NW10 User Configuration In een netwerk kunnen we de gebruikersomgeving centraal instellen en beheren. In de volgende hoofdstukken zullen we hier verder op in gaan. We bespreken profielen, homedirectories en loginscripts. Tenslotte volgt een inleiding op groepsbeleid. 10.1 Profielen 10.1.1 Wat is een profiel ? Een profiel is een verzameling gebruikersinstellingen, waaronder bureaubladkenmerken, zoals lettertypen en kleurenschema’s, en ook printer- en netwerkverbindingen. Er • • •
zijn 3 typen gebruikersprofielen : lokale gebruikersprofielen zwervende gebruikersprofielen verplichte gebruikersprofielen
10.1.2 Lokale gebruikersprofielen Een lokaal gebruikersprofiel bestaat uit de opslag van instellingen en documenten die een gebruiker op zijn werkstation heeft staan. U kunt lokale gebruikersprofielen op de tab User Profiles van de applet System Properties in het Control Panel zien (tabblad Advanced, User Profiles -> Settings). Lokale gebruikersprofielen worden gemaakt als een nieuwe gebruiker achter een Win2003 (of Win2K of WinXP of WinNT) computer gaat zitten en zich voor de eerste keer aanmeldt. Als u achter een computer zit en de applet Display gebruikt om het beeldschermschema naar bv Rose te wijzigen, is dat bepaalde schema nog steeds van kracht als u die computer de volgende keer gebruikt. Deze instellingen worden opgeslagen in de map Documents and Settings\
van het station waarop Windows geïnstalleerd is. Het profiel bestaat uit verscheidene mappen en een speciaal bestand. In de mappen staan een aantal instellingen voor het bureaublad, het menu Start, NW10 User Configuration
157
Jan De Deurwaerder
gebruikersspecifieke instellingen voor bepaalde programma’s en de map My Documents. Het profiel bevat tevens instellingen voor het Internet : cookies, favorites en een map voor FrontPage editor van Microsoft. Ten slotte zijn er een paar verborgen bestanden en een speciaal verborgen bestand, NTUSER.DAT genaamd, waarin instellingen zoals het beeldschermschema staan. Lokale profielen treden in werking als de gebruiker zich niet op het domein aanmeldt of als er nog geen zwervende profielen is ingesteld. Enkele tools om profielen te configureren zijn Poledit.exe (win9x), Regidit.exe of Regedt32.exe (HKEY_CURRENT_USER). Let op : als u niet weet wat u doet kan u uw machine zodanig ontregelen dat er niets meer werkt ! Hoe kan een gewone gebruiker dan zijn instellingen maken of aanpassen ? Via het Control Panel. 10.1.3 Zwervende profielen Lokale profielen zijn handig als gebruikers niet met het netwerk worden verbonden. Voor het comfort van de gebruiker is het echter van belang dat zijn profiel hem volgt als hij een andere computer gebruikt. Dit wordt bereikt met zwervende profielen. Bij zwervende profielen worden de eerste keer dat een gebruiker zich aanmeldt, de instellingen van een gebruiker nog steeds lokaal geschreven, zoals in de vorige paragraaf is beschreven. Als de gebruiker zich afmeldt, worden de wijzigingen automatisch op een gegeven serverlocatie opgeslagen. De volgende keer dat de gebruiker zich op dezelfde of op een andere computer aanmeldt, worden de instellingen van de server gekopieerd en lokaal gebruikt totdat de gebruiker zich afmeldt. Op dat ogenblik wordt het profiel terug naar de server geschreven. Om met zwervende profielen te werken, moet u een gedeelde directory op de server hebben waarin profielen van gebruikers kunnen opgeslagen worden. Daarna past u de gebruikersaccounts zo aan dat ze naar deze zojuist gedeelde directory wijzen. U kunt er ook voor kiezen één van de reeds ingestelde lokale profielen te gebruiken als sjabloon voor een of meer van de zwervende profielen van de gebruikers. Accounts aanpassen om zwervende profielen te gebruiken : 1. Maak een map aan op de server waar de profielen bewaard zullen worden. Wij maken als voorbeeld de map E:\Profiles
2. 3. 4. 5.
Klik met de rechtermuistoets op de nieuwe map en kies voor Sharing Share de map, en kies als Share-naam : profiles$ (een verborgen share dus) Geef op share-niveau aan iedereen alle rechten. In het tabblad Security, klikt u op Advanced en doet u het vinkje weg bij “Allow inheritable permissions …” en kies voor Copy. 6. Geef de groep “Users” het modify-recht Ter herinnering : in Users zitten alle gebruikers die wij aanmaken op ons domein. Zij hebben in deze map het modify-recht nodig omdat zij hier moeten mappen kunnen in maken (namelijk hun profielmap). 7. Start Active Directory Users and Computers op.
