ROUTER      SWITCH

 

Windows Server 2008

 

Adresacja IP



Adresacja stanowi niezwykle ważny element w działaniu sieci komputerowych ponieważ na jej podstawie odbywa się dostarczanie informacji. Kiedy listonosz dostarcza nam list, dokonuje tego na podstawie naszego adresu zamieszania, w sieciach komputerowych natomiast, aby dostarczyć pakiety do odpowiedniego hosta potrzebny jest inny adres, nazywamy adresem IP. Stanowi on kluczowy element w funkcjonowaniu protokołów warstwy sieciowej. W tym artykule omówimy sobie, w jaki sposób działa adresowanie IP w wersji 4.

Adres IP jest adresem logicznym interfejsu sieciowego (hosta) to znaczy, że nie musi to być tylko adres konkretnego komputera, może to być również adres interfejsu (interfejsów) rutera czy access pointa.

Każdy adres IPv4 składa się z 32-bitowego ciągu zer i jedynek. Wynika to z faktu, że działanie urządzeń w sieciach komputerowych oparte jest na logice cyfrowej, co oznacza, że adresy te interpretowane są jako liczby binarne. Dla prostszego stosowania adresacji i zapamiętywania adresów, na co dzień stosuje się jednak zapis dziesiętny. Zapis ten składa się z 4 części (każda z nich to 1 bajt czyli 8 bitów), zwanych oktetami.

Dla lepszego zrozumienia posłużę się przykładem:

adres IP w zapisie dziesiętnym 192.112.20.101 będzie miał postać binarną równą 11000000.01110000.00010100.01100101






W każdym adresie IP, pewna część bitów (liczona od lewej strony), reprezentuje adres sieci, reszta natomiast stanowi adres konkretnego hosta. Jest to logiczne ponieważ pakiet najpierw musi trafić do właściwej sieci, dopiero potem trafia do konkretnego hosta. Jak w życiu, list najpierw trafia do miasta, dopiero potem pod wskazany numer domu na konkretnej ulicy. Jaka część bitów przeznaczona jest na adres sieci, a jaka na adres hosta określone jest przez tzw. maskę podsieci, która to określaja wielkość sieci oraz liczbę hostów w niej funkcjonujących.

Zanim przejdziemy do omówienia maski, musimy jeszcze określić typy adresów, które związane są z każdą siecią, są nimi:

  • adres sieciowy (ang. network address) -adres, który określa całą sieć,
  • adres rozgłoszeniowy (ang. broadcast address) – specjalny adres używany w celu wysyłania danych do wszystkich hostów w określonej sieci,
  • adres hosta (interfejsu urządzenia końcowego) – adres przyporządkowany urządzeniu końcowemu pracującemu w sieci.

Podział ten będzie nam potrzebny aby we właściwy sposób móc obliczać adresy IP.

Wróćmy teraz do naszej maski podsieci, która to określa, jaka część adresu IP określa sieć, a jaka hosty. Podobnie jak sam adres IP, również maska zapisana jest w postaci 32-bitowej i przez urządzenia sieciowe interpretowana jest jako liczba binarna, natomiast w zapisie oraz konfiguracji urządzeń stosuje się zapis dziesiętny, podzielony na 4 oktety. Przykładowa maska podsieci może mieć postać 255.255.255.0 dziesiętne czyli 11111111111111111111111100000000 binarnie. Czasami też możemy spotkać się z tzw. skróconym zapisem maski  (np. /24), określającym, ile jest jedynek w binarnym zapisie maski. My będziemy stosować oba te zapisy.

W jaki sposób interpretować zapis binarny, a co za tym idzie jak określić, która część adresu jest adresem sieci, a która hosta? Bardzo prosto: jedynki określają sieć, a zera hosty należące do tej sieci.

Teraz omówimy sobie, w jaki sposób należy obliczać adresy IP. Jest to przydatne w momencie kiedy będziemy chcieli na podstawie podanego adresu i maski określić adres sieci, do której należy host, maksymalną liczbę hostów należących do tej sieci oraz adres rozgłoszeniowy. Aby wykonać tego typu zadanie potrzebna będzie umiejętność konwersji liczb dziesiętnych na binarne (i odwrotnie) oraz wiedza z zakresu wykonywania operacji logicznych, a konkretnie operacji AND  NOT. Zaczynamy!

Podany jest adres ip w postaci: 192.168.1.145 oraz maska 255.255.255.128. Na podstawie tych danych należy obliczyć:

  • adres sieci,
  • adres rozgłoszeniowy,
  • maksymalną liczbę hostów,

oraz wskazać adres pierwszego i ostatniego hosta w sieci.

Rozwiązanie:

1. Obliczamy adres sieci

Zamieniamy adres IP oraz maskę na postać binarną

przeliczanieIP1

Na otrzymanych liczbach binarnych wykonujemy operację AND (czyli mnożymy liczby w kolumnach)

przeliczanieIP2

Otrzymaną postać binarną konwertujemy na liczbę dziesiętną

przeliczanieIP6

przeliczanieIP15

2. Obliczamy adres rozgłoszeniowy

Na postaci binarnej maski wykonujemy operację logiczną NOT (jedynki zamieniamy na zera, a zera na jedynki)

przeliczanieIP17

Zamieniamy otrzymaną liczbę binarną na postać dziesiętną

przeliczanieIP8

Otrzymaną liczbę dziesiętną dodajemy do adresu sieci

przeliczanieIP9
przeliczanieIP10

3. Obliczamy maksymalną liczbę hostów w sieci

Obliczając maksymalną liczbę hostów w sieci korzystamy ze wzoru

przeliczanieIP11

przypominam, że skrócony zapis maski to liczba jedynek w jej postaci binarnej

Co w naszym przypadku daje




przeliczanieIP12

Na koniec wskazujemy adres pierwszego i ostatniego hosta w sieci

Jeśli adres sieci ma postać 192.168.1.128 to adres pierwszego hosta będzie miał postać

przeliczanieIP13

Jeśli natomiast adres rozgłoszeniowy ma postać 192.168.1.255 to adres ostatniego hosta będzie miał postać

przeliczanieIP14

Podsumowując:

Adres sieci: 192.168.1.128.

Adres rozgłoszeniowy: 192.168.1.255.

Liczba hostów: 126.

Pierwszy host: 192.168.1.129.

Ostatni host: 192.168.1.254.

