Group Policy

אז מהו Group Policy?

תפקידו לנהל חשבונות משתמשים ועל מחשבים הנמצאים בארגון והארגון נמצא כחלק מActive Directory.

Group Policy, נותן למנהל הרשת לקבוע הגדרות למשתמשים ומחשבים, הגדרות אלו רחבות מהגדרת הרשת, האבטחה, הגדרות פורטים, הפעלת פיצ’רים מסוימים, מניעת גישה לחלק מאפשרויות מערכת ההפעלה התקנה של רכיבים מרחוק ועוד, והם כחלק מה Group Policy Objects

על מנת לנהל את ה Group Policy יש להשתמש בכלי הנקרא Group Policy Managment, כאשר מגדירים כלל מסוים בכלי זה הוא יחול על כל המשתמשים או אלו שנבחרו בארגון מסוים הנמצא ב Forest , ניתן להשתמש בכלי הניהול גם במחשב שאינו שרת דרך Remote Server Administration Tools או בקיצורו RSAT ובכך להתחבר לDC מרחוק ולבצע את ניהולו.

אם ברצונכם לנהל Group Policy ברמה המקומית של אותו מחשב ניתן להשתמש בכלי ה Local Group Policy Editor ניתן להריץ אותו גם דרך Run ולהקיש gpedit.msc על אותו מחשב מקומית.

במאמר זה אציג את הפונקציות השונות בניהול Group Policy

נכנס לDC המותקן בו AD DS נפתח את RUN נרשום gpmc.msc ונלחץ Enter

על מנת לפתוח Policy חדש, יש להחליט האם לשייך אותו לקבוצה מסוימת או לקבוע אותו ורק אז להחליט האם לשייך אותו לארגון כולו או לקבוצה מסוימת

על מנת ליצור קודם את הכלל יש להיכנס ל Group Policy Objects ששם כבר קיימים כללים אשר נוצרו אוטומטית, וללחוץ קליק ימני ואז New

צרו Policy חדש

כאן נחליט מה השם של הכלל, תמיד רשמו שם משמעומתי שיכול להסביר לכם מה כלל זה עושה לא רק שאתם תדעו אלה גם מנהלי הרשת האחרים

שם אינפורמטיבי

נלחץ קליק ימני על הכלל שיצרנו ואז Edit כמובן שניתן גם לשנות שם או למחוק את כלל זה

עריכה

בתוך User Configuration – >Policies -> Administrative Templates -> Desktop

לדוגמה ניתן להגדיר איזה רקע יהיה למשתמש, כמובן שהמשתמש יכול לשנות את הרגע שהגדרנו אבל אם נרצה לבטל למשתמש את האפשרות שלא יוכל לשנות את הרגע נוכל אף לבצע זאת גם.

ניתן לראות שכאשר פותחים כלל מסוים הוא מציג כמה אפשרויות האפשרות הראשונה היא:

Not Configured  – זאת אומרת שכלל זה לא מוגדר והוא יפעל על פי הגדרות ברירת מחדל.

Enabled – כלל זה תקף ויש להחילו

Disabled – אומר כי כלל זה אינו תקף

הכללים מנוסחים לפעמים בצורה טיפה מבלבלת, זאת אומרת לפעמים נתקל בכלל שאומר “אל תאפשר למשתמשים לשנות IP” אם ברירת המחדל היא שמשתמש לא יכול לערוך IP אז גם אם נעשה Enabled או Not Configured  התוצאה תהיה אותה התוצאה אבל אם נגדיר Disabled אז כלל זה יגדיר שלמשתמש כן מותר לשנות IP (זוהי דוגמא בלבד!) .

הכי חשוב לקרוא את ההסבר אם אינכם בטוחים מה כלל זה עושה

ניתן לראות שגם בכלל זה מיקרוסופט הכניסו הסבר מה כלל זה עושה וניתן לקרוא כי כלל זה ישנה את תמונתו של המשתמש ואף ימנע ממנו לשנות את הרקע, ובסוף אף מוסיפים שאם תבצעו Not Configured או Disabled אז הרקע יקבע על ידי המשתמש…

ניתן לראות שהעליתי תמונה לתיקיית שיתוף עקב כך שחשבון המשתמש צריך שיהיה לו גישה על מנת לקבוע רגע זה

כלל מסוים יכול לגרום לקריסה רגעית של הארגון

בנוסף ניתן לראות דוגמה כיצד הכתובת צריכה להראות ואיך התמונה תמתח.