NW10 User Configuration
158
Jan De Deurwaerder
8. Open een account (bv de account van Alain Delon) door op diens naam te dubbelklikken. 9. Selecteer het tabblad Profile. Geef in het tekstvak Profile Path de server, sharenaam en de te gebruiken directory op. Met behulp van de %username% variabele wordt steeds de usernaam gebruikt om het profiel te bewaren. Als een map nog niet bestaat zal die automatisch worden aangemaakt van zodra een gebruiker zich voor de eerste keer afmeldt op een werkstation. 10. Klik op OK We gaan dus altijd 2 profielen hebben : een eerste dat lokaal staat en een tweede op de server. Dit is handig want als het netwerk niet beschikbaar is, zouden we niet verder kunnen werken met ons profiel. Indien er een verschil is tussen het lokale profiel en het profiel dat op de server bewaard wordt zal het systeem ons vragen welk profiel er moet gebruikt worden. Opgave : wijzig voor alle gebruikers in de OU Alle Gebruikers het profielpad. 10.1.4 Een standaard profiel maken voor alle gebruikers Soms is het handig dat u een standaard profiel maakt voor alle gebruikers waar u vooraf al een en ander kunt in regelen. Neem volgend voorbeeld : op een Windows XP machine staan er standaard geen snelkoppelingen op uw bureaublad naar “Mijn documenten”, “Internet Explorer”, “My Computer” en “My Network Places”. Elke gebruiker dient, om deze snelkoppeling toch op zijn bureaublad te krijgen, de eigenschappen van zijn bureaublad op te vragen en aan te duiden dat deze snelkoppelingen zichtbaar moeten zijn. Mogen wij van elke gebruiker verlangen dat hij/zij weet hoe dit moet ? En wat doen we dan met gebruikers die hun bureaublad niet mogen aanpassen ? Het is op een domeincontroller mogelijk om een standaardprofiel te maken die door elke gebruiker, de eerste keer dat hij/zij inlogt op het netwerk, gebruikt wordt (als template). Eenmaal dit profiel ingeladen is, wordt het gebruikt als basis voor de gebruiker zijn eigen profiel (m.a.w. hij/zij krijgt het standaardprofiel één keer, en maakt vervolgens zijn/haar eigen profiel aan op basis van dit standaardprofiel). Als een gebruiker voor de eerste keer inlogt op een toestel, los van het feit of er al dan niet met een domeincontroller gewerkt wordt, dan krijgt deze altijd een standaardprofiel voorgeschoteld. Dit standaardprofiel bevind zich op elk Win2K, WinXP of Win2003 toestel en is terug te vinden onder
NW10 User Configuration
159
Jan De Deurwaerder
“C:\documents and settings\Default User” (in de veronderstelling dat het besturingssysteem op de C-schijf staat). Het zou natuurlijk onbegonnen werk zijn om op alle werkstations dit profiel te gaan aanpassen. Als een werkstation inlogt op een domeincontroller, dan kan er ook gebruik gemaakt worden van een speciale map op die domeincontroller : de “netlogon” map. Deze gedeelde map staat eigenlijk op “C:\WINDOWS\SYSVOL\sysvol\DOMIVOHTL01.INTRA\SCRIPTS” (opnieuw in de veronderstelling dat het OS op de C-schijf staat) Als er zich in deze share een map bevindt met de naam “Default User” dan zal een gebruiker die zich voor de eerste keer aanmeld, deze map gebruiken i.p.v. de “Default User” map die zich op de lokale machine bevindt. Uiteraard is het de bedoeling dat er zich in de “netlogon\default user” map een echt profiel bevindt. We leggen u nu, aan de hand van een voorbeeld, stap voor stap uit hoe u zo’n standaard profielmap aanmaakt. • •
• •
• •
Log op uw server in als administrator Maak in AD Users and Computers een nieuwe OU aan met de naam “Templates” ( dit hoeft niet echt, maar we willen onze AD een beetje netjes houden). Maak binnen deze OU een nieuwe gebruiker aan met de naam “DefaultUser” Omdat we momenteel niet over een werkstation beschikken waarmee we kunnen inloggen op onze domeincontroller, moeten we er voor zorgen dat de gebruiker “DefaultUser” kan inloggen op onze server. U dient dus deze gebruiker lid te maken van de groep “Server Operators”. Normaal zou u nu naar een werkstation moeten gaan en inloggen met deze gebruikersnaam. Wij kunnen dit voorlopig niet, dus loggen we af op onze server, en loggen in met de gebruiker “DefaultUser”. Eenmaal u ingelogt bent met deze gebruikersnaam regelt u alle instellingen die u wenst te hebben voor alle toekomstige gebruikers. Klik bijvoorbeeld met uw rechtermuistoets in het bureaublad en vraag de eigenschappen op. Ga naar het tabblad Desktop en klik op de knop “Customize Desktop”. Plaats een vinkje bij de 4 items. Wijzig eventueel zelf nog een aantal zaken (maar hou er wel rekening mee dat deze instellingen van toepassing zullen zijn op alle toekomstige gebruikers).
NW10 User Configuration
160
Jan De Deurwaerder
• •
•
Log nu af met deze gebruiker en log opnieuw in als administrator. Open de verkenner van Windows en selecteer “C:\Documents and Settings” (in de veronderstelling dat uw OS zich op de C-schijf bevindt). Selecteer er de map “defaultuser” (verwar niet met de map “Default User : de standaard profielmap van uw systeem”).
•
Kopieer deze map naar c:\windows\ sysvol\sysvol\ <domeinnaam>\ scripts.
•
Hernoem deze map nu “Default User”
Had u wel op een werkstation aan het werk geweest, dan diende u deze map uiteraard over uw netwerk van op het werkstation naar uw server te kopiëren. • • • •
Open nu opnieuw AD Users and Computers en voeg bijvoorbeeld de gebruiker bbibber toe aan de groep “Server Operators” (zodat u met bbibber lokaal kunt inloggen op uw server). Log af als administrator en log nu in als bbibber. U merkt dat de instellingen die u toepaste op de gebruiker “defaultuser” hier nu ook van toepassing zijn voor de gebruiker “bbibber”. Wijzigingen die bbibber nu aanbrengt zullen wel in zijn eigen profiel gebeuren (met andere woorden : bbibber krijgt als “startpakket” de instellingen van “defaultuser”, maar kan van nu voort zijn eigen instellingen regelen zonder dat anderen daar last zullen van hebben.