Powyższy sposób przeliczania sprawdzi przy adresie z każdej klasy adresowej. Zwróćcie uwagę na to, że wszelkie operacje (AND, NOT, dodawanie czy odejmowanie) wykonywaliśmy w kolumnach, oktet pod oktetem. Jeśli obliczalibyśmy adres z innej klasy, np 153.15.102.120 /18 i przykładowo, wykonując operację NOT na postaci binarnej maski i konwertując ją na liczbę dziesiętną otrzymalibyśmy postać 0.0.63.255, to aby uzyskać adres rozgłoszeniowy 63 dodajemy do trzeciego oktetu, natomiast 255 do czwartego oktetu adresu sieci. Stosując te zasady, będziecie w stanie przeliczać każdy adres IP.

 

 

 

Instalacja usługi Active Directory na przykładzie Windows Server 2008 R2

Instalacje usługi Active Directory na naszym serwerze powinniśmy zacząć od dokonania dwóch podstawowych zmian w ustawieniach systemu:

Po pierwsze: należy zmienić domyślną nazwę komputera (łatwiej będzie w przyszłości odwoływać się do serwera jeśli uprościmy jego nazwę).

Po drugie: należy określić hasło dostępu dla konta Administrator (jeśli zrobiliście to wcześniej, krok ten należy pominąć, natomiast jeśli nie, to należy go wykonać ponieważ instalacja AD bez nadania hasła dla tego konta nie powiedzie się).

Zmiana nazwy komputera

Aby wykonać tą czynność klikamy w ikonę serwera znajdującą się na pasku zadań obok przycisku START i wybieramy opcję Change System Properities

ad1 (Kopiowanie)

W kolejnym kroku wybieramy Change

ad2 (Kopiowanie)

Następnie nadajemy nazwę komputera – w moim przypadku jest to sever_ad i potwierdzamy zmiany kilkając w przycisk OK

ad3 (Kopiowanie)






WAŻNE: W tym momencie system „zaprotestuje” ponieważ w nazwie pojawił się symbol podkreślnika (_), jednak nie musimy się tym nadto przejmować i możemy potwierdzić zamiany w komunikacie, który się pojawił. Aby system zapisał zmiany w konfiguracji niezbędne jest jego ponowne uruchomienie.

Określenie hasła dla konta Administrator

Aby wykonać tą czynność ponownie klikamy w ikonę serwera znajdującą się na pasku zadań obok przycisku START i tym razem rozwijamy element Configuration -> Local Users i wybieramy folder Users

ad4 (Kopiowanie)

Następnie klikamy prawym przyciskiem myszy na konto Administrator, wybieramy opcję Set Password i potwierdzamy chęć nadania hasła dla konta klikając Proceed

ad5 (Kopiowanie)

Wpisujemy hasło – w moim przypadku będzie to !QAZ2wsx i potwierdzamy przyciskiem OK 

ad6 (Kopiowanie)

Jeśli nasze hasło spełnia wymagania określone w Password Policy (Zasadach haseł – o tym szerzej w kolejnych wpisach) pojawi się komunikat identyczny z poniższym

ad7_1

Kolejnym ważnym krokiem przy instalacji AD jest przypisanie odpowiednich adresów IP dla poszczególnych interfejsów sieciowych. Przypominam, że nasz serwer posiada dwa interfejsu sieciowe:

Pierwszy  – łączący serwer z siecią zewnętrzną (dalej będziemy określać go jako WAN), którego postać zależy od tego do jakiej sieci podłączony jest nasz serwer i tak:

Jeśli nasz serwer pracować będzie w sieci o adresie 10.0.0.0/24 to adres interfejsu WAN musi zawierać się w przedziale od 10.0.0.1 do 10.0.0.254. Pamiętać jednak należny o tym, że w tej sieci pracują już zapewne urządzenia i należy wiedzieć, które z adresów z w/w puli są już zajęte, a które wolne. Z dużą dozą prawdopodobieństwa można stwierdzić, że adres 10.0.0.1 jest już zajęty, ponieważ jest to pierwszy adres w sieci i zawsze rezerwowany jest przez bramę domyślną (inny serwer lub ruter), dodatkowo jeśli jest na nim uruchomia usługa DHCP to pewnie zakres adresów jest przydzielany automatycznie, zatem aby uniknąć problemów wybieramy adres inny niż te określone w zakresie DHCP. Aby dowiedzieć się jakie to adresy, należy sprawdzić konfiguracje usługi DHCP na naszym urządzeniu.

Przykład: Mój serwer pracować będzie w sieci o adresie 10.0.0.0/24, usługa DHCP mojego routera przydziela adresy z zakresu od 10.0.0.100 do 10.0.0.200, a zatem mamy sporą swobodę w dobrze adresu i wybieram adres 10.0.0.10 dla interfejsu WAN mojego serwera.

Drugi – tworzący naszą wewnętrzną sieć (dalej będziemy określać go jako LAN), dla niego ustawiamy inny adres, który będzie adresem sieci wewnętrznej, w której będzie pracował nasz serwer Active Directory. W moim przypadku będzie to adres 172.16.0.1.

Przypisanie adresacji interfejsu WAN

Aby zmienić nazwę interfejsu oraz przypisać mu adres IP ponownie klikamy w ikonę serwera znajdującą się obok przycisku START i wybieramy opcję View Network Connections

ad8 (Kopiowanie)

WAŻNE: przed zmianą nazwy należny sprawdzić, który z interfejsów łączy nasz z siecią zewnętrzną, a który będzie tworzył sieć wewnętrzną, dopiero potem dokonywać zmian nazwy!

Następnie klikamy prawym przyciskiem myszy ikonę interfejsu, wybieramy opcje Rename i zmieniamy nazwę interfejsu na WAN

ad9 (Kopiowanie)

W kolejnym kroku klikamy prawym przyciskiem myszy na interfejs WAN i wybieramy Properites

ad10 (Kopiowanie)

Zaznaczamy Internet Protocol Version 4 i ponownie klikamy Properties

ad11 (Kopiowanie)

Nadajmy adresację, którą wybraliśmy wcześniej, uzupełniając o dane takie jak: maska podsieci: 255.255.255.0, adres bramy domyślnej (urządzenia łączącego nas z Internetem): 10.0.0.1 (jeśli nasza sieć ma adres 10.0.0.0 to brama jest zawsze pierwszym adresem następującym po adresie sieci, czyli 10.0.0.1), adres serwera DNS: taki sam jak bramy, czyli 10.0.0.1. Zmiany zatwierdzamy przyciskiem OK.

ad12 (Kopiowanie)

Przypisanie adresacji interfejsu LAN

Zmianę nazwy interfejsu oraz nadanie adresu dokonujemy w analogiczny sposób jak w przypadku interfejsu WAN. Nadajemy adres wybrany wcześniej, uzupełniamy pozostałe dane takie jak: maska podsieci: 255.255.255.0 oraz adres serwera DNS: 172.16.0.1 Zmiany zatwierdzamy przyciskiem OK.

