Tutorial: Kegembiraan dasar kumpulan Windows Server

Ketika Microsoft memperkenalkan objek dasar kumpulan (GPO) bersama dengan Windows Server 2000 hampir 17 tahun yang lalu, mereka adalah pendekatan baru yang menarik untuk mengurus izin pengguna dan sistem. Hari ini, mereka hanyalah sebahagian daripada kerja-kerja kayu pentadbiran, dan sebagai hasilnya, beberapa pentadbir IT lupa betapa kuatnya tetapan ini dan kapan ia dapat digunakan untuk menyelesaikan masalah.

Apabila Windows Server 2016 dilancarkan pada akhir musim gugur ini, ia akan mengekalkan GPO yang sangat berguna, membiarkannya tidak berubah kecuali untuk penambahan beberapa tetapan khusus untuk Windows Server 2016 dan Windows 10. Sekiranya ia tidak rosak ...

Alat Konsol Pengurusan Dasar Kumpulan dipasang dengan Direktori Aktif, tetapi anda memerlukan Perkhidmatan Domain Direktori Aktif (ADFS) agar dasar kumpulan dapat berfungsi. Untuk mengawal pelayan atau stesen kerja, mereka mesti disambungkan (aka "bergabung") ke domain. Walaupun dasar tempatan dapat dikonfigurasikan untuk PC individu (tidak bergabung dengan domain), ini adalah senario satu-satu yang tidak memanfaatkan nilai inti pelaksanaan polisi kumpulan untuk mengendalikan banyak sistem dan pengguna sekaligus.

Terdapat beribu-ribu kemungkinan tetapan dan pilihan konfigurasi untuk GPO. Cara termudah untuk mencari jalan ke pengaturan adalah dengan mengenal pasti lokasi lokasinya di alat Konsol Pengurusan Dasar Kumpulan (GPMC), seperti yang ditunjukkan pada Gambar 1. Laluan lokasi menunjukkan jalan lengkap ke tetapan yang anda cari, di dengan cara yang sama anda mungkin mencari fail yang disimpan dalam beberapa folder.

Tiga penggunaan dasar kumpulan menjadikan titik permulaan yang baik baik untuk pentadbir pemula dan untuk pentadbir berpengalaman yang menganggap dasar kumpulan sudah biasa dan berhenti mencari cara menggunakannya untuk keperluan baru. (Apabila anda sudah bersedia untuk menggali lebih mendalam, Microsoft mempunyai tutorial terperinci yang baik yang merangkumi selok-belok dasar kumpulan.)

Contoh GPO 1: Menguatkan kerumitan kata laluan

Untuk membuat kebijakan kerumitan kata laluan yang berlaku untuk semua pengguna dalam domain, lakukan langkah-langkah berikut:

  1. Buka Konsol Pengurusan Dasar Kumpulan anda.
  2. Kembangkan bekas Domain dan pilih nama domain anda.
  3. Klik kanan nama domain dan pilih pilihan Buat GPO di Domain Ini, dan Pautkan Di Sini.
  4. Beri nama GPO baru (contohnya, Dasar Kerumitan Kata Laluan) dan klik OK.
  5. Setelah dasar dapat dilihat di domain anda, klik kanan polisi dan pilih Edit. Ini membuka Editor Pengurusan Dasar Kumpulan (GPME).
  6. Menelusuri ke jalan lokasi dalam GPME, seperti yang ditunjukkan dalam Rajah 2: GPO_name\Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  7. Klik kanan pilihan Kata Laluan Harus Memenuhi Keperluan Kerumitan dan klik Properties, seperti yang ditunjukkan dalam Gambar 3.
  8. Tandai kotak Tentukan Penetapan Polisi Ini, tandakan Diaktifkan, kemudian klik OK. Catatan: Anda juga boleh mengklik tab Jelaskan untuk penjelasan penuh mengenai apa yang dilakukan oleh tetapan ini.

Sudah tentu terdapat tetapan lain yang boleh anda masukkan dalam GPO ini. Sebagai contoh, anda boleh mengaktifkan syarat kerumitan dan menetapkan panjang kata laluan minimum, katakanlah, lapan aksara.