10.1.5 Verplichte profielen Verplichte profielen (Mandatory Profiles) lijken op zwervende profielen, behalve dat geen van de wijzigingen die gebruikers aanbrengen in hun instellingen weer op de server worden opgeslagen. Verplichte profielen zijn ideaal voor bepaalde omgevingen, zoals winkels. Meestal gebruiken gebruikers in deze omgeving alleen een groep toepassingen die ze nodig hebben. De instellingen hoeven niet te worden aangepast. Vooraleer je een zwervend profiel kan omvormen naar een verplicht profiel zal je er voor moeten zorgen dat je in de verkenner van Windows alle verborgen- en systeembestanden zichtbaar maakt. Dit doe je door in de verkenner te klikken in de menubalk op Tools → Folder options, daar het tabblad View te selecteren, en in dit
NW10 User Configuration
161
Jan De Deurwaerder
tabblad de optie “Show hidden files en folders” aan te zetten, en de optie “Hide protected operating system files” af te zetten. Klik tenslotte op de knop “Apply to All Folders”, zodat de aangepaste instelling geldt voor alle mappen en niet alleen de map waar u zich momenteel in bevindt.
Wij gaan als voorbeeld de gebruiker ppinter een mandatory profile opleggen. • Log in als administrator • Open AD Users en Computers • Voeg de gebruiker ppinter toe aan de groep Server Operators • Let er vooral ook op dat het profielpad van de gebruiker ppinter correct ingesteld is.
• • •
Log af als administrator en log in met ppinter. U mag onmiddellijk weer afloggen als ppinter en weer inloggen als administrator. Open de verkenner van Windows en selecteer de map “ppinter” in de profielmap.
•
NW10 User Configuration
162
Jan De Deurwaerder
•
Binnen de geselecteerde profielmap wijzig je de naam van het bestand NTUSER.DAT naar NTUSER.MAN
Vanaf nu zullen de wijzigingen die de gebruiker (ppinter) aanbrengt niet meer doorgevoerd worden. Uiteraard zorgt u er voor dat het profiel van de gebruiker in kwestie vooraf helemaal in orde staat. 10.2 Home directory’s Het is nuttig een gebruiker zijn persoonlijke documenten niet op de lokale computer te laten opslaan, maar op een bepaalde plaats op de server. Het voordeel is dat de gebrui!ker altijd aan zijn eigen documenten kan , ook als hij op een ander werkstation moet werken, en dat bij het maken van backups meteen ook een backup kan gemaakt worden van de persoonlijke documenten zonder al te veel moeite. Bij Win2K Workstation en WinXP Professional is er weliswaar de map My Documents die deel uitmaakt van het profiel, maar als de inhoud van die map groot wordt, kan dat het laden van het profiel bij het aanmelden erg vertragen. Als u Home Directory’s toekent, worden die bestanden niet tijdens het aanmelden gekopieerd, waardoor het aanmelden minder tijd in beslag neemt. Een alternatief voor Win2K Workstation en WinXP Professional is het gebruik van folder redirection, maar daar wordt verder in dit hoofdstuk op ingegaan. Hoewel het u vrij staat de home directory’s van de gebruikers te plaatsen waar u dat wenst, is het toch aangeraden, om de zaken beheersbaar te houden, om de home directory’s in een gezamenlijk gedeelde map te steken. Wij gaan als voorbeeld de Home Directory van de gebruiker mvaillant instellen. • •
Log in als administrator Maak op uw E-schijf een map aan waar de homedirs bewaard worden en share deze map (op Share-niveau : Everyone Full Control, op Security Niveau : Users Modify Rights).
• •
Start Active Directory Users and Computers Selecteer de gebruiker mvaillant en vraag zijn eigenschappen op.
• •
Ga naar het tabblad “Profile”. Selecteer de optie “Connect” bij Home Folder. Ken een vrije driveletter toe (bijvoorbeeld de Z-drive) en voer het pad in naar de home directory op de server (\\<servernaam>\homedirs\%username%)
•
NW10 User Configuration
163
Jan De Deurwaerder
•
• • • •
De eerstvolgende keer dat de gebruiker in kwestie inlogt zal er automatisch een map gemaakt worden onder deze share met zijn gebruikersnaam. Ook hier is het zo dat standaard enkel de gebruiker in kwestie alle rechten op deze map heeft (hij is de owner) en de map door een administrator niet kan benaderd worden. Omwille van de policy die we vroeger reeds ingesteld hebben, zal een administrator nu wel toegang krijgen. Let er ook op dat er automatisch een netwerkdrive naar de home directory van de gebruiker gecreëerd wordt. Maak mvailland ook nog lid van de groep server operators zodat hij lokaal kan inloggen op uw domeincontroller. Log af als administrator en log in als mvaillant. Open de verkenner en u stelt vast dat er automatisch een driveletter bij gecreëerd werd (de Z-drive).