ad13 (Kopiowanie)

Po wykonaniu (i sprawdzeniu poprawności!) powyższych czynności możemy przystąpić do właściwej instalacji usługi Active Directory, która składać się będzie z dwóch części:

Pierwsza: dodanie usługi serwera i instalacja .NET Framework

Druga: instalacja usługi Active Directory

Dodanie usługi serwera i instalacja .NET Framework

Ponownie klikamy w ikonę serwera i wybieramy opcję Add Roles

ad14 (Kopiowanie)

W pierwszym kroku instalacji system poinformuje nas o czynnościach jakie powinny zostać przez nas wykonane przed dodaniem roli serwera, my już wszystkie z nich wykonaliśmy poprzednio, zatem aby ten krok nie pojawiał się już więcej przy dodawaniu kolejnych ról, zaznaczamy opcję Skip this page by default i wybieramy Next

ad15 (Kopiowanie)

W kolejnym kroku pojawia się lista usług, które możemy zainstalować, wybieramy Active Directory Domain Services

ad17

W tym momencie pojawi się komunikat systemowy o konieczności instalacji wtyczki .NET Framework, zatwierdzamy operację klikając Add Required Feathure, następnie klikamy Next

Kolejne okno to informacje systemowe związane z samą usługą Active Directory, potwierdzamy zapoznanie się z nimi klikając Next





ad18 (Kopiowanie)

W ostatnim kroku kreatora widzimy podsumowanie zawierające m.in. informacje o tym jakie czynności należny wykonać po instalacji, potwierdzamy klikając Install

ad19 (Kopiowanie)

Jeśli wszystkie czynności wykonaliśmy poprawnie, wówczas pojawi się komunikat podobny do tego poniżej. Widać tutaj, że system wykrył, iż automatyczne aktualizacje są wyłączone więc mile widziane jest ich włączenie w celu wyeliminowania podobnych komunikatów. Klikamy Close celu zakończenia instalacji

ad20 (Kopiowanie)

Instalacja usługi Active Directory

Klikamy przycisk START, w polu Search programs and files wpisujemy dcpromo.exe potwierdzamy przyciskiem Enter na klawiaturze

ad21 (Kopiowanie)

Ponownie pojawi się komunikat o nazwie zawierającej znak specjalny, ale i tym razem go ignorujemy i wybieramy opcję Continue

ad22 (Kopiowanie)

W pierwszym kroku kreatora instalacji nie dokonujemy żadnych modyfikacji i klikamy Next

ad23 (Kopiowanie)

Kolejny krok instalatora to ostrzeżenie o tym, iż system Windows Server 2008 oraz Windows Server 2008 R2 nie wspierają już rozwiązań bezpieczeństwa stosowanych w starszych wersjach systemu, w naszym przypadku nie ma to znaczenia więc ponownie klikamy Next

ad24 (Kopiowanie)

Tworzymy całkiem nowy las oraz domenę więc w następnym kroku wybieramy opcję Create a new domain in a new forest  i klikamy Next

ad25 (Kopiowanie)

 Następnie nadajemy nazwę domeny (domowa), będzie to domena lokalna więc po nazwie wpisujemy .local i klikamy Next

ad26 (Kopiowanie)

Teraz system sprawdzi czy nazwa, która podaliśmy już istnieje, jeśli nie, wówczas pojawi się kolejne okno kreatora, w którym określimy z jakimi serwerami wstecznymi nasz serwer (a właściwie las domen, który stworzyliśmy wcześniej) będzie kompatybilny. Zostajemy przy opcji domyślnej i klikamy Next

ad27 (Kopiowanie)

W kolejnym kroku nie dokonujemy żadnych zmian i klikamy  Next

ad28 (Kopiowanie)

Ponownie nie dokonujemy żadnych zmian i klikamy  Next

ad29 (Kopiowanie)

Następnie pojawia się okno z informacją o ścieżkach do katalogów Active Directory, również nie dokonujemy w nim żadnych modyfikacji i klikamy Next





ad30 (Kopiowanie)

Kolejny krok to nadanie hasła do odzyskiwania usług katalogowych, w moim przypadku jest to takie samo hasło jak dla konta Administrator, czyli !QAZ2wsx. Po wpisaniu hasła klikamy Next

ad31 (Kopiowanie)

Kolejny krok to podsumowanie, jeśli wszystkie informacje tam zawarte pokrywają się z tym co zamierzaliśmy wybieramy Next

ad32 (Kopiowanie)

Następuje instalacja usługi, która może potrwać od kilku do kilkunastu minut

ad33

Po instalacji usługi pojawi się komunikat widoczny poniżej, aby zakończyć proces instalacji klikamy Finish, następnie restartujemy nasz serwer.

ad34 (Kopiowanie)

W tym momencie zakończyliśmy instalację usługi Active Directory. Kiedy serwer uruchomi się na nowo, wówczas będziemy mogli korzystać z niego logując się na konto Administrator podając hasło ustawione na początku, zauważyć należy, iż przed nazwą użytkownika pojawiła się nazwa naszej domeny, oznacza to, iż cały proces instalacji przebiegł poprawnie.

Korzystanie z usługi Active Directory

 

Korzystanie z usługi Active Directory należy rozpocząć od stworzenia nowego konta z uprawnieniami administratora oraz od wyłączenia konta Administrator – wynika to ze względów bezpieczeństwa, nie powinno korzystać się z domyślnego konta do zarządzania systemem.

Aby dokonać zmian konfiguracyjnych użytkowników klikamy w ikonę serwera znajdującą się obok przycisku START, rozwijamy element Roles -> Active Directory Domain Services ->Active Directory Users and Computers -> domowa.local i klikamy w Users

ad35 (Kopiowanie)

Następnie  klikami prawym przyciskiem myszy na konto Administrator i wybieramy Copy (jest to najprostszy sposób stworzenia konta z uprawnieniami administratora)

ad36 (Kopiowanie)

Uzupełniamy formularz tworzenia nowego konta (nie trzeba wypełniać wszystkich pół, wystarczy podać First name oraz User logon name, w moim przypadku są takie same, pole Full name wypełni się automatycznie) i klikamy Next

ad37 (Kopiowanie)

Wpisujemy hasło, w moim przypadku !QAZ2wsx, pozostałe opcje pozostawiamy bez zmian i klikamy Next

ad38 (Kopiowanie)

Zatwierdzamy zmiany klikając Finish

ad39 (Kopiowanie)

Jak widzimy konto konserwator zostało utworzone

ad40 (Kopiowanie)

Na koniec wyłączamy konto Administrator, klikając prawym przyciskiem myszy i wybierając Disable Account

ad41 (Kopiowanie)

Po prawidłowym wykonaniu operacji ukaże się komunikat taki jak poniżej

ad42

Kolejnym krokiem, który musimy wykonać aby móc korzystać z usługi Active Directory jest dodanie komputera klienckiego (w tym przypadku będzie to komputer z systemem Windows 7) do domeny stworzonej wcześniej. Można to zrobić na kilka sposobów, ja zademonstruje jeden, z którego sam korzystam. Zanim wykonamy to zadanie, musimy ustawić adresację IP dla naszego komputera, zgodna z adresacją określą podczas instalacji usługi Active Directory.

