Windows Server dla Domu i Małej Firmy 2/3

Strona 3 - Polisy

Polisy to jedna z moich ulubionych funkcji systemu Windows. Pozwala ona na scentralizowane zarządzanie i konfigurowanie praktycznie całego systemu. Innymi słowy pozwala na kontrolowanie tego, co użytkownicy mogą robić a czego nie. Możemy swobodnie kontrolować funkcje dostępne użytkownikom, nawet zabronić im takich drobnostek jak zmiana tapety. Aby wygodnie móc wygodnie zarządzać polisami należy ściągnąć dodatek ze strony: LINK . Gdyby z jakichś przyczyn jednak adres nie zadziałał wystarczy wpisać w wyszukiwarce „Group Policy Management Console”. Zalogujmy się na kontrolerze domeny z prawami administratora. Kliknijmy dwa razy na ikonkę z pobranym pliczkiem i rozpocznijmy instalację. Prawdopodobnie pojawi się błąd. Klikamy po prostu przycisk „TAK”, aby dodatkowe moduły zostały automatycznie pobrane i zainstalowane.

Klikamy „Next” – niestety język Polski w tym przypadku został zdyskryminowany.

Po szczegółowym przeczytaniu w skupieniu warunków licencyjnych, jeżeli się z nimi zgadzamy akceptujemy umowę i klikamy „Next”.

Chwilkę należy poczekać i sfinalizować instalację przyciskiem „Finish”.

Klikamy Start > Uruchom i wpisujemy „mmc”.

W konsoli, która się nam pojawi wybieramy „Plik”, a następnie „Dodaj przystawkę”.

Na kolejnej planszy klikamy przycisk „Dodaj”.

Z dość pokaźnej listy wybieramy „Group Policy Management” i klikamy przycisk „Dodaj”, a następnie „Zamknij” i „OK”.

Kliknijmy teraz w „Plik” i „Zapisz”, po to, aby nowo utworzona konsola zawsze była dostępna na pulpicie.

Nadajmy jej nazwę „GPO.msc”.

Rozwińmy teraz drzewko z lewej strony. Jak widać znajduje się tam zarówno nasz domena, jak i utworzone przez nas wcześniej grupy organizacyjne. Jest też takie coś jak „Default Domain Policy”, co tak jak nazwa wskazuje jest domyślną polisą dla naszej domeny. Wszystko, co znajduje się w drzewie „Pod nią” dziedziczy po niej, czyli mówiąc krótko korzysta z niej.

Jeżeli będziemy mieli taką potrzebę, dziedziczenie można zawsze wyłączyć poprzez kliknięcie prawym przyciskiem na jednostce organizacyjnej, jaka nas interesuje i wybraniu opcji „block inheritance”.

W tym przypadku jednak nie widzę takiej potrzeby. Stwórzmy po prostu nową polisę dla Księgowości. Kliknijmy ponownie prawym przyciskiem i wybierzmy „Create and link a GPO here”. Zauważmy też, że jeżeli już wcześniej stworzyliśmy polisę, która by nam odpowiadała w tym przypadku, możemy ją podłączyć wybierając „Link an existing GPO”.

Pojawi się ekran, w którym należy podać nazwę dla nowej polisy. Dobrze aby była ona intuicyjna. Ja ją nazwę „Ograniczenia dla Księgowości” i kliknę „OK”.

Pojawi się ona w liście po prawej stronie okienka. Jeżeli chcemy, żeby była ona zawsze wymuszona należy kliknąć na nią prawym przyciskiem i zaznaczyć opcję „enforced”, a następnie potwierdzić wybór klikając „OK”. W naszym przykładzie chcemy to zrobić.

Teraz właściwie zdefiniujmy co ta polisa ma robić. Po raz kolejny kliknijmy na niej prawym przyciskiem wybierając opcję „edit”.