כעת אם פתאום אנו רוצים לבדוק איזה כללים או איך הכללים הוגדרו בתוך ה Policy שיצרנו ניתן לבדוק זאת על ידי לחיצה על ה Policy שיצרנו ואז ללחוץ על הלשונית Settings

ניתן לראות שב Computer Configuration שום כלל לא חל

ואילו ב User Configuration הכלל של התמונה מוגדר וניתן לראות את ההגדרות שהגדרנו (יצא חרוז מידי)

מה קיים בPolicy זה?

כעת נוכל להגדיר לאיזה קבוצה, Forest, אנו רוצים להגדיר את  Policy זה, נלחץ קליק ימני (לדוגמה) על קבוצת ה Managers

ואז על Link an Existing GPO (קשר  Policy קיים)

נוכל לשייך Policy עוד לפני שיצרנו אותו על ידי create a gpo and linked it there

נבחר ב Wallpaper Organization שיצרנו קודם.

נבחר את ה Policy אותו נגדיר לקבוצת המנהלים

כעת כאשר נלחץ על  Policy זה  נוכל לראות על מי הוא חל וגם על איזה קבוצות אבטחה הוא חל

על מי חל

עכשיו תארו לכם מצב שקבעתם שכל המשתמשים בארגון יהיה לה רקע של “ים” ואילו למנהלים (Managers) לא יהיה רקע כלל ושהם יוכלו לשנות אותו כרצונם אז מה עושים? אם כלל זה מוחל על כולם ? אנו נבצע על ידי קליק ימני Block Inheritance

Block Inheritance – אומר לתיקיית המנהלים לחסום כל כלל אשר נמצא מעליו, כל כלל שבא “בירושה”

נחסום כל הורשה של כללים אחרים

וניתן לראות את ה עיגול הכחול עם סימן הקריאה בתוכו שאומר כי כל הכללים חסומים למעט הכללים שיש בתוכו

מה הורש לקבוצה זו

תראו כי רק הכלל של ה Wallpaper קיים ואילו השאר לא נמצאים… לדוגמה אם נסיר את ה Block Inheritance (על ידי ביצוע אותה הפעולה)

ניתן לראות כי הכללים שנמצאים למעלה אותם הוא יורש חוזרים

(עליכם לעבור ללשונית Group Policy Inheritance)

אם אין חסימה הוא יורש את זה מה שמעליו מבחינת ההיררכיה.

עכשיו תארו לכם מצב שאתם מגדירים כלל חשוב מאוד, לדגומה פתיחת פורט מסוים וכלל זה חייב להיות מוחל על כל המשתמשים גם אם יש כללים הנוגדים את כלל זה וגם אם על קבוצה מסוימת יש Block Inheritance … מה עושים?

נלחץ קליק ימני על הכלל ואז Enforced

נחיל ב”כוח” Policy זה

כעת תוכלו לראות שלכלל זה נוסף אייקון קטן של מנעול ובנוסף נוכל לראות שלמרות שלקבוצת ה Managers יש Block Inheritance הקבוצה קיבלה את הכלל למרות זאת.

סמלון של מנעול אומר כי Policy זה יופעל גם אם יש חסימה או כלל אשר מנגד כלל זה

WMI Filters

Windows Management Instrumentation

ובכן WMI בקיצור יכול למצוא קריטריונים של “חומרה” על ידי Qurey מסוים לדוגמה, אני רוצה למצוא כמה מחשבים על מינימום של 2GB של RAM יש לי בארגון? אז אוכל להשתמש בכלים מסוימים של מיקרוסופט לביצוע שאילתא זו (גם על תוכנות אוכל לבצע שאילתא דומה), או בהקשר Group Policy להחיל כללים מסוימים רק על מערכות הפעלה מסוג Windows 8, מטרתו הראשית היא לספק מידע דרך הרשת על מצב החומרה, התוכנות של מחשבים ברשת.

על מנת לנחיל Group Policy עם שאילתא מסוימת ב WMI עלינו להכנס ל WMI Filters וללחוץ קליק ימני ואז New

יצירת WMI query חדש

נרשום את שם השאילתא, לדוגמה Only Windows 8 ואף קדימה…

שם הWMI Qurey

נלחץ על ADD ונרשום את השאילתא , ניתן להשיג את רובם מהאינטרנט …

ניתן למצוא באינטרנט ווריאציות שונות ואם אתם מנוסים מספיק כתבו אחד משלכם

כעת לאחר שהוספנו שאילתא זו יש להגדיר אותה לPolicy מסוים

לדגומה את Firewall אשר פותח פורט בעייתי ב Windows 8 אך אין צורך לבצע זאת על מערכות הפעלה מתחת ל 8

נלחץ על Policy זה, ולמטה בתחתית המסך ב WMI Filtering נבחר ב Only Windows 8

ולאחר מכן YES

כן!