Aby zmienić adres IP komputera należy zalogować się na lokalne konto a uprawnieniami administratora, kliknąć w ikonę sieci znajdującą się w prawej, dolnej części ekranu i wybrać Otwórz Centrum sieci i udostępniania

add1 (Kopiowanie)

Następnie klikamy w Zmień ustawienia karty sieciowej

add2 (Kopiowanie)

Klikamy prawym przyciskiem myszy na połączenie sieciowe i wybieramy Właściwości


add3 (Kopiowanie)

Wybieramy Protokół internetowy w wersji 4 i klikamy Właściwości

add4 (Kopiowanie)

Uzupełniamy adresację, i tak: adres IP: 172.16.0.2 (kolejny po adresie naszego serwera), maskę podsieci: 255.255.255.0 oraz bramę domyślną i adres serwera DNS: 172.16.0.1 (czyli adres naszego serwera) i zatwierdzamy zmiany klikając OK

add5 (Kopiowanie)

Przed właściwym procesem dodawanie komputera do domeny zaleca się sprawdzenie komunikacji pomiędzy serwerem a klientem, jak widzicie poniżej w moim przypadku zadziałało polecenie ping wysłane do bramy co oznacza właściwą konfigurację sieci

add6 (Kopiowanie)

Aby dodać komputer do domeny klikamy w przycisk START, prawym przyciskiem myszy klikamy w Komputer i wybieramy Właściwości

add7 (Kopiowanie)

Klikamy w Zmień ustawienia obok nazwy naszego komputera

add8 (Kopiowanie)

Wybieramy Zmień

add9 (Kopiowanie)

W polu domena wprowadzamy nazwę utworzonej poprzednio domeny i klikamy OK

add10 (Kopiowanie)

Wprowadzamy login i hasło konta z uprawnieniami administratora i klikamy OK

add11 (Kopiowanie)

Od teraz masz komputer jest członkiem domeny domowa.local

add12 (Kopiowanie)

 

Instalacja i konfiguracja serwera DHCP na przykładzie Windows Server 2008 R2

 

 

Usługa DHCP pozwala na automatyczne uzyskiwanie przez komputery klienckie adresów IP, co upraszcza zadanie administratorowi ponieważ nie musi on przypisywać kolejnym komputerom adresów ręcznie. Poza kilkoma sytuacjami kiedy adres powinien być przypisany „na sztywno” (statycznie) takie rozwiązanie jest wygodniejsze.

Aby zainstalować usługę DHCP w naszym systemie klikamy w ikonę serwera znajdującą się obok przycisku START, klikamy element Roles i wybieramy Add roles

dhcp1 (Kopiowanie)

Z listy dostępnych ról zaznaczamy DHCP Server i klikamy Next

dhcp2 (Kopiowanie)

Zapoznajemy się z informacjami przekazanymi przez system (jest tu mowa m.in. o tym, że komputer, którym będziemy instalować naszą usługę powinien mieć statycznie przypisany adres IP, my zrobiliśmy już to wcześniej) i klikamy Next

dhcp3 (Kopiowanie)

Wybieramy interfejs, na którym usługa DHCP ma działać (DHCP ma przydzielać adres komputerom w naszej sieci wewnętrznej więc zaznaczamy tylko interfejs o adresie 172.16.0.1 czyli LAN) i klikamy Next


dhcp4 (Kopiowanie)

Sprawdzamy poprawność danych, czyli nazwę domeny oraz adres serwera DNS (jest on taki sam sam jak adres naszego interfejsu LAN), klikamy Validate obok adresu serwera DNS i jeśli pojawi się zielona ikona klikamy Next

dhcp5 (Kopiowanie)

W następnym kroku zaznaczamy opcję Wins is not required for applications on this network i klikamy Next

dhcp6 (Kopiowanie)

Następnie klikamy Add… aby określić zakres adresów IP przydzielanych przez DHCP

dhcp7 (Kopiowanie)

Wprowadzamy potrzebne dane, takie jak: opis, zakres adresów, maskę podsieci oraz adres bramy (są to dane, które również będą przydzielana dla klientów automatycznie przez serwer), zaznaczamy opcję Activate this scope i klikamy OK

dhcp8 (Kopiowanie)

Rzutem oka sprawdzamy czy nazwa i zakres adresów się zgadzają i klikamy Next

dhcp9 (Kopiowanie)

Następnie zaznaczamy opcję Disable DHCPv6… (można zaznaczyć Enable… jednak na ten moment przydzielanie adresów IPv6 nie będzie potrzebne) i klikamy Next

dhcp10 (Kopiowanie)

Kolejny krok to zaznaczenie opcji Use current credentails, które pozwoli dokonać autoryzacji usługi DHCP (jest to niezbędne do tego, aby DHCP współdziałało z Active Directory), następnie i klikamy Next

dhcp11 (Kopiowanie)

Sprawdzamy w podsumowaniu czy wszystko się zgadza i klikamy Install


dhcp12 (Kopiowanie)

Serwer został zainstalowany poprawnie

[wp_ad_camp_3]

dhcp13 (Kopiowanie)

Po zakończeniu instalacji usługi DHCP uruchamiamy komputer kliencki i dokonujemy zamian w konfiguracji sieci

Logujemy się na konto konserwator (przypominam, że jest to konto stworzone po instalacji usługi Active Directory), klikamy w ikonę sieci znajdującą się w prawej, dolnej części ekranu i wybieramy Otwórz Centrum sieci i udostępniania

dhcp1 (Kopiowanie)

Następnie klikamy w Zmień ustawienia karty sieciowej

add2 (Kopiowanie)

Klikamy prawym przyciskiem myszy na połączenie sieciowe i wybieramy Właściwości

dhcp3 (Kopiowanie)

Wybieramy Protokół internetowy w wersji 4 i klikamy Właściwości

add4 (Kopiowanie)

Wybieramy opcję Uzyskaj adres IP automatycznie oraz Uzyskaj adres serwera DNS automatycznie i klikamy OK

dhcp5 (Kopiowanie)

Sprawdzamy teraz konfigurację sieciową naszego komputera wykonując polecenie ipconfig w wierszu poleceń, jak widać komputer uzyskał pierwszy adres z puli ustawionej wcześniej na serwerze

dhcp6 (Kopiowanie)

 

Instalacja i konfiguracja routingu na przykładzie Windows Server 2008 R2

 

 

Kolejnym etapem przy wdrażaniu usług serwerowych Windows jest instalacja i konfiguracja usługi, która pozwoli użytkownikom końcowym na korzystanie z sieci internet, trudno bowiem obecnie wyobrazić sobie prace użytkowników, bez dostępu do Internetu. Za dostęp ten w systemach Windows odpowiada usługa Routingu.

