Windows 2008 70-640 Opdracht 06b Active Directory staat beheerders toe om het beleid (rechten en instellingen) in het netwerk van een volledig bedrijf te beheren. Ook het automatisch installeren van software en patches behoort tot de mogelijkheden. Dit de je met behulp van group policies. Volgorde van toepassen van policies: • • • Local policies (Domain controllers hebben geen local policy) Site policies (default is er geen site policy aanwezig) Domain policy (Standaard is er een Default domain policy en een Default domain controller policy) • Ou policies (Als een policy meerdere keren voorkomt dan wordt de laatste uitgevoerd.) De Default domain policy en de Default domain controller policy, pas je alleen aan indien dat nodig is. Je gebruikt daarom policies op de OU’s. Zo kan je eenvoudig voor b.v. gebruikers het Control Panel uitschakelen, maar als je dan als Administrator inlogt en dus in een andere OU zit, heb je wel de beschikking over het Control Panel. Je OU structuur zal er ongeveer zo uitzien als het plaatje hiernaast. Het is dus ook handig om eerst een OU te maken voor al je OU’s (dat is in dit voorbeeld de OU MijnBedrijf). Zo kan je met een Group Policy meteen iets regelen op de OU MijnBedrijf wat voor al je gebruikers geldt, behalve de Administrator. Maak op de OU MijnBedrijf een nieuwe Group Policy. Dit doe je door in de Group Policy Management Console in het snelmenu te kiezen voor “Create a GPO in this domain, and link it here. In deze policy ga je de policies regelen die voor iedereen in je bedrijf van toepassing zijn. Geef de policy dan ook een passende naam. In dit voorbeeld heet de policy “Algemene Policy van Mijn Bedrijf”. Link Enabled betekent dat de policy actief is, haal je het vinkje weg dan staat de policy uit. Enforced betekent dat de policy niet overschreven kan worden (noemen we ook vaak no override). In de policy ga je de volgende zaken instellen: • Voorkomen dat een user kan inloggen als er geen domain controller is. • Niet tonen van de naam van de laatste persoon die op de pc was ingelogd. • Windows update settings. • Beperkte toegang tot het start menu, taakbalk, e.d. Policies zijn van toepassing op users en op computers. Een computer moet dus ook in een OU zitten als je wilt dat de policy voor de computer geldt. Als je verschillende computer instellingen hebt voor computers op de balie, boekhouding, etc. dan moet je de computers van de balie in de OU balie zetten en de computers van de boekhouding in de OU boekhouding, etc. Je kan dan op iedere OU een policy maken met aparte computerinstellingen. Als alle computers gelijk zijn, dan kan hoeft dat niet. Omdat in de drukkerij van Bas Hermans iedereen overal achter iedere pc moet kunnen werken, zijn de policies voor alle computers gelijk. Er is in de OU bedrijf een OU gemaakt met de naam computers en hier staan alle computer accounts in. Maak deze OU en verplaats de computer account van Cliënt1 naar deze OU en reboot Cliënt1. Edit de policy en stel de computer policies in: Windows Settings – Security Settings – Local Policies – Security Options: Interactive Logon: Do not display last user name – enabled Interactive Logon: Number of previous logons to cache - 0 Stel de WSUS settings in, waarbij de wsus server de naam heeft wsus.jouwdomein.localofzo. Je de updates download en scheduled om 3:00. Users 30 minuten hebben voor een reboot. Er ieder uur op updates gecontroleerd wordt. Ook recommended updates worden meegenomen. Stel bij de Users policies het Start Menu en de Taskbar zo in dat de user een beperkt Start Menu en Taskbar heeft. Kies zelf welke policies je wilt instellen. In het voorbeeld hieronder zie je dat er redelijk veel zijn ingesteld. Verwijder in ieder geval de games uit het Start Menu. Nieuw in 2008 is dat je ook Preferences (voorkeuren) kan instellen. Als een policy is ingesteld betekent het dat die setting vast ligt en niet meer door de user gewijzigd kan worden. Bij een preference heeft de user wel de mogelijkheid om de instelling te wijziging. Een goed gebruik van een preference is bijvoorbeeld de printer die de user als standaard printer gebruikt. Login met de account van Bas Hermans en controleer dat hij een beperkt Start Menu heeft. Controleer dat wanneer hij uitlogt er in het inlogscherm niet meer een naam staat van de laatste ingelogde gebruiker. Zet Reasrv1 uit. Dit kan je eenvoudig doen door deze in virtual pc op pauze te zetten. Log nu weer in op Cliënt1 met de account van Bas Hermans. Normaal gesproken kan een gebruiker nog 10x inloggen op een pc als de domain controller niet beschikbaar is en hij al eerder op de pc heeft ingelogd. Als het goed is lukt dat nu niet en krijg je onderstaande melding: Omdat je niet wilt dat iedereen toegang heeft tot het Control Panel stel je in de Algemene Policy van het bedrijf in dat het Control Panel niet toegankelijk is. Login met de account van Magda (user op de boekhouding) en controleer dat zij geen toegang heeft tot het Control Panel. De directeur Bas Hermans wil wel toegang tot het Control Panel hebben en voor hem maak je en uitzondering. Maak dus op de OU directie een policy (met b.v. de naam Directie of Control Panels Access) en zet daarin de user policy “Prohibit access to the Control Panel” op disabled. Login met de account van Bas en controleer dat hij wel toegang heeft tot het Control Panel.