Otworzy się nam „edytor obiektów i zasad grupy”. Nie będę tutaj opisywał jaką funkcję gdzie znajdziemy oraz do czego ona służy, gdyż byłby to dobry temat do napisania książki. Nie mniej jednak przy odrobinie cierpliwości uda się nam odnaleźć interesujące nas elementy i skutecznie ograniczyć użytkowników.

Spróbujmy dla przykładu trochę odchudzić na pomocą polis menu Start. Rozwińmy listę w następujący sposób Konfiguracja użytkownika > Szablony administracyjne >Menu Start i pasek zadań.

Kliknijmy dwukrotnie na „Usuń menu Pomoc z Menu Start”. W oknie, które nam się wyświetli zaznaczamy opcję włączone, następnie klikamy „Zastosuj” i „OK”. Powtórzmy tą samą czynność dla „Usuń menu Uruchom z menu start”. Dla złośliwości jeszcze możemy wyłączyć opcję Wyloguj z menu start.

Uda nam się dzięki temu osiągnąć, że użytkownik straci dostęp do pomocy, nie będzie mógł korzystać z opcji „uruchom”, a także już nigdy nie zostawi włączonego komputera w pracy, bo aby się wylogować będzie musiał wyłączyć komputer. Kiedy skończymy dokonywać wszelkich zmian klikamy „Plik” i wybieramy opcję „Zakończ”.

Zauważmy teraz, że nasza polisa została dodana tuż obok napisu „Księgowość” w GPO. Kliknijmy na nią, a następnie po prawej stronie z zakładek wybierzmy „Settings”, a następnie kliknijmy „Show all”. Pojawi się nam intuicyjny wgląd do zmian, jakie dana polisa wprowadza.

Aby sprawdzić czy nasze zabiegi odniosły jakikolwiek skutek musimy zalogować się na komputerze klienta i logujemy się jako Kasjer. Uruchamiamy konsolę Start > Uruchom. Wpisujemy „cmd”. W konsoli wpisujemy polecenie „gpupdate /force”, które to spowoduje pobranie z kontrolera domeny najnowszych polis bezpieczeństwa i ich wymuszenie. Można to samo osiągnąć po prostu uruchamiając komputer ponownie, ale nie byłoby to ani tak szybkie, ani tak profesjonalne.

Odświeżanie zasad bezpieczeństwa chwilkę potrwa, ale zakończy się sukcesem.

Zerknijmy na zrzut ekranu poniżej, zniknęła opcja pomocy, opcja uruchom oraz możliwość wylogowania się z systemu.

Warto zwrócić także uwagę, że jeżeli wejdziemy w dostosowywanie Menu start na komputerze klienta, gdzie wcześniej można było we własnym zakresie zdefiniować czy nieistniejące już opcje mają się wyświetlać czy też nie także zniknęły one z listy.

Podsumowując polisy stanowią bardzo potężne narzędzie w rękach administratora. Używa się ich nie tylko do dostosowywania takich banałów jak te przedstawione w przykładzie, ale przede wszystkim do zabezpieczania komputera. Na przykład możemy blokować różne kombinacje klawiszy, strony internetowe, dołączać lokacje sieciowe, możemy zablokować możliwość instalowania różnych aplikacji, korzystania z gier itp. Bez problemu także możemy wymusić aby na pulpicie pojawiły się skróty do niezbędnych firmowych aplikacji, a całą resztę funkcjonalności systemu Windows włącznie z używaniem niepotrzebnych przycisków po prostu zablokować. To tak jakbyśmy sami budowali sobie swój własny system operacyjny, idealnie spersonalizowany do własnych potrzeb i upodobań. Co najważniejsze można tego dokonać w sposób łatwy i przyjemny. Także istotne jest to, że polisy występują także np. w Windows XP i można je wdrożyć na potrzeby pojedynczego komputera bez konieczności korzystania z domeny. Powiedzmy, że wbudowane w system konto gościa pozostawia użytkownikom zbyt duże pole do manewru, a na komputerze domowym mamy zbyt wielu gości. Wystarczy w odpowiedni sposób zająć się polisami lokalnymi.