LET WEL Een homedirectory is GEEN vervanger van My Documents, alleen een alternatief. U zal zelf de gebruiker moeten duidelijk maken wat de bedoeling is van deze driveletter. Eventueel kan u wel zijn/haar “My Documents” laten omleiden naar deze netwerklocatie (zie verder). 10.3 Loginscripts Loginscripts zijn een beproefde manier om de gebruikersomgeving te configureren. Ze vinden hun oorsprong in het pre-microsoft tijdperk. Logonscripts werden geschreven in de taal (voor ons wordt dat dus DOS) en draaien tijdens het inloggen vanaf de server op de client. Deze scripts kunnen local drive mappings maken op de server, lokale poorten doorsturen om printers toe te wijzen, de systeemklok gelijk zetten, … In Win2003 blijven loginscripts bestaan. Ze worden zelfs uitgebreid met login-, logout-, start-up- en shutdownscripts. Deze scripts kunnen trouwens ook in een programmeertaal geschreven worden. Enkele voorbeelden zijn naast DOS, WSH Windows Scripting Host, KiXtart, Perl, VBScript, JavaScript, … Vermeld een login script in de profielgegevens van de gebruikersaccount of wijs een script toe met een group policy. Bewaar de scripts in de map : %systemroot%\sysvol\sysvol\<domeinnaam>\scripts Deze map is standaard gedeeld als NETLOGON. Een voorbeeld van een op DOS gebaseerde logonscript (een batch-file dus) : @echo off REM ------------------------------------REM LOGONSCRIPT IVO.INTRA REM ------------------------------------Echo Dit is %computername%
NW10 User Configuration
164
Jan De Deurwaerder
Echo U bent aangelogd als %username% op het domein %userdomain% Echo Uw homedirectory bevindt zich op %homepath% Echo ================================================ Net Use o: /delete Net Use p: /delete Net Use O: \\ivohtl01\documenten\spreadsheets Net Use P: \\ivohtl01\documenten\teksten Net Use lpt1: /delete Net Use lpt1: \\ivohtl01\HPHTL01 Net Time \\ivohtl01 /set /y Enkele voorbeelden van VBScript • een netwerkprinter definiëren Dim WSHNetwork Dim Printerpath Dim Printerdriver If createobject(“wscript.network”).computername = “PCPERS” then Set WSHNetwork = createobject(“wscript.network”) Printerpath = “\\ivohtl01\brotherh” Printerdriver = “Brother HL-1260” WSHNetwork.AddWindowsPrinterConnection Printerpath, Printerdriver WSHNetwork.setdefaultprinter “\\ivohtl01\brotherh” End if •
een netwerkmap definiëren Dim ONet Set ONet = createobject(“Wscript.network”) ONet.mapnetworkdrive “M:” , \\ivohtl01\profiles$
Op het internet kan u zeer veel voorbeelden vinden voor het gebruik van VBScript in uw netwerkbeheer. Verder in de cursus wordt nog een hoofdstuk uitsluitend aan VBScript besteed. 10.4 Grouppolicies Een grouppolicy is een verzameling instellingen die te maken hebben met gebruikers en computers en die kunnen gekoppeld worden aan computers, sites, domeinen en organisational units. Win2003 slaat een group policy op in de vorm van een group policy object (GPO). Elke computer met Win2K (of hoger) als besturingssysteem beschikt over een lokaal GPO. Als de computer deel uitmaakt van een AD omgeving, kan het lokale GPO overschreven worden door het GPO in de AD. De hiërarchie voor grouppolicies ziet er als volgt uit : 1. 2. 3. 4.
Eerst worden de grouppolicies gekoppeld aan de locatie toegepast. Dan die gekoppeld aan de site. Vervolgens die van het domein. Ten slotte wordt groepenbeleid voor elke OU van parent OU tot child OU toegepast.
NW10 User Configuration
165
Jan De Deurwaerder
Een kleine opsomming van enkele mogelijkheden van group policies : • • • • • • • •
start up, shutdown, inlog en uitlog scripts toewijzen instellingen van de internet explorer bepalen en forceren beperkingen van de pc van de gebruiker instellen redirect van bepaalde mappen in een gebruikersprofiel zoals bv My Documents en de Dekstop op een centrale plaats Software publiceren of laten installeren door de gebruiker of automatisch bij het aanmelden. Wachtwoord blokkeren en allerlei instellingen i.v.m. het wachtwoord en de restricties bij het aanloggen. Diverse beveiligingsinstellingen voor computers in het netwerk instellen. Vroeger kon dit alleen door de registry aan te passen of via extra software. Configureren en standaardiseren van de instellingen voor nieuwe features zoals Offline mappen, schijfquota’s en zelfs group policy zelf.
Sommige voorbeelden van gebruikersinstellingen bevatten beperkende instellingen voor het bureaublad, zoals een beperkte mogelijkheid voor gebruikers om de applet Display in het Control Panel te openen, alle pictorgrammen op het bureaublad te verbergen of, indien nodig, te voorkomen dat gebruikers zich afmelden. Sommige voorbeelden van gebruikersinstellingen bevatten de aanpassing van het gedrag van de Task Sheduler en het voorkomen dat printers automatisch in de AD worden gepubliceerd. Daarnaast kunnen verscheidene belangrijke beveiligingsinstellingen, zoals accountbeleid, worden aangepast. Voorbeelden van accountbeleid zijn wachtwoord- lockout- en auditbeleid. Door configuratie van groepenbeleid wordt ook de functie van scripts toegevoegd die worden gestart als gebruikers zich aan- of afmelden , of als een computer wordt aan- of uitgezet. Belangrijk !! We kunnen Group Policies alleen gebruiken op Win2K of Win2003 Server en Win2K of WinXP Workstation Machines. Hebben we in ons netwerk nog oude Win9X of NT4 toestellen en willen we hierop hetzelfde beleid toepassen moeten we de oude hulpmiddelen gebruiken van NT4. Dit zijn dan profielen, system policies en registry hacks. Dit voor elk OS apart. Gelukkig kunnen we dit allemaal realiseren op onze Win2003 server, we hebben dus geen NT4 server nodig. 10.4.1 Group policy instellingen Er zijn 2 soorten instellingen : computer configuratie en gebruiker configuratie instellingen. Computer configuratie instellingen worden toegepast op een computer onafhankelijk van de gebruiker die zich aanmeldt. Zij worden toegepast op het ogenblik dat het besturingssysteem initialiseert. Gebruiker configuratie instellingen worden toegepast op het ogenblik dat de gebruiker zich aanmeldt, onafhankelijk van de computer waarop die gebruiker zich aanmeldt.
