Uploaded by doemaarnaarmij

Group Policy

advertisement
Windows 2008 70-640 Opdracht 06b
Active Directory staat beheerders toe om het beleid (rechten en instellingen) in het netwerk van een
volledig bedrijf te beheren. Ook het automatisch installeren van software en patches behoort tot de
mogelijkheden. Dit de je met behulp van group policies.
Volgorde van toepassen van policies:
•
•
•
Local policies (Domain controllers hebben geen local policy)
Site policies
(default is er geen site policy aanwezig)
Domain policy (Standaard is er een Default domain policy en een Default domain controller
policy)
• Ou policies
(Als een policy meerdere keren voorkomt dan wordt de laatste uitgevoerd.)
De Default domain policy en de Default domain controller policy, pas je alleen aan indien dat nodig is. Je
gebruikt daarom policies op de OU’s. Zo kan je eenvoudig voor b.v. gebruikers het Control Panel
uitschakelen, maar als je dan als Administrator inlogt en dus in een andere OU zit, heb je wel de
beschikking over het Control Panel.
Je OU structuur zal er ongeveer zo uitzien als het plaatje
hiernaast.
Het is dus ook handig om eerst een OU te maken voor al je
OU’s (dat is in dit voorbeeld de OU MijnBedrijf).
Zo kan je met een Group Policy meteen iets regelen op de OU
MijnBedrijf wat voor al je gebruikers geldt, behalve de
Administrator.
Maak op de OU MijnBedrijf een nieuwe Group Policy. Dit doe je door in de Group Policy Management
Console in het snelmenu te kiezen voor “Create a GPO in this domain, and link it here.
In deze policy ga je de policies regelen die voor iedereen in je bedrijf van toepassing zijn.
Geef de policy dan ook een passende naam.
In dit voorbeeld heet de policy “Algemene Policy van Mijn Bedrijf”.
Link Enabled betekent dat de policy actief is, haal je het vinkje weg dan staat de policy uit.
Enforced betekent dat de policy niet overschreven kan worden (noemen we ook vaak no override).
In de policy ga je de volgende zaken instellen:
• Voorkomen dat een user kan inloggen als er geen domain controller is.
• Niet tonen van de naam van de laatste persoon die op de pc was ingelogd.
• Windows update settings.
• Beperkte toegang tot het start menu, taakbalk, e.d.
Policies zijn van toepassing op users en op computers. Een computer moet dus ook in een OU zitten als
je wilt dat de policy voor de computer geldt.
Als je verschillende computer instellingen hebt voor
computers op de balie, boekhouding, etc. dan moet je de
computers van de balie in de OU balie zetten en de
computers van de boekhouding in de OU boekhouding, etc.
Je kan dan op iedere OU een policy maken met aparte
computerinstellingen.
Als alle computers gelijk zijn, dan kan hoeft dat niet.
Omdat in de drukkerij van Bas Hermans iedereen overal
achter iedere pc moet kunnen werken, zijn de policies voor
alle computers gelijk.
Er is in de OU bedrijf een OU gemaakt met de naam
computers en hier staan alle computer accounts in.
Maak deze OU en verplaats de computer account van Cliënt1 naar deze OU en reboot Cliënt1.
Edit de policy en stel de computer policies in:
Windows Settings – Security Settings – Local Policies – Security Options:
Interactive Logon: Do not display last user name – enabled
Interactive Logon: Number of previous logons to cache - 0
Stel de WSUS settings in, waarbij de wsus server de naam heeft wsus.jouwdomein.localofzo.
Je de updates download en scheduled om 3:00. Users 30 minuten hebben voor een reboot.
Er ieder uur op updates gecontroleerd wordt. Ook recommended updates worden meegenomen.
Stel bij de Users policies het Start Menu en de Taskbar zo in dat de user een beperkt Start Menu en
Taskbar heeft. Kies zelf welke policies je wilt instellen. In het voorbeeld hieronder zie je dat er redelijk
veel zijn ingesteld. Verwijder in ieder geval de games uit het Start Menu.
Nieuw in 2008 is dat je ook Preferences (voorkeuren) kan instellen. Als een policy is ingesteld
betekent het dat die setting vast ligt en niet meer door de user gewijzigd kan worden. Bij een
preference heeft de user wel de mogelijkheid om de instelling te wijziging.
Een goed gebruik van een preference is bijvoorbeeld de printer die de user als standaard printer
gebruikt.
Login met de account van Bas Hermans en controleer dat hij een
beperkt Start Menu heeft.
Controleer dat wanneer hij uitlogt er in het inlogscherm niet meer een naam staat van de laatste
ingelogde gebruiker.
Zet Reasrv1 uit. Dit kan je eenvoudig doen door deze in virtual pc op pauze te zetten.
Log nu weer in op Cliënt1 met de account van Bas Hermans.
Normaal gesproken kan een gebruiker nog 10x inloggen op een pc als de domain controller niet
beschikbaar is en hij al eerder op de pc heeft ingelogd.
Als het goed is lukt dat nu niet en krijg je onderstaande melding:
Omdat je niet wilt dat iedereen toegang heeft tot het Control Panel stel je in de Algemene Policy van het
bedrijf in dat het Control Panel niet toegankelijk is.
Login met de account van Magda (user op de boekhouding) en controleer dat zij geen toegang heeft tot
het Control Panel.
De directeur Bas Hermans wil wel toegang tot het Control Panel hebben en voor hem maak je en
uitzondering. Maak dus op de OU directie een policy (met b.v. de naam Directie of Control Panels
Access) en zet daarin de user policy “Prohibit access to the Control Panel” op disabled.
Login met de account van Bas en controleer dat hij wel toegang heeft tot het Control Panel.
Download
Random flashcards
mij droom land

4 Cards Lisandro Kurasaki DLuffy

kinderdagverblijf Wiekwijs

2 Cards oauth2_google_7b80f232-43ab-4a38-be6e-61287e4cdb0a

Iii

2 Cards oauth2_google_9c420ccc-aa1e-43e8-86f8-85252241aaed

engels hfst 1

25 Cards oauth2_google_c110ae80-d7f3-4403-b521-4d3d8bb0f63c

Create flashcards