Contoh GPO 2: Lumpuhkan pemacu USB

Beberapa dasar perlu diterapkan secara situasi (untuk unit organisasi, alias OU), seperti mematikan peranti USB. Contohnya, anda mungkin mempunyai pejuang jalanan yang memerlukan akses USB pada komputer riba mereka sedangkan anda mungkin mahu mengunci port USB PC dalaman.

Inilah cara anda membuat polisi situasi:

  1. Di Konsol Pengurusan Dasar Kumpulan, luaskan nama domain dan cari bekas Objek Dasar Kumpulan. Biasanya, terdapat dua dasar lalai dalam wadah itu (Pengawal Domain Lalai dan Dasar Domain Lalai), tetapi jika anda telah mengkonfigurasi Dasar Kerumitan Kata Laluan, itu juga akan muncul.
  2. Klik kanan folder Objek Dasar Kumpulan dan klik Baru.
  3. Beri nama GPO baru seperti Sekatan USB dan klik OK.
  4. Pilih polisi dan klik Edit untuk membuka Editor Pengurusan Dasar Kumpulan.
  5. Navigasi ke GPO_name\Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access, seperti yang ditunjukkan oleh Rajah 4.
  6. Klik dua kali tetapan, periksa Diaktifkan, kemudian klik OK atau Terapkan.

Seperti yang ditunjukkan oleh Rajah 4, terdapat pelbagai tetapan untuk dipilih. Di sini, saya telah memilih pilihan Semua Kelas Penyimpanan yang Boleh Dihapus: Tolak Semua Akses untuk dikonfigurasi. Anda dapat melihat keterangan tetapan yang dipilih di panel keterangan jika anda mengklik tab Diperluas.

Perlu diingat bahawa anda hanya membuat tetapan dasar pada masa ini; anda belum mengaitkannya dengan apa-apa. Untuk menghubungkannya:

  1. Pilih sama ada domain di Konsol Pengurusan Dasar Kumpulan atau unit organisasi yang anda miliki.
  2. Klik kanan unit organisasi (seperti yang ditunjukkan dalam Rajah 5) dan pilih Pautkan GPO yang Ada.
  3. Pilih GPO Sekatan USB dan klik OK.
  4. Klik kanan GPO yang kini dipautkan dan periksa pilihan Terkuat untuk menegakkannya ke atas GPO tersebut.

Memerlukan beberapa waktu untuk kebijakan kumpulan diterapkan pada sistem dan pengguna, tetapi Anda dapat memaksa perubahan yang akan diterapkan dengan membuka command prompt dan mengetik gpupdate /force.

Setelah dasar ini diterapkan, pengguna yang cuba memperkenalkan peranti USB harus mendapat mesej "akses ditolak".

Contoh GPO 3: Lumpuhkan pembuatan fail PST

Kita semua telah menangani mimpi buruk pematuhan yang disebabkan oleh penggunaan fail peti surat PST. Oleh itu, bagaimana anda menghalang pengguna untuk membuatnya? Dengan dasar kumpulan, sudah tentu. (Ya, terdapat suntingan konfigurasi pendaftaran yang boleh anda gunakan untuk melakukan ini, tetapi dasar kumpulan jauh lebih mudah dan cepat.)

Untuk membuat perubahan, anda mesti memuat turun Templat Pentadbiran Dasar Kumpulan untuk versi Office yang anda tetapkan. Setelah templat tersebut dipasang (yang mungkin memerlukan beberapa penyelesaian), Anda menerapkan tetapan tambahan (ditunjukkan dalam Gambar 6) untuk mengendalikan versi Office melalui kebijakan kumpulan.

Setelah anda memilih laman web, domain, atau tingkat unit organisasi untuk menerapkan polisi tersebut dan telah membuka Editor Pengurusan Dasar Kumpulan, arahkan ke GPO_name\User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous\PST Settings.

Terdapat dua tetapan yang mungkin ingin anda konfigurasikan. Yang pertama adalah Mencegah Pengguna Menambahkan Kandungan Baru ke fail PST yang Ada, yang (seperti namanya) mencegah pengguna menambahkan lebih banyak e-mel ke PST yang sudah mereka miliki. Tetapan kedua adalah Mencegah Pengguna Menambahkan PST ke Profil Outlook dan / atau Mencegah Penggunaan PST Eksklusif Berbagi, yang menyekat pembuatan fail PST baru oleh pengguna anda.