NW10 User Configuration
166
Jan De Deurwaerder
De instellingen onder Computer Configuration zijn in het register opgeslagen in HKEY_LOCAL_MACHINE en die onder User Configuration in HKEY_CURRENT_USER. Beide verzamelingen instellingen worden opgedeeld in software settings, windows settings en administratieve sjablonen.
10.4.1.1 Software Settings Via softwaresettings onder computer kan duidelijk gemaakt worden of bepaalde toepassingen geïnstalleerd moeten worden bij het opstarten van de computer. Via software settings onder gebruiker kan de opdracht gegeven worden bepaalde toepassingen te installeren op het ogenblik dat een gebruiker zich aanmeldt. 10.4.1.2 Windows settings Dit onderdeel is verder onderverdeeld : Computer Configuration User Configuration Scripts die moeten Scripts die moeten uitgevoerd worden bij het uitgevoerd worden bij het af- of aanmelden van een opstarten of afsluiten van gebruiker. de computer Security settings Een beveiligingsbeheerder kan hier manueel beveiligingen meegeven voor een lokaal of niet lokaal GPO Alleen onder User Configuration vinden we hier nog : Internet Explorer Laat toe de instellingen van Maintenance de explorer te bepalen voor Windows computers Remote installation Laat toe een installatie van Services een besturingssysteem vanop afstand te dirigeren Folder Redirection Laat toe bijzondere mappen zoals My Documents, Application Data, Desktop en Start Menu op een andere plaats op het netwerk op te slaan dan op de standaardlocatie. Scripts
NW10 User Configuration
167
Jan De Deurwaerder
10.4.1.3 Administrative Templates Dit deel van Group policy sluit het meest aan bij de system policies van WinNT4. De instellingen zijn gebaseerd op system.adm en inetres.adm te vinden in \windows\inf. Via deze templates kunnen bv desktop en startmenu van de gebruiker beperkt worden of bepaald worden welke toepassingen een gebruiker mag opstarten. 10.4.2 Wanneer gelden de instellingen van een GPO ? Zoals hiervoor al uiteengezet worden de instellingen van computer configuration toegepast als het besturingssysteem opstart en de instellingen van user configuration op het ogenblik dat de gebruiker zich aanmeldt. Group policies werken erfelijk en cumulatief. Instellingen gekoppeld aan objecten hoger in de boomstructuur worden overgenomen door objecten lager in de boomstructuur. Instellingen doorgevoerd op een lager niveau in de boomstructuur werken cumulatief met de overgeërfde instellingen tenzij ze elkaar tegen spreken. In dat geval zijn het de laatst doorgevoerde instellingen die uiteindelijk van toepassing zijn (m.a.w. de instellingen van het laagste niveau in de boomstructuur). Het is dan ook verleidelijk om op verschillende niveaus een beleid in te stellen. Eerst enkel een local policy dan een domein policy en vervolgens een policy op het niveau van de OU. Dit wordt al gauw een heel kluwen van beleidsopties. Maak het voor uzelf niet te moeilijk en documenteer waar welke policy wordt gebruikt. Om te kunnen ingrijpen in deze standaardmanier van werken en zeker te zijn dat een bepaald beleid wordt uitgevoerd voor een bepaalde groep is er de “block inheritance” optie. Deze optie blokkeert het overerven van instellingen van objecten die zich hoger in de hiërarchie bevinden. Stel dat we voor de OU Productie een ander beleid willen maken dan voor de ganse onderneming dan kunnen we op het niveau van de OU Productie een “block inheritace” instellen zodat de domain instellingen niet worden overgenomen.
NW10 User Configuration
168
Jan De Deurwaerder
Er bestaat ook nog een andere functie namelijk “no override”. Die doet net het omgekeerde. Als no override is ingeschakeld voor een policy, wordt verhinderd dat de instellingen in onderliggende policies t.o.v. de policy waarin no override is ingeschakeld, worden doorgevoerd (“Block Policy Inheritance” heeft wel voorrang op “No Override”).
Het is duidelijk dat al deze functies het leven van een netwerkbeheerder zeer moeilijk kunnen maken. 10.4.3 GPO’s plannen 10.4.3.1 GPO’s per type •
single policy Per verzameling instellingen wordt een aparte GPO gemaakt. Deze manier van werken is geschikt voor bedrijven waar het beheer verspreid is over een groot aantal medewerkers.
•
Multiple policy Zoveel mogelijk instellingen worden in een enkele GPO gegroepeerd. Dit is geschikt voor bedrijven waar het beheer volledig centraal gebeurt.
