i klikamy Dalej
Zbieramy potrzebne informacje, o których informuje nas system i klikamy Dalej
Podajemy nazwę użytkownika, hasło oraz domenę (jest to nazwa użytkownika stworzonego poprzednio w Active Directory) i klikamy Dalej
Nadajmy nazwę naszego komputera oraz domenę (nazwę komputera można nadać dowolną) i klikamy Dalej
Podajemy jeszcze raz nazwę użytkownika, hasło oraz domenę i klikamy OK
Klikamy Zakończ, aby wykonać restart komputera
Teraz możemy już zalogować się do naszego komputera klienckiego korzystając z konta użytkownika domenowego.
Instalacja i konfiguracja serwera DHCP na przykładzie Windows Server 2008 R2
Usługa DHCP pozwala na automatyczne uzyskiwanie przez komputery klienckie adresów IP, co upraszcza zadanie administratorowi ponieważ nie musi on przypisywać kolejnym komputerom adresów ręcznie. Poza kilkoma sytuacjami kiedy adres powinien być przypisany „na sztywno” (statycznie) takie rozwiązanie jest wygodniejsze.
Aby zainstalować usługę DHCP w naszym systemie klikamy w ikonę serwera znajdującą się obok przycisku START, klikamy element Roles i wybieramy Add roles
Z listy dostępnych ról zaznaczamy DHCP Server i klikamy Next
Zapoznajemy się z informacjami
przekazanymi przez system (jest tu mowa m.in. o tym, że komputer, którym
będziemy instalować naszą usługę powinien mieć statycznie przypisany
adres IP, my zrobiliśmy już to wcześniej) i klikamy Next
Wybieramy interfejs, na którym usługa DHCP ma działać (DHCP ma przydzielać adres komputerom w naszej sieci wewnętrznej więc zaznaczamy tylko interfejs o adresie 10.0.0.1 czyli LAN) i klikamy Next
Sprawdzamy poprawność danych, czyli nazwę domeny oraz adres serwera DNS (jest on taki sam sam jak adres naszego interfejsu LAN), klikamy Validate obok adresu serwera DNS i jeśli pojawi się zielona ikona klikamy Next
W następnym kroku zaznaczamy opcję Wins is not required for applications on this network i klikamy Next
Następnie klikamy Add… aby określić zakres adresów IP przydzielanych przez DHCP
Wprowadzamy potrzebne dane, takie jak: opis, zakres adresów, maskę podsieci oraz adres bramy (są to dane, które również będą przydzielana dla klientów automatycznie przez serwer), zaznaczamy opcję Activate this scope i klikamy OK
Rzutem oka sprawdzamy czy nazwa i zakres adresów się zgadzają i klikamy Next
Następnie zaznaczamy opcję Disable DHCPv6… (można zaznaczyć Enable… jednak na ten moment przydzielanie adresów IPv6 nie będzie potrzebne) i klikamy Next
Kolejny krok to zaznaczenie opcji Use current credentails, które pozwoli dokonać autoryzacji usługi DHCP (jest to niezbędne do tego, aby DHCP współdziałało z Active Directory), następnie i klikamy Next
Sprawdzamy w podsumowaniu czy wszystko się zgadza i klikamy Install
Serwer został zainstalowany poprawnie
Po zakończeniu instalacji usługi DHCP uruchamiamy komputer kliencki i dokonujemy zamian w konfiguracji sieci
Logujemy się na konto konserwator (przypominam,
że jest to konto stworzone po instalacji usługi Active Directory),
klikamy w ikonę sieci znajdującą się w prawej, dolnej części ekranu i
wybieramy Otwórz Centrum sieci i udostępniania
Następnie klikamy w Zmień ustawienia karty sieciowej
Klikamy prawym przyciskiem myszy na połączenie sieciowe i wybieramy Właściwości
Wybieramy Protokół internetowy w wersji 4 i klikamy Właściwości
Wybieramy opcję Uzyskaj adres IP automatycznie oraz Uzyskaj adres serwera DNS automatycznie i klikamy OK
Sprawdzamy teraz konfigurację sieciową naszego komputera wykonując polecenie ipconfig w wierszu poleceń, jak widać komputer uzyskał pierwszy adres z puli ustawionej wcześniej na serwerze
Instalacja i konfiguracja routingu na przykładzie Windows Server 2008 R2
Kolejnym etapem przy wdrażaniu usług serwerowych Windows jest instalacja i konfiguracja usługi, która pozwoli użytkownikom końcowym na korzystanie z sieci internet, trudno bowiem obecnie wyobrazić sobie prace użytkowników, bez dostępu do Internetu. Za dostęp ten w systemach Windows odpowiada usługa Routingu.
Aby zainstalować usługę Routingu w naszym systemie klikamy w ikonę serwera znajdującą się obok przycisku START, klikamy element Roles i wybieramy Add roles
Z listy dostępnych ról zaznaczamy Network Policy i and Access Services i klikamy Next
Zapoznajemy się z informacjami przekazanymi przez system i klikamy Next
Z dostępnej listy usług wybiera Routing and Remote Access Services (usługi poniżej zostaną znaczone automatycznie) i klikamy Next
Ponownie zapoznajemy się z informacjami przekazanymi przez system i klikamy Install
Jeśli proces instalacji przebiegnie właściwie ukaże nam się komunikat jak poniżej
To dopiero pierwsza część w procesie instalacji usługi Routingu na
naszym serwerze, teraz nastąpi właściwa jej część, która pozwoli nam na
jej konfigurację oraz uruchomienie. Pomoże nam w tym prosty
konfigurator.
Aby uruchomić konfigurator usługi Routingu rozwijamy z listy ról Network Policy and Access Services, prawym przyciskiem myszy klikamy w Routing and Remote Access Services i wybieramy Configure and Enable Routing and Remote Access
Po uruchomieniu kreatora klikamy Next
Wybieramy usługę, którą chcemy skonfigurować – w naszym przypadku jest NAT (Network
Address Translation), usługa zamieniająca adresy prywatne na publiczne,
co jest niezbędne do tego aby komputery w sieci wewnętrznej mogły
korzystać z sieci Internet, następnie klikamy Next
Określamy interfejs, na którym usługa ma być włączona (i tak w przypadku tej usługi musi być to interfejs WAN, inaczej niż w przypadku DHCP, gdzie wybieraliśmy LAN – przyp.) i klikamy Next
Klikamy Finish i następuje konfiguracja usługi
Aby sprawdzić poprawność instalacji i
konfiguracji usługi, najlepiej uruchomić komputer kliencki, włączyć
przeglądarkę internetową i sprawdzić czy wyświetla strony WWW.