Aby zainstalować usługę Routingu w naszym systemie klikamy w ikonę serwera znajdującą się obok przycisku START, klikamy element Roles i wybieramy Add roles

routing1 (Kopiowanie)

Z listy dostępnych ról zaznaczamy Network Policy i and Access Services i klikamy Next

routing2 (Kopiowanie)

Zapoznajemy się z informacjami przekazanymi przez system i klikamy Next

routing3 (Kopiowanie)

Z dostępnej listy usług wybiera Routing and Remote Access Services (usługi poniżej zostaną znaczone automatycznie) i klikamy Next






routing4 (Kopiowanie)

Ponownie zapoznajemy się z informacjami przekazanymi przez system i klikamy Install

routing5 (Kopiowanie)

Jeśli proces instalacji przebiegnie właściwie ukaże nam się komunikat jak poniżej

routing6 (Kopiowanie)

To dopiero pierwsza część w procesie instalacji usługi Routingu na naszym serwerze, teraz nastąpi właściwa jej część, która pozwoli nam na jej konfigurację oraz uruchomienie. Pomoże nam w tym prosty konfigurator.

Aby uruchomić konfigurator usługi Routingu rozwijamy z listy ról Network Policy and Access Services, prawym przyciskiem myszy klikamy w Routing and Remote Access Services i wybieramy Configure and Enable Routing and Remote Access

routing7 (Kopiowanie)

Po uruchomieniu kreatora klikamy Next

routing8 (Kopiowanie)

Wybieramy usługę, którą chcemy skonfigurować – w naszym przypadku jest NAT (Network Address Translation), usługa zamieniająca adresy prywatne na publiczne, co jest niezbędne do tego aby komputery w sieci wewnętrznej mogły korzystać z sieci Internet, następnie klikamy Next

routing9 (Kopiowanie)

Określamy interfejs, na którym usługa ma być włączona (i tak w przypadku tej usługi musi być to interfejs WAN, inaczej niż w przypadku DHCP, gdzie wybieraliśmy LAN – przyp.) i klikamy Next

routing10 (Kopiowanie)

Klikamy Finish i następuje konfiguracja usługi

routing11 (Kopiowanie)

Aby sprawdzić poprawność instalacji i konfiguracji usługi, najlepiej uruchomić komputer kliencki, włączyć przeglądarkę internetową i sprawdzić czy wyświetla strony WWW.

Jak widać na poniższym zrzucie wszystko działa i komputer kliencki ma już dostęp do sieci Internet

 

routing1 (Kopiowanie)

 

 

Profil mobilny użytkownika na przykładzie Windows Server 2008 R2

 

Profil użytkownika systemu Windows zawiera zbiór plików (pliki zapisane na pulpicie, w folderze Dokumenty czy Obrazy) oraz ustawień zapisywanych na lokalnym komputerze w folderze Users (w przypadku systemu Windows 7). Przy każdorazowym logowaniu się do komputera, użytkownik ma dostęp do tych plików, jak również swoich ustawień, takich jak tło pulpitu czy kompozycja. Wszystko jest dobrze kiedy użytkowników korzysta tylko z jednej maszyny w swojej pracy, problem pojawia się kiedy korzysta w wielu komputerów, ponieważ każdorazowo musi dokonywać zmian ustawień czy kopiować swoje pliki, co jest dość uciążliwe. Czy tak musi być? Otóż nie, istnieje rozwiązanie, które pozwala na przenoszenie plików i ustawień razem z użytkownikiem, bez względu na to z jakiego komputera korzysta. Rozwiązanie to nazywa się mobilnym profilem użytkownika, zwanym czasem „profilem wędrującym”. Zmiana profilu użytkownika z lokalnego na mobilny jest dość prosta, wyjaśnię ją w kilku krokach. Na początek stworzymy na dysku C naszego serwera folder o nazwie profile , który będzie zawierał profile użytkowników i udostępnimy go w sieci lokalnej, oczywiście możemy przeznaczyć na ten cel całą partycję lub dysk, nam dziś wystarczy tylko folder.

Aby udostępnić folder w sieci klikamy na niego prawym przyciskiem myszy i wybieramy Properties

profil1 (Kopiowanie)

 Następnie wybieramy zakładkę Sharing i klikamy Advanced Sharing

profil2 (Kopiowanie)






Zaznaczamy opcję Share this folder następnie klikamy Permissions aby nadać uprawnienia do udostępnionego zasobu

profil3 (Kopiowanie)

Nadajemy pełne uprawnienia dla wszystkich użytkowników (pod warunkiem, że wszyscy będą mieli profile mobilne) zazaczając Allow na uprawnienie Full Control i potwierdzamy klikając OK

profil4 (Kopiowanie)

 Przechodzimy teraz do zarządzania usługą Acrive Directory, prawym przyciskiem myszy klikamy w nazwę użytkownika, któremu chcemy zmienić profil (ja zrobię to na przykładzie użytkownika, którego stworzyłem już wcześniej) i klikamy Properties

profil5 (Kopiowanie)

Przechodzimy do zakładki Profile, w polu Profile path podajemy ścieżkę sieciową do zasoby, który będzie przechowywał profil, w moim przypadku jest to \\server_ad\profile\%username% (zmienna systemowa %username% zwraca nazwę użytkownika więc ścieżka będzie taka sama dla wszystkich użytkowników) i potwierdzamy klikając OK

profil6 (Kopiowanie)

Od tej pory, wszelkie ustawienia użytkownika i pliki przechowywane na pulpicie oraz w folderach Dokumenty czy Obrazy będą przechowywane na serwerze, a użytkownik logując się do dowolnego komputera będzie takie same ustawienia oraz dostęp do swoich plików.