•
Dedicated policy De instellingen die met de gebruikers te maken hebben zijn gegroepeerd in één GPO, de instellingen die met een computer te maken hebben in een andere. Deze manier van werken kan het aanmelden vertragen, maar maakt het verhelpen van problemen gemakkelijker.
10.4.3.2 Verschillende strategiën Gelaagd versus monolitisch ontwerp In het ene ontwerp worden de instellingen gecentraliseerd in één GPO, in het andere zitten ze verspreid over meerder GPO’s. Bij een gelaagd ontwerp zijn de gemeenschappelijke instellingen voor alle computers en gebruikers verzameld in een basis GPO. Per groep computers of gebruikers die een afwijkende policy nodig hebben wordt een aparte policy gemaakt op een lager niveau.
NW10 User Configuration
169
Jan De Deurwaerder
Een monolitisch ontwerp streeft naar slechts één GPO per gebruiker of computer. Per groep gebruikers of computers met een andere GPO wordt ook een nieuwe OU gemaakt. Het tweede model is minder flexibel omdat het doorvoeren van veranderingen een aanpassing in meerder GPO’s kan vergen. Het eerste model zal dan weer trager werken bij het opstarten en aanmelden omdat meerdere GPO’s moeten uitgevoerd worden. Functioneel versus team ontwerp Het functioneel ontwerp sluit eerder aan bij een structuur van de active directory waarin de OU’s de verschillende functies binnen het bedrijf weerspiegelen. In een basis GPO worden de gemeenschappelijke instellingen opgeslagen, per OU worden aparte instellingen voor die OU opgeslagen. Het ontwerp sluit aan bij een gelaagd model. Als de structuur voor de gpo’s niet weerspiegeld wordt in de structuur van de OU’s, kan je een aantal algemene GPO’s maken en die dan alleen toepassen op bepaalde groepen van gebruikers door de toegangsrechten te manipuleren. Door een groep gebruikers geen leesrechten te geven op een GPO, wordt die GPO ook niet gebruikt voor die groep gebruikers. Gecentraliseerd of verspreid beheer Dit wordt georganiseerd met de opties No override en Block policy inheritance. In het eerste geval wordt een GPO gemaakt op domeinniveau en No override wordt geactiveerd. (alleen security settings). Ander instellingen mogen bepaald worden door de beheerders van de verschillende OU’s. Zij kunnen ook block inheritance inschakelen om bepaalde instellingen niet over te nemen.
10.4.4 Een grouppolicy maken : een eerste voorbeeld Ondanks het feit dat er via Group Policies veel kan worden ingesteld, gaan we ons in dit eerste voorbeeld concentreren op de instellingen voor het Control Panel. Of eigenlijk de applet Display in de map Control Panel. Elk van deze wijzigingen wordt via de Group Policy Editor geïmplementeerd. Deze editor kan binnen de MMC-invoegtoepassing Active Directory Users and Computers worden gestart.
NW10 User Configuration
170
Jan De Deurwaerder
Het standaard, domeinbrede groepenbeleid wijzigen 1. Start Active Directory Users and Computers. 2. Klik met de rechtermuisknop op het domein en selecteer in het snelmenu de optie Properties 3. Klik op het tabblad Group Policy 4. Er bestaat een standaard domeinbeleid voor het domein. Selecteer het en klik op Edit.
5. De Group Policy editor verschijnt. Open de instellingen door User Configuration→ Administrative Templates → Control Panel → Display uit te breiden.
6. Dubbelklik in het rechtervenster op de policy “Remove Display in Control Panel”. Een nieuw venster wordt geopend. 7. Klik hier op Enabled om de policy te doen werken (enabled betekent hier dat de gebuikers het item Display in het Control Panel niet meer zullen kunnen gebruiken). 8. Klik op OK en verlaat de Policy Editor.
NW10 User Configuration
171
Jan De Deurwaerder
Een beleid maken dat overname blokkeert 1. Selecteer de OU Aankoop (Aankoop is een child OU van de OU Alle Gebruikers die op zijn beurt een child OU is van het domein). 2. Klik er met de rechtermuistoets op, selecteer properties en selecteer het tabblad group policy. 3. Plaats een vinkje bij de optie “Block Policy inheritance”. Hierdoor voorkomt u dat de effecten van het beleid van het domein en de parent OU Alle Gebruikers invloed hebben op de child OU Aankoop. 4. Maak een nieuw beleid aan door op de knop New te klikken. Geef dit nieuwe beleid de naam GPAankoop. U hoeft hier verder nog niets te configureren. 5. De Group Policy die wij zopas op domeinniveau hebben ingesteld aangaande het niet toegankelijk zijn van de optie Display in het Control Panel zal voor de gebruikers die deel uitmaken van de OU Aankoop niet meer van toepassing zijn. In hun policy die geen overerving doet van een hoger liggend niveau staat niets ingesteld i.v.m. deze zaken en zullen derhalve voor hen geen invloed hebben. -
Log nu eens in met de gebruiker mvaillant en probeer de achtergrond te wijzigen. Dit lukt niet !
-
Log nu eens in met de gebruiker bbibber en probeer opnieuw de achtergrond te wijzigen. Dit keer lukt het wel !
De group Policy hergebruiken Wij hebben nu op niveau van de OU aankopen een “Block Policy Inheritance” ingesteld. Dit betekent dat alle policies die aangemaakt werden op een hoger niveau niet meer van toepassing zijn op deze OU. Maar wat als op een hoger niveau een aantal policies aangemaakt zijn die we wel nog zouden willen toegepast zien op de OU Aankopen ?