Jak widać na poniższym zrzucie wszystko działa i komputer kliencki ma już dostęp
do sieci Internet
do sieci Internet
Profil mobilny użytkownika na przykładzie Windows Server 2008 R2
Profil użytkownika systemu Windows zawiera zbiór plików (pliki zapisane na pulpicie,
w folderze Dokumenty czy Obrazy) oraz ustawień zapisywanych na lokalnym komputerze
w folderze Users (w przypadku systemu Windows 7). Przy każdorazowym logowaniu się do komputera, użytkownik ma dostęp do tych plików, jak również swoich ustawień, takich jak tło pulpitu czy kompozycja. Wszystko jest dobrze kiedy użytkowników korzysta tylko z jednej maszyny w swojej pracy, problem pojawia się kiedy korzysta w wielu komputerów, ponieważ każdorazowo musi dokonywać zmian ustawień czy kopiować swoje pliki, co jest dość uciążliwe. Czy tak musi być? Otóż nie, istnieje rozwiązanie, które pozwala na przenoszenie plików i ustawień razem z użytkownikiem, bez względu na to z jakiego komputera korzysta. Rozwiązanie to nazywa się mobilnym profilem użytkownika, zwanym czasem „profilem wędrującym”. Zmiana profilu użytkownika z lokalnego na mobilny jest dość prosta, wyjaśnię ją w kilku krokach. Na początek stworzymy na dysku C naszego serwera folder o nazwie profile , który będzie zawierał profile użytkowników i udostępnimy go w sieci lokalnej, oczywiście możemy przeznaczyć na ten cel całą partycję lub dysk, nam dziś wystarczy tylko folder.
w folderze Dokumenty czy Obrazy) oraz ustawień zapisywanych na lokalnym komputerze
w folderze Users (w przypadku systemu Windows 7). Przy każdorazowym logowaniu się do komputera, użytkownik ma dostęp do tych plików, jak również swoich ustawień, takich jak tło pulpitu czy kompozycja. Wszystko jest dobrze kiedy użytkowników korzysta tylko z jednej maszyny w swojej pracy, problem pojawia się kiedy korzysta w wielu komputerów, ponieważ każdorazowo musi dokonywać zmian ustawień czy kopiować swoje pliki, co jest dość uciążliwe. Czy tak musi być? Otóż nie, istnieje rozwiązanie, które pozwala na przenoszenie plików i ustawień razem z użytkownikiem, bez względu na to z jakiego komputera korzysta. Rozwiązanie to nazywa się mobilnym profilem użytkownika, zwanym czasem „profilem wędrującym”. Zmiana profilu użytkownika z lokalnego na mobilny jest dość prosta, wyjaśnię ją w kilku krokach. Na początek stworzymy na dysku C naszego serwera folder o nazwie profile , który będzie zawierał profile użytkowników i udostępnimy go w sieci lokalnej, oczywiście możemy przeznaczyć na ten cel całą partycję lub dysk, nam dziś wystarczy tylko folder.
Aby udostępnić folder w sieci klikamy na niego prawym przyciskiem myszy
i wybieramy Properties
i wybieramy Properties
Następnie wybieramy zakładkę Sharing i klikamy Advanced Sharing
Zaznaczamy opcję Share this folder następnie klikamy Permissions aby nadać uprawnienia do udostępnionego zasobu
Nadajemy pełne uprawnienia dla wszystkich użytkowników (pod warunkiem, że wszyscy będą mieli profile mobilne) zazaczając Allow na uprawnienie Full Control i potwierdzamy klikając OK
Przechodzimy teraz do zarządzania usługą Acrive Directory,
prawym przyciskiem myszy klikamy w nazwę użytkownika, któremu chcemy
zmienić profil (ja zrobię to na przykładzie użytkownika, którego
stworzyłem już wcześniej) i klikamy Properties
Przechodzimy do zakładki Profile, w polu Profile path podajemy ścieżkę sieciową do zasoby, który będzie przechowywał profil, w moim przypadku jest to \server_adprofile%username% (zmienna systemowa %username% zwraca nazwę użytkownika więc ścieżka będzie taka sama dla wszystkich użytkowników) i potwierdzamy klikając OK
Od tej pory, wszelkie ustawienia użytkownika i pliki przechowywane na pulpicie oraz w folderach Dokumenty czy Obrazy
będą przechowywane na serwerze, a użytkownik logując się do dowolnego
komputera będzie takie same ustawienia oraz dostęp do swoich plików.
Jesteśmy w stanie wykonać te czynności konfigurując każdy komputer z osobna, jest to jednak czynność bardzo czasochłonna i niewygodna, a stopień tej „niewygody” wzrasta wraz z liczbą komputerów, którymi zarządzamy. Można również napisać skrypt, który wykona te zadania i uruchomić go na wszystkich komputerach, ale i to nie jest zbyt wygodne rozwiązanie, a czasem wręcz niemożliwe ponieważ nie wszystkie nasze pomysły możemy w skrypcie zapisać. I tutaj z pomocą przychodzą nam zasady grupy, o których mowa będzie w tym artykule.
Zasady grupy wykorzystują scentralizowany system zarządzania, co oznacza, że konfiguracja tych zasad odbywa się na serwerze i poprzez odpowiednie mechanizmy rozsyłana jest na komputery klienckie. Wszystkie ustawienia przez nas zdefiniowane przechowywane są w obiektach zasad grupy (ang. Group Policy Objects), a do zarządzania tymi obiektami służy konsola zarządzania zasadami grupy (ang. Group Policy Management Console).
Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:
Przejdziemy teraz do omówienie konsoli zarządzania zasadami grupy, pokażę jak poruszać się w konsoli oraz w jaki sposób przypisywać zasady dla poszczególnych użytkowników.
Znajdziemy tutaj elementy, takie jak:
Aby pokazać Wam, w jaki sposób tworzyć i zarządzać zasadami, przygotuję taką, która zabroni konkretnemu użytkownikowi dostępu do panelu sterowania. Zanim to zrobię, utworzę najpierw jednostkę organizacyjną userzy i dodam do niej użytkownika user1. Uruchamiamy zatem konsolę Active Directory, klikając w START, wybieramy Administrative Tools i klikamy w Active Directory Users and Computers.
Jeśli zasady wprowadzamy kiedy już użytkownik jest zalogowany wówczas
zaczną one działać dopiero po określonym czasie lub przy następnym
zalogowaniu. Możemy również zasady odświeżyć stosując polecenie konsoli
Windows na stacji roboczej o składni gpupdate /force, wówczas zasada zacznie działać od razu.
W tym przykładzie stworzyliśmy obiekt zasad grupy działający dla jednego użytkownika, istnieje również możliwość przypisywania zasad dla wielu użytkowników, grupy lub też konkretnych komputerów. W kolejnym artykule przestawię więcej możliwości konfiguracyjnych w zasadach grupy.