 

Zasady grupy (GPO) na przykładzie Windows Server 2008 R2

Zasady grupy to potężne narzędzie udostępnione administratorom systemów Windows w celu łatwiejszego zarządzania ustawieniami stacji roboczych. Wyobraźmy sobie sytuację, w której musimy skonfigurować komputery w taki sposób, aby użytkownicy nie mogli dokonywać zmian konfiguracyjnych, w taki sposób, aby mogli uruchamiać tylko konkretne aplikacje lub też tak, aby mieli dostęp do tylko niezbędnych im do pracy składników systemu.

Jesteśmy w stanie wykonać te czynności konfigurując każdy komputer z osobna, jest to jednak czynność bardzo czasochłonna i niewygodna, a stopień tej „niewygody” wzrasta wraz z liczbą komputerów, którymi zarządzamy. Można również napisać skrypt, który wykona te zadania i uruchomić go na wszystkich komputerach, ale i to nie jest zbyt wygodne rozwiązanie, a czasem wręcz niemożliwe ponieważ nie wszystkie nasze pomysły możemy w skrypcie zapisać. I tutaj z pomocą przychodzą nam zasady grupy, o których mowa będzie w tym artykule.

Zasady grupy wykorzystują scentralizowany system zarządzania, co oznacza, że konfiguracja tych zasad odbywa się na serwerze i poprzez odpowiednie mechanizmy rozsyłana jest na komputery klienckie. Wszystkie ustawienia przez nas zdefiniowane przechowywane są w obiektach zasad grupy (ang. Group Policy Objects), a do zarządzania tymi obiektami służy konsola zarządzania zasadami grupy (ang. Group Policy Management Console).

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

  • ustawienia komputera (ang. computer configuration) – ustawienia, które stosowane są dla komputerów bez względu na to, który użytkownik jest zalogowany i wprowadzane są podczas uruchamiania systemu operacyjnego (później są odświeżane co 90-120 minut)
  • ustawienia użytkownika (ang. user configuration) – ustawienia, które wprowadzane są podczas logowania użytkownika, bez względu na to na jaki komputer się loguje (również są one później odświeżane są co 90-120 minut)

W ramach tych dwóch grup, możemy stosować setki różnych ustawień (np. zabronić dostępu do rejestru, pozwolić na uruchamianie tylko konkretnych aplikacji oraz wiele innych), niektóre z nich są dostępne zarówno dla konfiguracji komputera i użytkownika, inne zaś tylko dla jednej grupy, np. przekierowanie folderu dostępne jest tylko do konfiguracji użytkownika, a  np. automatyczna instalacja oprogramowania tylko dla konfiguracji komputera.

Przejdziemy teraz do omówienie konsoli zarządzania zasadami grupy, pokażę jak poruszać się w konsoli oraz w jaki sposób przypisywać zasady dla poszczególnych użytkowników.

Aby uruchomić konsolę GPO klikamy w START, wybieramy Administrative Tools i klikamy w Group Policy Management (możemy również kliknąć START, wybrać Run… i wpisać gpedit.msc)

Rozwijamy element Forest, następnie Domains i domowa.local

gpo_s

Znajdziemy tutaj elementy, takie jak:

  • Default Domain Policy – jest to link do domyślnych zasad przypisanych do całej domeny (zwróćcie uwagę, że znajduje się on bezpośrednio pod nazwą domeny, co oznacza, że jest stosowany właśnie do całej domeny).
  • Domain Controllers – jest jednostka organizacyjna, w której możemy umieszczać linki do zasad stosowanych dla kontrolera domeny (czyli naszego serwera), domyślnie znajduję się tutaj link do zasady Default Domain Controllers Policy.
  • Group Policy Objects – jest to folder, w którym znajdują się wszystkie zasady, które będziemy tworzyć i stosować, po instalacji serwera znajdują się tam zasady Default Domain Policy oraz Default Domain Controllers Policy.
  • WMI Filters – jest to folder, w którym możemy umieszczać filtry WMI, pozwalające określać zakres stosowania zasad na podstawie właściwości komputera, takich jak np. rodzaj zainstalowanego systemu operacyjnego.
  • Starter GPOs – jest to folder zawierający zdefiniowane zasady stosowane dla komputerów z systemami Windows XP oraz Windows Vista (domyślnie są one wyłączone, aby je uruchomić klikamy w Starter GPOs i klikami w Create starter GPOs).

Pozostałe elementy to: Site (zawiera zasady dla różnych lokacji w domenie), Group Policy Modeling (pozwala na projektowanie zasad) oraz Group Policy Result (pozwala na sprawdzenie wyników działania zasad przed ich wdrożeniem). Prawa strona okna to właściwości omówionych wyżej elementów oraz ich konfiguracja.

Aby pokazać Wam, w jaki sposób tworzyć i zarządzać zasadami, przygotuję taką, która zabroni konkretnemu użytkownikowi dostępu do panelu sterowania. Zanim to zrobię, utworzę najpierw jednostkę organizacyjną userzy i dodam do niej użytkownika user1. Uruchamiamy zatem konsolę Active Directory, klikając w START, wybieramy Administrative Tools i klikamy w Active Directory Users and Computers.



Prawym przyciskiem myszy klikamy w nazwę domeny (domowa.local), wybieramy New, następnie Organization Unit

gpo_2

Nadajemy nazwę naszej jednostce organizacyjnej i klikamy OK

gpo3

Rozwijamy element domowa.local, prawym przyciskiem myszy klikamy w jednostkę organizacyjną, którą stworzyliśmy w poprzednim kroku, wybieramy New, następnie User






gpo4

Tworzymy użytkownika o nazwie user1 z hasłem !QAZ2wsx, ustawiamy opcję The password never expires i klikamy Finish po wyświetleniu podsumowania

gpo5

Uruchamiamy ponownie konsolę  Group Policy Management, jak widać pojawił się stworzony w AD kontener userzy (na tym etapie nie będzie jeszcze potrzebny)

gpo6

Klikamy prawym przyciskiem myszy w folder Group Policy Objects (tutaj tworzymy wszystkie zasady) i wybieramy New

gpo7

Nadajemy nazwę dla naszej zasady (proponuję panel, aby łatwo można było ją odróżnić od innych) i klikamy OK

gpo8

Rozwijamy folder Group Policy Objects i klikamy w zasadę panel

gpo9

Stworzenie kontenera userzy nie spowodowało, że domyślnie nasza zasada będzie działać dla użytkowników w nim się znajdujących, działanie to ma na celu utrzymanie porządku w zasadach, to dla kogo zasady będą stosowane określimy w następnych krokach.