NW10 User Configuration
172
Jan De Deurwaerder
1. Log opnieuw in als Administrator 2. Open AD Users and Comuters 3. Selecteer de OU Aankopen, vraag er de eigenschappen van op en selecteer het tabblad Group Policies. 4. Klik op de knop Add.
5. Er verschijnt een nieuw venster met daarin een overzicht van de policies die worden toegepast op de geselecteerde OU.
6. Selecteer in de combobox bovenaan de domeinnaam, en u krijgt een overzicht van de policies die van toepassing zijn op het volledige domein (behalve Aankopen natuurlijk want daar hebben we de overerving onderbroken) 7. Selecteer de policy “Compl. Eisen opheffen” (een policy die we in een voorgaande les reeds instelden) en klik op OK. 8. Herhaal dit voor de policy “Admin toegang tot profielen”. 9. Op deze manier worden policies hergebruikt. Wanneer een policy ergens aangepast wordt, zullen de wijzigingen meteen ook op alle niveaus waar de policy gebruikt wordt toegepast worden. Dit is dus duidelijk een betere strategie dan nieuw policies aan te maken.
NW10 User Configuration
173
Jan De Deurwaerder
10. Zorg er voor dat u de policies van OUAankopen weer te zien krijgt. 11. Selecteer de policy “GPAankoop” en klik vervolgens onderaan op de knop “Delete”. 12. Er zal u gevraagd worden of u de policy wenst uit te schakelen voor deze OU (Remove the link from the list) , of de policy werkelijk wenst te verwijderen (Remove the link and delete …”. 13. Kiest u voor het eerste, dan kan de policy eventueel later hergebruikt worden (op dit niveau of een ander). In het tweede geval wordt de policy effectief van het systeem verwijderd en kan niet meer hergebruikt worden.
De group Policy filteren Nu we de basis gelegd hebben voor group policies, kunnen we group policies filteren. Bekijk de Properties van de domein group policy en klik door tot het security tabblad. De Access Control List (ACL) voor het policy object verschijnt.
NW10 User Configuration
174
Jan De Deurwaerder
Domain en Enterprise Administrators hebben read en modify permissions, terwijl Authenticated users read and apply group policy hebben. Er kan een mogelijk probleem ontstaan. Want de group authenticated users bevat iedereen behalve de gasten (dus ook de administrators). Dus deze group policy wordt ook toegepast op de domain en enterprise administrators. Oplossing : vink voor de domain en enterprise administrators de Deny optie aan voor de Apply group policy. Doen we dit niet dan zijn alle instellingen (en doorgaans ook dus alle beperkingen) die we maken in een policy ook op deze administrators van toepassing. 10.4.5 Een script laten uitvoeren via een GPO : een tweede voorbeeld Locatie van de scripts Maak het script en hou het bij in de map : \windows\sysvol\sysvol\domainname\policies\{GUID}\machine\scripts\startup of \windows\sysvol\sysvol\domainname\policies\{GUID}\machine\scripts\shutdown of in de map \windows\sysvol\sysvol\domainname\policies\{GUID}\users\scripts\logon of \windows\sysvol\sysvol\domainname\policies\{GUID}\users\scripts\logoff of op de locatie waar we de scripts van het gebruikersprofiel hebben opgeslagen : \windows\sysvol\sysvol\domainname\scripts GUID duidt hierin het SID-nr van de group policy aan. U kan dit nummer opvragen door van de betrokken policy de eigenschappen op te vragen. In het tabblad algemeen wordt dit GUID nummer afgebeeld : Maar eigenlijk mag u het script in om het even welke gedeelde map onderbrengen, op voorwaarde dat alle gebruikers die onderhevig zijn aan de policy, toegang hebben tot deze map (leesrechten).
NW10 User Configuration
175
Jan De Deurwaerder
Het script zelf maakt u in kladblok aan. Als het klaar is, bewaart u het onder de naam : c:\windows\sysvol\sysvol\<domainname>\scripts\numlock.vbs De inhoud van het script : dim dim dim dim
ws str, w, t gebruikersnaam omgeving
set omgeving = wscript.createobject("Wscript.Shell") gebruikersnaam = omgeving.expandenvironmentstrings("%username%") if ucase(gebruikersnaam) = "ADMINISTRATOR" then Set ws = wscript.CreateObject("WScript.shell") str = "HKEY_USERS\.DEFAULT\Control Panel\Keyboard\InitialKeyboardIndicators" w = "2" t = "REG_SZ" returnwaarde = ws.Regwrite(str, w, t) Set ws = nothing ' registerwijziging onmiddellijk laten werken omgeving.run "%windir%\System32\RUNDLL32.EXE user32.dll,UpdatePerUserSystemParameters", 1, True end if set omgeving = nothing
Ter info : het script zorgt er voor dat de numlock aan ligt op het moment dat de computer opstart (en er moet ingelogd worden). Het script koppelen aan een GPO • • • •
•
•
start Active Directory Users and Computers op Selecteer het domein en vraag de eigenschappen op. Selecteer het tabblad Group Policy. Maak een nieuwe policy aan (met de naam “Scripts” en zorg er voor dat deze bovenaan komt te staan (zodat ze zeker niet ‘overruled’ wordt door een ander policy). Selecteer de policy “Scripts” en klik vervolgens op de knop Edit.