Zacznijmy jednak od omówienia elementów konsoli służących do zarządzania pojedynczym obiektem. Obiekt to zbiór zasad przez nas zdefiniowanych, zapisanych w folderze Group Polisy Object. Pojedynczym obiektem zasad grupy jest obiekt panel, który stworzyłem i omówiłem w poprzednim artykule (blokował on dostęp użytkownikowi do panelu sterowania – szczegółowy opis tej konfiguracji znajdziesz tutaj). Aby dostać się do elementów zarządzania tym obiektem (i każdym innym), klikamy prawym przyciskiem myszy na jego nazwę, znajdziemy tam m.in.:
Pierwszeństwo przetwarzania zasad
Często zdarza się taka sytuacja, że do danej jednostki organizacyjnej mamy przypisanych kilka obiektów zasada. Domyśle ich przetwarzanie odbywa się w kolejności ich tworzenia, obiekt stworzony jako ostatni, jako ostatni jest przetwarzany. Zdarzają się jednak sytuacje, kiedy chcemy, aby zasady wykonywały się one w innej kolejności. Aby pokazać Wam, w jaki sposób zmienić ową kolejność, stworzyłem obiekt o nazwie rejestr (bez ustawień) i połączyłem go z naszym kontenerem userzy.
Tutaj może pojawić się pytanie o sens zmiany kolejności, skoro jeden
obiekt, ma inne ustawienia niż drugi. W tym akurat przypadku oczywiście
nie ma potrzeby zmiany tej kolejności (zasady nie wykluczają się), ale
czasem zasady stosowane w obiektach są ze sobą w konflikcie (w pierwszym
zasada, jest włączona, w drugim nie), a wówczas, to który obiekt będzie
przetwarzany jako pierwszy jest bardzo ważne.
Dziedziczenie
Zasady grup przetwarzane są w kolejności: lokacja, domena, jednostka organizacyjna. Oznacza to tyle, że zasady przypisane dla lokacji czy domeny, będą również działały dla jednostek organizacyjnych – jednostka dziedziczy po domenie, domena po lokacji. Przykładowo, jeśli zastosujemy dla domeny blokowanie ekranu komputera po 60 sekundach, to zasada ta będzie działać dla wszystkich użytkowników tej domeny. Oczywiście mamy możliwość wyłączenia dziedziczenia, odbywa się ono na poziomie domeny lub jednostki organizacyjnej. W naszym przykładzie, dla kontenera (jednostki organizacyjnej) userzy mam przypisane 3 obiekty: rejestr, panel oraz Default Domain Policy. Aby to sprawdzić klikamy w konsoli zarządzania obiektami zasad grup kontener userzy, następnie klikamy w zakładkę Group Policy Inheritance.
Wyłączymy teraz to dziedziczenie
Opcja blokowania dziedziczenia powinna być używana bardzo rzadko lub
też wcale. Powoduje ona zmianę kolejności przetwarzania zasad, co przy
dużej liczbie obiektów może przyczynić się do sporego w nich bałaganu, a
w konsekwencji do niezamierzonego ich działania.
Przejdźmy teraz do realizacji konkretnego zadania, który przygotowałem, polegającego na wprowadzeniu kilku zasad, w celu ograniczenia możliwości zarzadzania komputerem przez użytkowników. Scenariusz zakłada, że użytkownik komputera ma:
Utworzyłem jeszcze jednego użytkownika, tym razem o nazwie user2 i dodałem go do grupy pracownicy, tak aby pokazać Wam, że zasady stosować można dla grup użytkowników.
Zapamiętajcie! Kontener to nie
to samo co grupa. Kontenery czyli jednostki organizacyjne tworzymy dla
uporządkowania użytkowników i obiektów zasad grup, grupy użytkowników
natomiast, tworzymy aby nadawać im odpowiednie uprawnienia i stosować
zasady dla większej liczby użytkowników jednocześnie.
Przejdźmy teraz do wdrażania przygotowanych wcześniej zasad. Uruchamiamy konsolę GPO klikając w START, wybieramy Administrative Tools i klikamy w Group Policy Management (dla porządku usunąłem wcześniej poprzednie obiekty: panel i rejestr, gdyż nie są one nam już potrzebne).
Dokonujemy zmian konfiguracyjnych
Logujemy się do stacji roboczej korzystając z konta user1 i user2 i testujemy ustawienia, próby dostępu do elementów, które skonfigurowaliśmy w ramach GPO widać poniższej:
User1:
User2:
Zbiór ustawień, które Wam przedstawiłem to tylko niewielka część dostępnych.
W poprzednich dwóch artykułach dowiedzieliście się czym są zasady grupy, w jaki sposób je tworzyć i zarządzać oraz jak za ich pomocą konfigurować komputery klienckie pracujące w domenie Windows. W tym artykule chciałbym pokazać Wam również inne zastosowanie zasad grupy, pozwalające na bardziej zaawansowaną konfigurację.
Wyobraźmy sobie sytuację, w której użytkownicy domeny muszą codziennie dokonywać archiwizacji plików i dokumentów, z którymi pracują. Istnieje wiele metod pozwalających zautomatyzować to zadanie, a ja dziś omówię i przedstawię metodę bardzo prostą w konfiguracji, a jednocześnie nie wymagającą wykonywania żadnych dodatkowych czynności przez użytkownika. Przekierowanie folderu, bo o tym będzie mowa w tym artykule, to jeden z wielu elementów konfiguracyjnych zasad grupy, który pozwala na synchronizowanie plików znajdujących się w profilu użytkownika systemu ze wskazanym folderem w sieci. Podobną funkcję spełnia profil mobilny, z tą jednak różnicą, że w jego przypadku synchronizowane są wszystkie pliki i katalogi zapisane w profilu, natomiast metoda przekierowania folderu pozwala na definiowanie, które foldery z tego profilu będą synchronizowane, a które nie.
Do omówienie konfiguracji zasad grupy pozwalającej na przekierowanie folderu wykorzystam elementy, która stworzyłem w poprzednich artykułach, czyli grupę pracownicy oraz jednostkę organizacyjną userzy. Pierwszym krokiem w konfiguracji będzie stworzenie katalogu w sieci oraz jego udostępnienie.
Pierwszy etap mamy zakończony. Teraz musimy stworzyć nową zasadę GPO oraz odpowiednio ją skonfigurować.
Pozostało nam jeszcze podpiąć naszą zasadę do kontenera userzy, w kórym znajduje się grupa pracownicy.
Od teraz wszystkie katalogi i pliki użytkowników z grupy pracownicy
znajdujące się w ich folderze „Moje dokumenty” będą automatycznie
zapisywane również w folderze sieciowym, dzięki czemu w przypadku awarii
komputera lub systemu nie utracimy ważnych plików.