Klikamy w element Authenticated Users i wybieramy Remove (usuwamy w tym momencie wszystkich użytkowników spod działania zasady, nie chcemy, aby nasza zasada działała dla wszystkich użytkowników lecz dla konkretnych)

gpo10

 Potwierdzamy chęć usunięcie klikając OK

gpo11

Klikamy Add, w celu dodania użytkowników, dla których zasada będzie działać

gpo12

Wpisujemy nazwę użytkownika (user1) i klikamy OK

gpo13

Klikamy zakładkę Settings, gdzie znajduje się podsumowanie naszej zasady (na razie jest pusto)

gpo14

Klikamy prawym przyciskiem myszy na białe pole i wybieramy Edit

gpo15

Rozwijamy element User Configuration, Policies, Admnistrative Templates następnie klikamy w Control Panel i odnajdujemy opcję Prohibit access to the Control Panel

gpo16

Klikamy dwa razy w element Prohibit access to the Control Panel, zaznaczamy opcję Enable i klikamy OK

gpo17

Jak widać w podsumowaniu opcja zaznaczona została właściwie

gpo18

Podpinamy naszą zasadę do kontenera userzy, klikając prawym przyciskiem myszy na jego nazwę i wybierając Link an Existing GPO…

gpo19

Wybieramy zasadę panel i klikamy OK

gpo20

Jak widać stworzyliśmy link do zasady panel, który podpięty został do kontenera userzy

gpo21

Logujemy się do stacji roboczej korzystając z konta user1 i próbujemy uruchomić panel sterowania

gpo

Jak widać jest to niemożliwe, tak więc zasada działa poprawnie

gpo2

Jeśli zasady wprowadzamy kiedy już użytkownik jest zalogowany wówczas zaczną one działać dopiero po określonym czasie lub przy następnym zalogowaniu. Możemy również zasady odświeżyć stosując polecenie konsoli Windows na stacji roboczej o składni gpupdate /force, wówczas zasada zacznie działać od razu.

W tym przykładzie stworzyliśmy obiekt zasad grupy działający dla jednego użytkownika, istnieje również możliwość przypisywania zasad dla wielu użytkowników, grupy lub też konkretnych komputerów. W kolejnym artykule przestawię więcej możliwości konfiguracyjnych w zasadach grupy.

W poprzednim artykule dowiedzieliście się czym są zasady grupy oraz poznaliście mechanizm tworzenia i przypisywania zasad poszczególnym użytkownikom. W tym artykule omówię kolejne elementy konsoli zarządzania zasadami grupy oraz wdrożę przykładowy scenariusz konfiguracji zasad grupy.

Zacznijmy jednak od omówienia elementów konsoli służących do zarządzania pojedynczym obiektem. Obiekt to zbiór zasad przez nas zdefiniowanych, zapisanych w folderze Group Polisy Object. Pojedynczym obiektem zasad grupy jest obiekt panel, który stworzyłem i omówiłem w poprzednim artykule (blokował on dostęp użytkownikowi do panelu sterowania – szczegółowy opis tej konfiguracji znajdziesz tutaj). Aby dostać się do elementów zarządzania tym obiektem (i każdym innym), klikamy prawym przyciskiem myszy na jego nazwę, znajdziemy tam m.in.:

  • Copy (kopiuj) – polecenie służące do kopiowania obiektu, przydatne wówczas, kiedy chcemy stworzyć obiekt, którego ustawienia mają bazować na ustawieniach innych obiektów
  • Back up (kopia zapasowa) – polecenie służące do tworzenia kopii zapasowej obiektu, kopiujące nie tylko sam obiekt, ale również łącza do niego, uprawnienia oraz dodatkowe pliki
  • Restore From Backup (przywróć z kopii zapasowej) – polecenie służące do przywracania obiektu z stworzonej uprzednio kopii zapasowej
  • Import Settings (importuj ustawienia) – polecenie służące do kopiowania samych ustawień zapisanych w obiekcie, bez łącz i uprawnień
  • Save Report (zapisz raport) – polecenie służące do zapisywania raportu do pliku HTML
  • Delete (usuń) – polecenie służące do usunięcia obiektu wraz z łączami i uprawnieniami
  • Rename (zmień nazwę) – polecenie służące do zmiany nazwy obiektu

Polecenia wyżej wymienione, pozwalają w łatwy sposób organizować i zabezpieczać nasze zasady w domenie, jednak, aby właściwie je wdrażać i kontrolować, należy zwrócić uwagę jeszcze na dwa bardzo ważne elementy, jakimi są pierwszeństwo przetwarzania zasad oraz dziedziczenie.

Pierwszeństwo przetwarzania zasad

Często zdarza się taka sytuacja, że do danej jednostki organizacyjnej mamy przypisanych kilka obiektów zasada. Domyśle ich przetwarzanie odbywa się w kolejności ich tworzenia, obiekt stworzony jako ostatni, jako ostatni jest przetwarzany. Zdarzają się jednak sytuacje, kiedy chcemy, aby zasady wykonywały się one w innej kolejności. Aby pokazać Wam, w jaki sposób zmienić ową kolejność, stworzyłem obiekt o nazwie rejestr (bez ustawień) i połączyłem go z naszym kontenerem userzy.

Jak widać po prawej stronie ekranu, zasada panel stworzona wcześniej, znajduje się na górze i oznaczona jest nr 1 (Link Order), natomiast zasada rejestr ma przypisany nr 2

gpo22

Zmienimy teraz kolejność przetwarzania, zaznaczając obiekt rejestr i klikając w strzałkę Move link up

gpo23

Jak widać kolejność przetwarzania została zmieniona

gpo24

Tutaj może pojawić się pytanie o sens zmiany kolejności, skoro jeden obiekt, ma inne ustawienia niż drugi. W tym akurat przypadku oczywiście nie ma potrzeby zmiany tej kolejności (zasady nie wykluczają się), ale czasem zasady stosowane w obiektach są ze sobą w konflikcie (w pierwszym zasada, jest włączona, w drugim nie), a wówczas, to który obiekt będzie przetwarzany jako pierwszy jest bardzo ważne.

Dziedziczenie

Zasady grup przetwarzane są w kolejności: lokacja, domena, jednostka organizacyjna. Oznacza to tyle, że zasady przypisane dla lokacji czy domeny, będą również działały dla jednostek organizacyjnych – jednostka dziedziczy po domenie, domena po lokacji. Przykładowo, jeśli zastosujemy dla domeny blokowanie ekranu komputera po 60 sekundach, to zasada ta będzie działać dla wszystkich użytkowników tej domeny. Oczywiście mamy możliwość wyłączenia dziedziczenia, odbywa się ono na poziomie domeny lub jednostki organizacyjnej. W naszym przykładzie, dla kontenera (jednostki organizacyjnej) userzy mam przypisane 3 obiekty: rejestr, panel oraz Default Domain Policy. Aby to sprawdzić klikamy w konsoli zarządzania obiektami zasad grup kontener userzy, następnie klikamy w zakładkę Group Policy Inheritance.

