Labra 4: Windows 2000 ryhmäkäytännöt ja AD (testattu mutta
uusi testaamaton)
Taustaa
Ryhmäkäytännöt (GP = group policy) on Windows 2000:n yksi tehokkaimmista
keinoista hallita tiettyjä toimintoja verkoissa. Jos haluat saada täyden
hyödyn irti Windows 2000 -palvemista on GP:jen hallitseminen ehdoton edellytys.
GP voi liittyä organisaatioyksikköön (OU = organizational unit) tai
tiettyihin muihin AD:n olioihin, järkevällä ja tarkoituksen mukaisella
organisaatioyksiköiden käytöllä voidaan toteuttaa monipuolisia ja
haasteellisia toteutuksia. GPO (Group Policy Object) on AD:ssa oleva olio, josta
user ja computer-objektit käyvät lukemassa tiedot kokoonpanosta.
Lue seuraavat kb-artikkelit:
Q203607 How to modify the default Group policy refresh Interval
Q324886 You cannot Add an MSI package to an GPO
Q278472 Packages Assigned to computers with GP are not installed
Paikallinen suojauskäyntäntö secpol.msc
Paikallinen ryhmäkäytäntö gpedit.msc
Tavoitteet
Tavoitteena on harjoitella ryhmäkäytäntöjen käyttöä
Windows 2000 palvelimessa.
Toteutus
tarvit seuraavaa:
 | palvelimen jossa Windows 2000 server |
| työaseman testausta varten |
Yksi ryhmän jäsen kirjaa kaikki asennuksen vaiheet ja huomiot.
Palvelimen/työaseman nimi ja IP-asetukset
| tarkista
palvelimen sekä työaseman nimi ja IP-osoite ja testaa että työasema
loggaa toimialueelle |
Active Directoryn käyttö työasemalta
| valitse työasemalla My Network Places - Entire Networks - Directory -
[oma toimialueesi] |
| valitse hiiren oikealla Find |
| listaa mitä asioita voit hakea hakemistosta? |
| muuta/lisää palvelimella palvelimen ja clientin tietoihin paikkatieto,
saatko sen näkyviin työasemalla? |
| voitko muuten hallita (manage) koneita tämän kautta? Kokeile! |
Organisaatioyksiköiden ja ryhmien luonti
| luo toimialueellesi seuraavanlainen organisaatiohierarkia OU:ten avulla
 |
| mieti millaisia käyttäjäryhmiä (group) kannattaisi oheiseen
organisaatioon luoda |
| luo Myyntitykit -niminen käyttäjäryhmä ja luo siihen
vähintään kaksi käyttäjää |
| sijoita työaseman konetili Myynti-Kotimaa-Työasemat -OU:hun |
| tutki helpeistä ja oheismateriaaleista mille eri objekteille GP:t voidaan
liittää |
Domain Security Policy
| pohdi ja kirjaa miksi käytännön elämässä tulee ja pitää käyttää
tiukkaa "salasanapolitiikkaa" |
| asetetaan käyttäjien salasanojen vaatimukset kohdasta Domain Security
Policy:
- valitse Security Settings -> Account Policies -> Password Policies
- aseta salasanalle seuraavat asetukset/rajoitukset:
- viisi viimeistä salasanaa muistetaan eli ei voi käyttää samaa
uudestaan
- minimipituus 8 merkkiä
- salasanan tulee olla tarpeeksi vaikea (complexity)
- jos käyttäjä tarjoaa väärän salasanan kolme kertaa, lukitaan logon 1
minuutiksi:
- Security Settings -> Account Policies -> Account Lockout
Policy |
| testaa työasemalta tuliko salasana-käytännöt voimaan, eli mitä
tapahtuu jos yrittää käyttäjä vaihtaa salasanaa / yrittää logata
väärällä salasanalla |
| jos haluat myyntitykeille vielä tiukemman salasanavaatimuksen esim 12
merkkiä, kuinka se tehdään? Kokeile |
| kokeile myös asettaa päälle seuraavat turvallisuusasetukset Myynti
OU:ssa :
- Active Directory Users and Computers
- valitse toimialueesi ja hiiren pikavalikosta Properties
(tämä jos koko toimialueelle: 1) valitse GroupPolicy, Default Domain Policy ja napsauta Edit
- valitse OU:n Properties ja välilehti GroupPolicy
- Computer Configuration | Windows Settings | Security Settings | Local
Policies | Security Options
- aseta päälle seuraavat ja raportoi miten ne vaikuttavat:
1) Allow system to be shutdown without having to log on
2) Do not display last user name in logon screen
3) Message text for users attempting to log on -> tekstiksi "Tämä
on Firma Oy:n työasema. Luvaton käyttö kielletty. Työaseman käyttöa
valvotaan."
4) Message title for users attempting to log on: "Työaseman käyttöä
koskeva oikeudellinen tiedotus" |
| listaa mitä muita "mielenkiintoisia" ja käyttökelpoisia
asetuksia löydät edellisen kohdan listasta |
| päivitysnopeus on oletuksena GPO:lle työasemat 90 min ja DC:t 5 min,
asetusta voi muuttaa, katso Microsoftin knowledgebasesta dokumentti Q203607
How to modify the default Group policy refresh interval |
Asennuspaketin välittäminen automaattisesti tietyille
koneille/käyttäjille
| haluat että tietyillä käyttäjillä on käytössään kaikilla koneilla
mitä he käyttävät tietty softa-paketti -> tämä voidaan hoitaa
GP-käytännöllä |
| siirrä työasema (jollei jo siirretty) Myynti-Kotimaa-Työasemat -OU:hun,
valitse OU:n ominaisuudet |
| tee palvemille uusi jako SOFTAA, jaa se kaikille käyttäjille
Read&Execute -oikeuksien |
| kopioi opettajan kertomasta osoitteesta MSI-tiedosto luomaasi
SOFTAA-jakoon |
| valitse Computer Configuration | Software Settings
- napsauta kakkospainikkeella Software Installation ja valitse New|Package
- browsaa UNC-osoitteesta \\palvelin\SOFTAA\MSI-tiedosto
- valitse Assign
- jostain syystä paketin teko ei aina onnistu, MS on myöntänyt bugin, mutta
sitä ei ainakaan vielä SP3:ssa ole korjattu, asiasta löytyy dokumentti kb:sta
You cannot add an ms. package to an group policy object Q324886
- aseta paketin ominaisuuksista ??? |
| siirry työasemalla ja uudelleen käynnistä työasema, jos kaikki meni
hyvin mitä tapahtui? Jos kaikki menee kuin pitääkin käyttäjä ei edes
välttämättä huomaa että koneelle asentui jotain, joten tarkista tarkkaan Start
-valikko. Jos ohjelma ei kuitenkaan asentunut tarkista kb-artikkeli Q278472
Packages Assigned to computers with GP are not installed. |
Labran purku
| poista työasemalta asennettu ohjelma |
| poista luomasi palvelimelta jako |
| siirrä työasema takaisin työasema-säiliöön |
| poista luomasi ryhmät ja OU:t |
Arviointi
| Pohdi ja arvioi missä voit käyttää Group Policyja "työelämässä" |
| Mitkä uusia asiota opin ja/tai ymmärsin labrasta? Mikä ei auennut ja
jäi epäselväksi? |
| Mitä opin prosessista/labrasta? Mitä teen labrasta opituilla tiedoilla? |
| Mitä lisätietoa tarvitsisin tai mitä tekisin toisin jos joutuisin
toteuttamaan saman työelämässä? |