Wiemy już z poprzednich artykułów, że zasady grupy są narzędziem służącym do scentralizowanego zarządzania komputerami klienckim pracującymi w domenie Windows. Dzięki zasadom możemy, na przykład ograniczać użytkownikom dostęp do składaków systemu, zezwalać na uruchamianie tylko konkretnych aplikacji czy przekierowywać ich foldery w inne miejsce w sieci. Dzisiaj pokażę kolejne zastosowanie GPO, pozwalające na zdalną instalację oprogramowania na komputerach użytkowników.
Jako administratorzy często spotykamy się z sytuacją kiedy to musimy dokonać instalacji oprogramowania na wielu komputerach. Jest to proces czasochłonny, jeśli musielibyśmy wykonywać go ręcznie, na każdej stacji z osobna. Dzięki GPO możemy jednak ten proces zautomatyzować, instalując aplikację zdalnie, dzięki czemu możemy zaoszczędzić sobie sporo czasu.
Istnieje jednak jeden warunek. Aby oprogramowanie można było zainstalować zdalnie poprzez GPO to musi być ona zapisane w formacie .msi (Windows Installer). Niestety nie da się wykonać tej czynności z plikami .exe, jednak większość popularnych programów można już pobrać w wersji .msi lub też można pokusić się o samodzielnego przygotowanie takiego pakietu.
Tyle w kwestii wprowadzania, przejedźmy zatem do praktyki, ja dziś zdalną instalację pokażę na przykładzie aplikacji Google Chrome, która można pobrać w wersji .msi tutaj.
To tyle z mojej strony jeśli chodzi o zasady grupy. Jak widzicie jest
to fajne narzędzie, które w łatwy sposób pozawala zarządzać
komputerami. Proponuje aby każdy z Was samodzielnie spróbował zastosować
GPO w różnej konfiguracji, z różnymi ustawieniami.
IIS (Internet Information Services) jest to
usługa dostępna w systemach z rodziny Windows Server, pozwalająca na
obsługę i utrzymanie własnych stron WWW oraz serwerów FTP. W dzisiejszym artykule pokażę w jaki sposób zainstalować taką usługę oraz jak udostępniać strony WWW dla użytkowników utworzonej wcześniej domeny domowa.local.Zasady grupy (GPO) na przykładzie Windows Server 2008 R2 – cz.1
Zasady grupy to potężne narzędzie udostępnione administratorom systemów Windows w celu łatwiejszego zarządzania ustawieniami stacji roboczych. Wyobraźmy sobie sytuację, w której musimy skonfigurować komputery w taki sposób, aby użytkownicy nie mogli dokonywać zmian konfiguracyjnych, w taki sposób, aby mogli uruchamiać tylko konkretne aplikacje lub też tak, aby mieli dostęp do tylko niezbędnych im do pracy składników systemu.Jesteśmy w stanie wykonać te czynności konfigurując każdy komputer z osobna, jest to jednak czynność bardzo czasochłonna i niewygodna, a stopień tej „niewygody” wzrasta wraz z liczbą komputerów, którymi zarządzamy. Można również napisać skrypt, który wykona te zadania i uruchomić go na wszystkich komputerach, ale i to nie jest zbyt wygodne rozwiązanie, a czasem wręcz niemożliwe ponieważ nie wszystkie nasze pomysły możemy w skrypcie zapisać. I tutaj z pomocą przychodzą nam zasady grupy, o których mowa będzie w tym artykule.
Zasady grupy wykorzystują scentralizowany system zarządzania, co oznacza, że konfiguracja tych zasad odbywa się na serwerze i poprzez odpowiednie mechanizmy rozsyłana jest na komputery klienckie. Wszystkie ustawienia przez nas zdefiniowane przechowywane są w obiektach zasad grupy (ang. Group Policy Objects), a do zarządzania tymi obiektami służy konsola zarządzania zasadami grupy (ang. Group Policy Management Console).
Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:
- ustawienia komputera (ang. computer configuration) – ustawienia, które stosowane są dla komputerów bez względu na to, który użytkownik jest zalogowany i wprowadzane są podczas uruchamiania systemu operacyjnego (później są odświeżane co 90-120 minut)
- ustawienia użytkownika (ang. user configuration) – ustawienia, które wprowadzane są podczas logowania użytkownika, bez względu na to na jaki komputer się loguje (również są one później odświeżane są co 90-120 minut)
Przejdziemy teraz do omówienie konsoli zarządzania zasadami grupy, pokażę jak poruszać się w konsoli oraz w jaki sposób przypisywać zasady dla poszczególnych użytkowników.
Aby uruchomić konsolę GPO klikamy w START, wybieramy Administrative Tools i klikamy w Group Policy Management (możemy również kliknąć START, wybrać Run… i wpisać gpedit.msc)
Rozwijamy element Forest, następnie Domains i domowa.local
- Default Domain Policy – jest to link do domyślnych zasad przypisanych do całej domeny (zwróćcie uwagę, że znajduje się on bezpośrednio pod nazwą domeny, co oznacza, że jest stosowany właśnie do całej domeny).
- Domain Controllers – jest jednostka organizacyjna, w której możemy umieszczać linki do zasad stosowanych dla kontrolera domeny (czyli naszego serwera), domyślnie znajduję się tutaj link do zasady Default Domain Controllers Policy.
- Group Policy Objects – jest to folder, w którym znajdują się wszystkie zasady, które będziemy tworzyć i stosować, po instalacji serwera znajdują się tam zasady Default Domain Policy oraz Default Domain Controllers Policy.
- WMI Filters – jest to folder, w którym możemy umieszczać filtry WMI, pozwalające określać zakres stosowania zasad na podstawie właściwości komputera, takich jak np. rodzaj zainstalowanego systemu operacyjnego.
- Starter GPOs – jest to folder zawierający zdefiniowane zasady stosowane dla komputerów z systemami Windows XP oraz Windows Vista (domyślnie są one wyłączone, aby je uruchomić klikamy w Starter GPOs i klikami w Create starter GPOs).
Aby pokazać Wam, w jaki sposób tworzyć i zarządzać zasadami, przygotuję taką, która zabroni konkretnemu użytkownikowi dostępu do panelu sterowania. Zanim to zrobię, utworzę najpierw jednostkę organizacyjną userzy i dodam do niej użytkownika user1. Uruchamiamy zatem konsolę Active Directory, klikając w START, wybieramy Administrative Tools i klikamy w Active Directory Users and Computers.