Jak widać obiekt Default Domain Policy jest dziedziczony z domeny, co oznacza, że wszystkie ustawienia w nim zapisane wykonywane są również dla kontenera userzy

gpo25

Wyłączymy teraz to dziedziczenie

Aby to zrobić, klikamy prawym przyciskiem myszy na kontener userzy i wybieramy opcję Block Inheritance

gpo26

Jak widać obiekt Default Domain Policy zniknął ze zbioru dla naszego kontenera, w przy jego nazwie pojawiła się ikona świadcząca o wyłączeniu dziedziczenia

gpo27

Opcja blokowania dziedziczenia powinna być używana bardzo rzadko lub też wcale. Powoduje ona zmianę kolejności przetwarzania zasad, co przy dużej liczbie obiektów może przyczynić się do sporego w nich bałaganu, a w konsekwencji do niezamierzonego ich działania.

Przejdźmy teraz do realizacji konkretnego zadania, który przygotowałem, polegającego na wprowadzeniu kilku zasad, w celu ograniczenia możliwości zarzadzania komputerem przez użytkowników. Scenariusz zakłada, że użytkownik komputera ma:

  • Zabronioną możliwość zmiany tapety
  • Zabroniony dostęp do menadżera zadań
  • Wyłączoną możliwość korzystania z dysków USB
  • Zabroniony dostęp do edytora rejestru
  • Zabroniony dostęp do przeglądarki internetowej (w naszym przypadku Internet Explorer)

Zmiany konfiguracyjne zapiszemy w obiekcie, który nazwiemy ust_user, a działanie obiektu ustawimy na grupę użytkowników pracownicy, którą stworzymy i „uzbroimy” w użytkowników korzystając z konsoli Active Directory. Uruchamianym zatem konsolę AD, klikając w START, wybieramy Administrative Tools i klikamy w Active Directory Users and Computers.

Rozwijamy element domowa.local, prawym przyciskiem myszy klikamy w kontener userzy  wybieramy New, następnie Group






gpo28

Nadajemy nazwę nowej grupie i klikamy OK (pozostałe opcje pozostawiamy bez zmian)

gpo29

Przenosimy teraz użytkownika user1 do grupy pracownicy, klikając prawym przyciskiem myszy w jego nazwę i wybierając Add to a group…

gpo30

Podajemy nazwę grupy i klikamy OK

gpo31

Pojawi się komunikat potwierdzający dodanie użytkownika do grupy

gpo32

Utworzyłem jeszcze jednego użytkownika, tym razem o nazwie user2 i dodałem go do grupy pracownicy, tak aby pokazać Wam, że zasady stosować można dla grup użytkowników.

Aby potwierdzić, że nasi użytkownicy należą do grupy pracownicy, klikam prawym przyciskiem myszy na nazwę grupy i wybieram Properties

gpo33

Klikamy zakładkę Members, jak widać grupa ma przypisanych dwóch członków, pomimo, że ich ikony nadal są widoczne w kontenerze userzy

gpo34

Zapamiętajcie! Kontener to nie to samo co grupa. Kontenery czyli jednostki organizacyjne tworzymy dla uporządkowania użytkowników i obiektów zasad grup, grupy użytkowników natomiast, tworzymy aby nadawać im odpowiednie uprawnienia i stosować zasady dla większej liczby użytkowników jednocześnie.

Przejdźmy teraz do wdrażania przygotowanych wcześniej zasad. Uruchamiamy konsolę GPO klikając w START, wybieramy Administrative Tools i klikamy w Group Policy Management (dla porządku usunąłem wcześniej poprzednie obiekty: panel i rejestr, gdyż nie są one nam już potrzebne).



Rozwijamy element Forest, następnie Domains i domowa.local, prawym przyciskiem myszy klikamy w kontener Group Policy Objects i wybieramy New

gpo35

Nadajemy nazwę obiektowi zasady i klikamy OK

gpo36

Zmieniamy użytkowników, na których działać będą ustawienia, najpierw usuwamy Authenticated Users, zaznaczając ich i wybierając Remove

gpo37

Dodajemy grupę pracownicy, klikając Add, wpisujemy nazwę grupy i potwierdzamy OK

gpo38

Edytujemy ustawienia klikając w Settings, następnie prawym przyciskiem myszy na białe pole i wybieramy Edit…

gpo39

Wszystkie nasze ustawienia znajdziemy w węźle Administrative Templates, aby się do niego dostać rozwijamy element User Configuration -> Polices -> Administrative Templates

gpo40

Dokonujemy zmian konfiguracyjnych

Zabroniona możliwość zmiany tapety – Control Panel -> Personalization -> Prevent changing desktop background -> Enable

gpo41

Zabroniony dostęp do menadżera zadań – System -> Ctrl+Alt+Del Options -> Remove Task Manager -> Enable

gpo42

Wyłączoną możliwość korzystania z dysków USB – System -> Removable Storage Access -> All Removable Storage classes: Deny all access -> Enable

gpo43

Zabroniony dostęp do edytora rejestru – System -> Prevent access to registry editing tools -> Enable

gpo44

Zabroniony dostęp do przeglądarki internetowej (Internet Explorer) – System -> Don’t run specified Windows applications -> Enable -> Show -> iexplore.exe

gpo45

Jak widać w podsumowaniu wszystkie zasady zostały skonfigurowane

gpo46

Podpinamy jeszcze nasz obiekt do kontenera userzy, klikając w jego nazwę prawym przyciskiem mszy i wybierając Link an Existing GPO…

gpo47

Wybieramy obiekt ust_user i klikamy OK

gpo48

Logujemy się do stacji roboczej korzystając z konta user1 i user2 i testujemy ustawienia, próby dostępu do elementów, które skonfigurowaliśmy w ramach GPO widać poniższej:

User1:

Próba zmiany tapety (opcja wygaszona, czyli niedostępna)

gpo3

Próba dostępu do rejestru

gpo4

User2:

Próba dostępu do menadżera zadań (opcja wygaszona, czyli niedostępna)

gpo5

Próba uruchomienia przeglądarki Internet Explorer

gpo6






Zbiór ustawień, które Wam przedstawiłem to tylko niewielka część dostępnych. Jest ich tak dużo, że trudno omówić wszystkie, ale w kolejnych artykułach przedstawię jeszcze kilka, moim zdaniem ciekawszych i przydatnych.