Prawym przyciskiem myszy klikamy w nazwę domeny (domowa.local), wybieramy New, następnie Organization Unit
Nadajemy nazwę naszej jednostce organizacyjnej i klikamy OK
Rozwijamy element domowa.local, prawym przyciskiem myszy klikamy w jednostkę organizacyjną, którą stworzyliśmy w poprzednim kroku, wybieramy New, następnie User
Tworzymy użytkownika o nazwie user1 z hasłem !QAZ2wsx, ustawiamy opcję The password never expires i klikamy Finish po wyświetleniu podsumowania
Uruchamiamy ponownie konsolę Group Policy Management, jak widać pojawił się stworzony w AD kontener userzy (na tym etapie nie będzie jeszcze potrzebny)
Klikamy prawym przyciskiem myszy w folder Group Policy Objects (tutaj tworzymy wszystkie zasady) i wybieramy New
Nadajemy nazwę dla naszej zasady (proponuję panel, aby łatwo można było ją odróżnić od innych) i klikamy OK
Rozwijamy folder Group Policy Objects i klikamy w zasadę panel
Stworzenie kontenera userzy
nie spowodowało, że domyślnie nasza zasada będzie działać dla
użytkowników w nim się znajdujących, działanie to ma na celu utrzymanie
porządku w zasadach, to dla kogo zasady będą stosowane określimy w
następnych krokach.
Klikamy w element Authenticated Users i wybieramy Remove
(usuwamy w tym momencie wszystkich użytkowników spod działania zasady,
nie chcemy, aby nasza zasada działała dla wszystkich użytkowników lecz
dla konkretnych)
Potwierdzamy chęć usunięcie klikając OK
Klikamy Add, w celu dodania użytkowników, dla których zasada będzie działać
Wpisujemy nazwę użytkownika (user1) i klikamy OK
Klikamy zakładkę Settings, gdzie znajduje się podsumowanie naszej zasady (na razie jest pusto)
Klikamy prawym przyciskiem myszy na białe pole i wybieramy Edit
Rozwijamy element User Configuration, Policies, Admnistrative Templates następnie klikamy w Control Panel i odnajdujemy opcję Prohibit access to the Control Panel
Klikamy dwa razy w element Prohibit access to the Control Panel, zaznaczamy opcję Enable i klikamy OK
Jak widać w podsumowaniu opcja zaznaczona została właściwie
Podpinamy naszą zasadę do kontenera userzy, klikając prawym przyciskiem myszy na jego nazwę i wybierając Link an Existing GPO…
Wybieramy zasadę panel i klikamy OK
Jak widać stworzyliśmy link do zasady panel, który podpięty został do kontenera userzy
Logujemy się do stacji roboczej korzystając z konta user1 i próbujemy uruchomić panel sterowania
Jak widać jest to niemożliwe, tak więc zasada działa poprawnie
W tym przykładzie stworzyliśmy obiekt zasad grupy działający dla jednego użytkownika, istnieje również możliwość przypisywania zasad dla wielu użytkowników, grupy lub też konkretnych komputerów. W kolejnym artykule przestawię więcej możliwości konfiguracyjnych w zasadach grupy.
Zasady grupy (GPO) na przykładzie Windows Server 2008 R2 – cz.2
W poprzednim artykule dowiedzieliście się czym są zasady grupy oraz poznaliście mechanizm tworzenia i przypisywania zasad poszczególnym użytkownikom. W tym artykule omówię kolejne elementy konsoli zarządzania zasadami grupy oraz wdrożę przykładowy scenariusz konfiguracji zasad grupy.Zacznijmy jednak od omówienia elementów konsoli służących do zarządzania pojedynczym obiektem. Obiekt to zbiór zasad przez nas zdefiniowanych, zapisanych w folderze Group Polisy Object. Pojedynczym obiektem zasad grupy jest obiekt panel, który stworzyłem i omówiłem w poprzednim artykule (blokował on dostęp użytkownikowi do panelu sterowania – szczegółowy opis tej konfiguracji znajdziesz tutaj). Aby dostać się do elementów zarządzania tym obiektem (i każdym innym), klikamy prawym przyciskiem myszy na jego nazwę, znajdziemy tam m.in.:
- Copy (kopiuj) – polecenie służące do kopiowania obiektu, przydatne wówczas, kiedy chcemy stworzyć obiekt, którego ustawienia mają bazować na ustawieniach innych obiektów
- Back up (kopia zapasowa) – polecenie służące do tworzenia kopii zapasowej obiektu, kopiujące nie tylko sam obiekt, ale również łącza do niego, uprawnienia oraz dodatkowe pliki
- Restore From Backup (przywróć z kopii zapasowej) – polecenie służące do przywracania obiektu z stworzonej uprzednio kopii zapasowej
- Import Settings (importuj ustawienia) – polecenie służące do kopiowania samych ustawień zapisanych w obiekcie, bez łącz i uprawnień
- Save Report (zapisz raport) – polecenie służące do zapisywania raportu do pliku HTML
- Delete (usuń) – polecenie służące do usunięcia obiektu wraz z łączami i uprawnieniami
- Rename (zmień nazwę) – polecenie służące do zmiany nazwy obiektu
Pierwszeństwo przetwarzania zasad
Często zdarza się taka sytuacja, że do danej jednostki organizacyjnej mamy przypisanych kilka obiektów zasada. Domyśle ich przetwarzanie odbywa się w kolejności ich tworzenia, obiekt stworzony jako ostatni, jako ostatni jest przetwarzany. Zdarzają się jednak sytuacje, kiedy chcemy, aby zasady wykonywały się one w innej kolejności. Aby pokazać Wam, w jaki sposób zmienić ową kolejność, stworzyłem obiekt o nazwie rejestr (bez ustawień) i połączyłem go z naszym kontenerem userzy.
Jak widać po prawej stronie ekranu, zasada panel stworzona wcześniej, znajduje się na górze i oznaczona jest nr 1 (Link Order), natomiast zasada rejestr ma przypisany nr 2
Zmienimy teraz kolejność przetwarzania, zaznaczając obiekt rejestr i klikając w strzałkę Move link up
Jak widać kolejność przetwarzania została zmieniona
Dziedziczenie
Zasady grup przetwarzane są w kolejności: lokacja, domena, jednostka organizacyjna. Oznacza to tyle, że zasady przypisane dla lokacji czy domeny, będą również działały dla jednostek organizacyjnych – jednostka dziedziczy po domenie, domena po lokacji. Przykładowo, jeśli zastosujemy dla domeny blokowanie ekranu komputera po 60 sekundach, to zasada ta będzie działać dla wszystkich użytkowników tej domeny. Oczywiście mamy możliwość wyłączenia dziedziczenia, odbywa się ono na poziomie domeny lub jednostki organizacyjnej. W naszym przykładzie, dla kontenera (jednostki organizacyjnej) userzy mam przypisane 3 obiekty: rejestr, panel oraz Default Domain Policy. Aby to sprawdzić klikamy w konsoli zarządzania obiektami zasad grup kontener userzy, następnie klikamy w zakładkę Group Policy Inheritance.
Jak widać obiekt Default Domain Policy jest dziedziczony z domeny, co oznacza, że wszystkie ustawienia w nim zapisane wykonywane są również dla kontenera userzy
Aby to zrobić, klikamy prawym przyciskiem myszy na kontener userzy i wybieramy opcję Block Inheritance
Jak widać obiekt Default Domain Policy zniknął ze zbioru dla naszego kontenera, w przy jego nazwie pojawiła się ikona świadcząca o wyłączeniu dziedziczenia
Przejdźmy teraz do realizacji konkretnego zadania, który przygotowałem, polegającego na wprowadzeniu kilku zasad, w celu ograniczenia możliwości zarzadzania komputerem przez użytkowników. Scenariusz zakłada, że użytkownik komputera ma:
- Zabronioną możliwość zmiany tapety
- Zabroniony dostęp do menadżera zadań
- Wyłączoną możliwość korzystania z dysków USB
- Zabroniony dostęp do edytora rejestru
- Zabroniony dostęp do przeglądarki internetowej (w naszym przypadku Internet Explorer)
Rozwijamy element domowa.local, prawym przyciskiem myszy klikamy w kontener userzy wybieramy New, następnie Group
Nadajemy nazwę nowej grupie i klikamy OK (pozostałe opcje pozostawiamy bez zmian)
Przenosimy teraz użytkownika user1 do grupy pracownicy, klikając prawym przyciskiem myszy w jego nazwę i wybierając Add to a group…
Podajemy nazwę grupy i klikamy OK
Pojawi się komunikat potwierdzający dodanie użytkownika do grupy
Aby potwierdzić, że nasi użytkownicy należą do grupy pracownicy, klikam prawym przyciskiem myszy na nazwę grupy i wybieram Properties
Klikamy zakładkę Members, jak widać grupa ma przypisanych dwóch członków, pomimo, że ich ikony nadal są widoczne w kontenerze userzy
Przejdźmy teraz do wdrażania przygotowanych wcześniej zasad. Uruchamiamy konsolę GPO klikając w START, wybieramy Administrative Tools i klikamy w Group Policy Management (dla porządku usunąłem wcześniej poprzednie obiekty: panel i rejestr, gdyż nie są one nam już potrzebne).
Rozwijamy element Forest, następnie Domains i domowa.local, prawym przyciskiem myszy klikamy w kontener Group Policy Objects i wybieramy New
Nadajemy nazwę obiektowi zasady i klikamy OK
Zmieniamy użytkowników, na których działać będą ustawienia, najpierw usuwamy Authenticated Users, zaznaczając ich i wybierając Remove
Dodajemy grupę pracownicy, klikając Add, wpisujemy nazwę grupy i potwierdzamy OK
Edytujemy ustawienia klikając w Settings, następnie prawym przyciskiem myszy na białe pole i wybieramy Edit…
Wszystkie nasze ustawienia znajdziemy w węźle Administrative Templates, aby się do niego dostać rozwijamy element User Configuration -> Polices -> Administrative Templates
Zabroniona możliwość zmiany tapety – Control Panel -> Personalization -> Prevent changing desktop background -> Enable
Zabroniony dostęp do menadżera zadań – System -> Ctrl+Alt+Del Options -> Remove Task Manager -> Enable
Wyłączoną możliwość korzystania z dysków USB – System -> Removable Storage Access -> All Removable Storage classes: Deny all access -> Enable
Zabroniony dostęp do edytora rejestru – System -> Prevent access to registry editing tools -> Enable
Zabroniony dostęp do przeglądarki internetowej (Internet Explorer) – System -> Don’t run specified Windows applications -> Enable -> Show -> iexplore.exe
Jak widać w podsumowaniu wszystkie zasady zostały skonfigurowane
Podpinamy jeszcze nasz obiekt do kontenera userzy, klikając w jego nazwę prawym przyciskiem mszy i wybierając Link an Existing GPO…
Wybieramy obiekt ust_user i klikamy OK
User1:
Próba zmiany tapety (opcja wygaszona, czyli niedostępna)
Próba dostępu do rejestru
Próba dostępu do menadżera zadań (opcja wygaszona, czyli niedostępna)
Próba uruchomienia przeglądarki Internet Explorer
Zasady grupy (GPO) na przykładzie Windows Server 2008 R2 – przekierowanie folderu
W poprzednich dwóch artykułach dowiedzieliście się czym są zasady grupy, w jaki sposób je tworzyć i zarządzać oraz jak za ich pomocą konfigurować komputery klienckie pracujące w domenie Windows. W tym artykule chciałbym pokazać Wam również inne zastosowanie zasad grupy, pozwalające na bardziej zaawansowaną konfigurację.
Wyobraźmy sobie sytuację, w której użytkownicy domeny muszą codziennie dokonywać archiwizacji plików i dokumentów, z którymi pracują. Istnieje wiele metod pozwalających zautomatyzować to zadanie, a ja dziś omówię i przedstawię metodę bardzo prostą w konfiguracji, a jednocześnie nie wymagającą wykonywania żadnych dodatkowych czynności przez użytkownika. Przekierowanie folderu, bo o tym będzie mowa w tym artykule, to jeden z wielu elementów konfiguracyjnych zasad grupy, który pozwala na synchronizowanie plików znajdujących się w profilu użytkownika systemu ze wskazanym folderem w sieci. Podobną funkcję spełnia profil mobilny, z tą jednak różnicą, że w jego przypadku synchronizowane są wszystkie pliki i katalogi zapisane w profilu, natomiast metoda przekierowania folderu pozwala na definiowanie, które foldery z tego profilu będą synchronizowane, a które nie.
Do omówienie konfiguracji zasad grupy pozwalającej na przekierowanie folderu wykorzystam elementy, która stworzyłem w poprzednich artykułach, czyli grupę pracownicy oraz jednostkę organizacyjną userzy. Pierwszym krokiem w konfiguracji będzie stworzenie katalogu w sieci oraz jego udostępnienie.
Tworzymy katalog (w moim przypadku na dysku C serwera) o nazwie dokumenty
Klikamy prawym przyciskiem myszy w jego nazwę, wybieram Properties, klikamy w zakładkę Sharing, następnie Advanced Sharing…, zazanczamy opcję Share this folder, klikamy Persmissions, aby nadać uprawnienia do tego folderu
Usuwamy grupę użytkowników Everyone, zaznaczając jej nazwę i klikając Remove
Następnie klikamy Add… wpisujemy nazwę grupy pracownicy i klikamy OK
Nadajemy pełne uprawnienie do folderu dla grupy pracownicy i zatwierdzamy przyciskiem Apply
Uruchamiamy konsolę zarządzania zasadami grup, rozwijamy element Forest, następnie Domains i domowa.local, prawym przyciskiem myszy klikamy w kontener Group Policy Objects i wybieramy New
Wpisujemy nazwę nowej zasady (w moim przypadku przekierowanie) i zatwierdzamy przyciskiem OK
Jak widać nowa zasada została stworzona
Klikamy w nazwę naszej zasady, usuwamy grupę Authenticated Users klikając w jej nazwę i wybierając Remove
Dodajemy grupę pracownicy klikając Add…, wpisujemy jej nazwę i zatwierdzamy przyciskiem OK
Klikamy teraz w zakładkę Settings, następnie prawym przyciskiem myszy na białym polu i wybieramy Edit…
Rozwijamy element User Configuration -> Policies ->Windows Settings -> Folder Redirection, kilkakamy prawym przyciskiem myszy w element Documents i wybieramy Properties
W zakładce Target wybieramy opcję Basic – Redirect everyone’s folder to the same location
Następnie wybieramy opcję Create a folder for each user under the root path
Podajemy ścieżkę sieciową do stworzonego i udostępnionego wcześniej folderu dokumenty
Klikamy zakładkę Settings i odznaczamy opcję Grant the user exclusive rights to Documents (domyślnie jest zaznaczona) i zatwierdzamy przyciskiem Apply
Klikamy prawym przyciskiem myszy w kontener userzy i wybieramy Link an Existing GPO…
Wybieramy zasadę przekierowanie i klikamy OK
Jak widać zasada została „podlinkowana”
Zasady grupy (GPO) na przykładzie Windows Server 2008 R2 – automatyczna instalacja oprogramowania
Wiemy już z poprzednich artykułów, że zasady grupy są narzędziem służącym do scentralizowanego zarządzania komputerami klienckim pracującymi w domenie Windows. Dzięki zasadom możemy, na przykład ograniczać użytkownikom dostęp do składaków systemu, zezwalać na uruchamianie tylko konkretnych aplikacji czy przekierowywać ich foldery w inne miejsce w sieci. Dzisiaj pokażę kolejne zastosowanie GPO, pozwalające na zdalną instalację oprogramowania na komputerach użytkowników.
Jako administratorzy często spotykamy się z sytuacją kiedy to musimy dokonać instalacji oprogramowania na wielu komputerach. Jest to proces czasochłonny, jeśli musielibyśmy wykonywać go ręcznie, na każdej stacji z osobna. Dzięki GPO możemy jednak ten proces zautomatyzować, instalując aplikację zdalnie, dzięki czemu możemy zaoszczędzić sobie sporo czasu.
Istnieje jednak jeden warunek. Aby oprogramowanie można było zainstalować zdalnie poprzez GPO to musi być ona zapisane w formacie .msi (Windows Installer). Niestety nie da się wykonać tej czynności z plikami .exe, jednak większość popularnych programów można już pobrać w wersji .msi lub też można pokusić się o samodzielnego przygotowanie takiego pakietu.
Tyle w kwestii wprowadzania, przejedźmy zatem do praktyki, ja dziś zdalną instalację pokażę na przykładzie aplikacji Google Chrome, która można pobrać w wersji .msi tutaj.
Po pobraniu aplikacji tworzymy folder na dysku C: serwera o nazwie instalki
Przenosimy nasz plik .msi do stworzonego wcześniej folderu
Teraz musimy udostępnić ten folder w sieci, klikamy zatem prawym przyciskiem myszy w jego nazwę, wybieram Properties, klikam w zakładkę Sharing, następnie Advanced Sharing…, zazanczamy opcję Share this folder i potwierdzamy OK (nie zmieniamy uprawnień do udostępnionego zasobu).
Przechodzimy do zarządzania Active Direcotry,
w celu utworzenia jednostki organizacyjnej i umieszczeniu w niej
komputera klienckiego, do którego przypiszemy zasadę. Uruchamiamy zatem
konsolę Active Directory, klikając w START, wybieramy Administrative Tools i klikamy w Active Directory Users and Computers.
Prawym przyciskiem myszy klikamy w nazwę domeny (domowa.local), wybieramy New, następnie Organization Unit
Wpisujemy nazwę nowej jednostki (w moim przypadku apki) i klikamy OK
Klikamy teraz w folder computers, wybieramy komputer, dla którego zasad ma działać (w moim przypadku DOMOWY), kilkamy prawym przyciskiem myszy i wybieramy MOVE…
Zaznaczamy kontener apki i potwierdzamy klikając OK
Jak widać komputer o nazwie DOMOWY został prześniony do jednostki apki
Przechodzimy teraz do edytora zasad grup, klikamy w START, wybieramy Administrative Tools i klikamy w Group Policy Management (możemy również kliknąć START, wybrać Run… i wpisać gpedit.msc).
Rozwijamy element Forest, następnie Domains i domowa.local. Klikamy prawym przyciskiem myszy w folder Group Policy Objects i wybieramy New
Wpisujemy nazwę naszej zasady (w moim przypadku instalacja) i klikamy przycisk OK
Klikamy teraz w nazwę naszej zasady, zaznaczamy Authenticated Users i wybieramy Remove
Klikamy Add…, następnie Object Types, zaznaczamy Computers, odznaczamy pozostałe elementy i klikamy OK
Wpisujemy nazwę naszego komputera, klikamy Check Names i jeśli system nie pokaże błędów klikamy OK
Jak widać nasza zasada będzie działała tylko dla komputera o nazwie DOMOWY
Przechodzimy teraz do zakładki Settings i klikając prawym przyciskiem myszy wybieramy Edit…
Rozwijamy element Computer Configuration-> Policies -> Software Settings i klikamy Software installation, następnie klikamy prawnym przyciskiem myszy w wolne pole i wybieramy New -> Package…
Wpisujemy ścieżkę sieciową do naszego pliku instalacyjnego (WAŻNE!
Nie możemy wskazać bezpośredniego folderu na dysku ponieważ wówczas
zasad nie zadziała, musimy wskazać nasz pakiet .msi z poziomu
udostępnionego zasobu!), zaznaczamy plik i klikamy Open
Nie zmieniamy domyślnych opcji w nowym oknie i zatwierdzamy przyciskiem OK
Jak widać pakiet został dodany, zwróćcie
uwagę na źródło pakietu, nie jest wskazany folder na dysku C, tylko
udostępniona ścieżka sieciowa (jeśli nie wiedzie jaka u Was jest
ścieżka, kliknijcie prawym przyciskiem myszy na udostępniony folder i
wybierzcie zakładkę Sharing, tam podana jest ścieżka)
Teraz musimy dokonać jeszcze jednej zmiany w GPO, która pozwoli na śledzenie procesu instalacji.
Rozwijamy element Adminstrative Tempates, klikamy w System i wyszukujemy opcji Verbose vs normal status messages
Klikamy dwukrotnie z tą opcję, zaznaczamy Enable i potwierdzamy przyciskiem OK
Jak widać na podsumowaniu zasady zostały przypisane właściwe
Teraz jeszcze podpinamy zasadę instalki do jednostki organizacyjnej apki, klikając prawym przyjściem myszy w nazwę jednostki i wybierając Link an Existing GPO…
Wybieramy zasadę instalacja i potwierdzamy OK
Logujemy się teraz na stację korzystając z
dowolnego konto użytkownika domeny. Na tym etapie aplikacja Google
Chrome się nie zainstalowała ponieważ musimy jeszcze odświeżyć zasady.
Uruchamiamy wiersz poleceń systemu i wpisujemy polecenie gpupdate /force. Po chwili system poprosi nas o ponownie uruchomienie, wpisuje T i restartujemy komputer
Po restarcie komputera, ale przed oknem logowania pojawi się informacje o tym, że następuje proces instalacji Google Chrome
Jak widać proces instalacji przebiegł poprawnie, aplikacja została zainstalowana
Instalacja i konfiguracja serwera IIS na przykładzie Windows Server 2008 R2
Aby zainstalować serwer IIS w naszym systemie klikamy w ikonę serwera znajdującą się obok przycisku START, klikamy element Roles i wybieramy Add roles
Z listy dostępnych do zainstalowania ról wybieramy Web Server (IIS) i klikamy Next
Zapoznajemy się z informacjami przestawionymi w kreatorze i ponownie klikamy Next
Domyślnie IIS nie instaluje serwera FTP, tak więc aby go zainstalować wyszukujemy opcję FTP Server z listy dostępnych, dodatkowych funkcji, zaznaczamy ją i klikamy Next
Ponownie zapoznajemy się z informacjami przekazywanymi przez kreator i jeśli wszystko jest ok klikamy Install
Po chwili instalator powinien przedstawić nam pozytywny rezultat procesu instalacji, aby go zakończyć klikamy Close
Podczas procesu instalacji na dysku C naszego serwera utworzony został domyślny folder do przechowywania stron WWW i plików serwera FTP o nazwie inetpub
Ja jednak nie chce korzystać z domyślnych lokalizacji dlatego na potrzeby tego ćwiczenia stworzyłem na dysku C folder strona WWW do przechowywania plików strony oraz dane ftp do przechowywania plików serwera FTP
Przejdźmy teraz do konfiguracji naszej strony WWW oraz serwera FTP, w tym celu uruchamiamy konsolę zarządzania usługą IIS klikając w START, wybierając Administrative Tools i dalej Internet Information Services (IIS) Manager
Rozwijamy element SERVER_AD, prawym przyciskiem myszy klikamy Sites i wybieramy Add Web Site…
W polu site name
podajemy nazwę naszej strony (może być dowolna ponieważ nie jest jej
adresem), podajemy ścieżkę do katalogu, w którym znajdują się pliki
strony (ja w katalogu strona www umieściłem wcześniej przykładowy plik strony o nazwie index.html,
zawierający tekst: „testowa strona domowa” ), podajemy adres hosta (to
będzie adres naszej strony, na tym etapie musi być taki sam jak nazwa
naszej domeny) i klikamy OK
W tym momencie strona jest już dostępna dla
użytkowników naszej domeny, aby to sprawdzić logujemy się na komputerze
klienckim na dowolne konto użytkownika, uruchamiamy przeglądarkę
internetową i wpisujemy adres domowa.local
Jak widać użytkownik ma już dostęp do naszej strony
Tutaj może pojawić się pytanie, czy
istnieje możliwość aby na jednym serwerze można było umieścić kilka
stron o różnych adresach, np. dzieci.domowa.local? Odpowiedź brzmi oczywiście tak, ale zanim będziemy mogli to zrobić musimy dokonać pewnym modyfikacji w usłudze DNS naszego serwera, ponieważ to właśnie DNS pozwala na przypisanie różnych nazw hostów (czyli naszych stron WWW) do adresu IP (pełną definicję DNS znajdziesz w artykule Sieci komputerowe – podstawowe pojęcia). Przejdźmy zatem do konsoli zarządzania usługą DNS, w tym celu klikamy w START, wybieramy Administrative Tools i dalej DNS.
Rozwijamy element SERVER_AD, następnie Forward Lookup Zones i klikamy w domowa.local. Prawym przyciskiem myszy klikamy w białe pole i wybieramy New Host (A or AAAA)…
Podajemy nazwę hosta – dzieci (jak widać pełna nazwa domeny zmieniła się na dzieci.domowa.local), podajemy adres naszego serwera i klikamy Add Host
Teraz możemy już dodać kolejną stronę WWW do naszego serwera. Aby to zrobić ponownie uruchamiamy konsolę zarządzania serwerem IIS.
Klikamy prawym przyciskiem myszy na Sites i wybieramy Add Web Site…
W polu site name podajemy nazwę naszej kolejnej strony (niech będzie dzieci), podajemy ścieżkę do katalogu, w którym znajdują się pliki nowej strony (na potrzeby ćwiczenie stworzyłem osobny katalog strona www dzieci i umieściłem tam plik strony o nazwie index.html, zawierający tekst: „testowa strona domowa dzieci” ), podajemy adres hosta (dzieci.domowa.local) i klikamy OK
Po wpisaniu adresu naszej strony użytkownik ma już do niej dostęp
Obydwie strony działają teraz niezależnie
na jednym serwerze. Ważne jest aby pliki tych stron znajdowały się w
osobnych katalogach, a wówczas serwer nie będzie miał problemu z ich
odtwarzaniem na komputerach użytkowników. Konfiguracja, którą pokazałem
pozwala na korzystanie ze stron tylko w ramach sieci lokalnej, dostęp do
tych stron z poziomu Internetu to już temat na inny artykuł.
Na koniec pokażę jeszcze jak dokonać prostej konfiguracji serwera FTP,
tak aby można było w sieci udostępniać w sieci pliki za pomocą tego
protokołu. Skorzystam z wcześniej stworzonego folderu o nazwie dane ftp, w którym umieściłem przykładowe pliki.
Ponownie uruchamiamy konsolę zarządzanie IIS, prawym przyciskiem myszy klikamy w element Site i wybieramy Add FTP Site…
Podajemy nazwę oraz ścieżkę do plików
Zmieniamy opcję na No SSL i klikamy Next
Określamy sposób dostępu do serwera FTP (Basic oznacza, że korzystać z danych na serwerze FTP
będzie można po wpisaniu nazwy użytkownika i hasła), określamy, którzy
użytkownicy będą mogli korzystać z danych (ja wybieram opcję dla
wszystkich), nadajemy uprawnienia i klikamy Finish
Uruchamiamy dowolne narzędzie do korzystania z usługi FTP (ja uruchomiłem eksplorator Windows), wpisujemy w górnym pasku adres serwera ftp://10.0.0.1, podajemy nazwę użytkownika, hasło i klikamy Log On
Jak widać użytkownik user1 uzyskał dostęp do plików i katalogów
To była tylko przykładowa konfiguracja serwera FTP.