Selecteer User Configuration -> Windows Settings -> Scripts (Logon/Logoff)
NW10 User Configuration
176
Jan De Deurwaerder
• • •
Dubbelklik in het rechterpaneel op het item “Logon”. In het scherm dat u nu te zien krijgt klikt u op de knop “Add…” Ga nu op zoek naar het script dat u zopas bewaarde : opgelet, u dient het netwerkpad op te geven !
Log nu af. Terwijl het inlogscherm verschijnt zal de NumLock waarschijnlijk nog steeds uit staan. We hebben de script immers nog niet uitgevoerd. Log opnieuw in als administrator (nu wordt het script op de achtergrond wel uitgevoerd). Log opnieuw af. U zal merken dat bij het inlogscherm, de NumLock nu wel degelijk aan ligt.
Scripts koppelen aan een GPO versus scripts koppelen aan een useraccount Windows 2003 verwijst naar logonscripts die bij de eigenschappen van de gebruikersaccount opgegeven worden met de naam legacyscripts. Ze zijn eigenlijk nog alleen bedoeld voor Win9X en NT Clients. Het grote verschil is dat de scripts die gekoppeld worden aan een GPO asynchroon en op de achtergrond uitgevoerd worden zodat een gebruiker niet moet wachten totdat ze uitgevoerd zijn om te beginnen werken.
NW10 User Configuration
177
Jan De Deurwaerder
10.4.6 Folder redirection via een GPO De bedoeling De bedoeling van deze optie is dat belangrijke mappen voor een gebruiker zoals Application Data (hieronder worden o.a. de instellingen van Internet Explorer gestockeerd), Desktop (met zelfgemaakt shortcuts naar toepassingen en belangrijke mappen), Start Menu en My Documents een gebruiker over het netwerk volgen. In oudere versies van WinNT was dit ook al mogelijk, via roaming profiles en system policies, maar bij het aanmelden van een gebruiker werd alles lokaal naar het toestel gekopieerd waaraan de gebruiker zich aanmeldde. Bij folder redirection wordt dit kopiëren achterwege gelaten. Folder Redirection is een uitstekend alternatief voor zwervende profielen. Het is echter NIET de bedoeling beiden door elkaar te gebruiken ! Een netwerklocatie voor het startmenu(voorbeeld 1) • • • • •
• •
• •
•
Maak op je dataschijf (E-schijf) een nieuw map aan : Redirection. Share die map met als naam “Redirection$” (een verborgen share dus) Geef als share-machtiging aan de groep Everyone Full Control Stel bij de NTFS permissions de rechten van “Users” in op Modify. Maak 4 submappen onder Redirection : AplicationData, Desktip, MyDocuments en Startmenu. Start AD Users and Computers. Selecteer de OU Verkoop (we zullen dit enkel van toepassing laten zijn op de gebruikers van de OU Verkoop, en niet op het volledige domein), vraag er de eigenschappen van op en selecteer het tabblad Group Policy. Maak een nieuwe Policy aan met als naam “Folder Redirection”. Selecteer de Policy en klik op Edit.
Ga naar User Configuration → Windows Settings → Folder Redirection → Start Menu
NW10 User Configuration
178
Jan De Deurwaerder
•
Klik met de rechtermuisknop op StartMenu en kies Properties • Selecteer de gewenste optie op het tabblad Target. - We kiezen her voor de optie “Basic : Recirect everyone’s folder to the same location” - Daaronder geven we het (netwerk-) pad op naar de te gebruiken map. (in ons voorbeeld dus : \\<servernaam>\redirections$\ startmenu\%username%)
•
In het tabblad Settings doet u er goed aan de optie “Redirect the folder back …” zodat, wanneer je de policy opheft, alle informatie terug naar het lokaal profiel van de gebruiker wordt gebracht.
Een netwerklocatie voor de map “Mijn Documenten” (voorbeeld 2) My Documents (of Mijn Documenten) maakt integraal onderdeel uit van het profiel van een gebruiker. Dit betekent dat alle documenten die zich in deze map bevinden (en gebruikers maken uiteraard vaak gebruik van deze map) bij het inloggen van de server worden overgebracht naar het werkstation, om daarna bij het uitloggen terug naar de profielmap van de gebruiker terug te zetten. Dit kan nogal wat overhead als gevolg hebben. Daarom kan het interessant zijn om de map My Documents op de server te houden Pas als een gebruiker een bestand opent gaat dat bestand overgebracht worden naar de locale machine. Dit kan heel wat overhead vermijden.
NW10 User Configuration
179
Jan De Deurwaerder
• • • • • •
Selecteer (nog steeds binnen dezelfde policy van de OU Verkoop) User Configuration → Windows Settings → Folder Redirection → My Documents. Kies bij “Settings” voor “Basic – Redirect …” Kies bij Target Folder Location voor de optie “Redirect to the following location”. Type in bij Root Path : \\<servernaam>\redirection$\mydocuments\%username% Selecteer het tabblad Settings. Kies hier opnieuw de optie “Redirect the folder back to the local userprofile …”
Herhaal nu nog bovenstaande stappen voor de onderdelen “Application Data” en “Desktop”
NW10 User Configuration
180
Jan De Deurwaerder
Belangrijk : Vooraleer u nu het een en ander uitprobeert, zorg er voor dat de verwijzing naar de profielmappen van de gebruikers die tot deze OU behoren (pdemol en santigoon) gewist worden ! Voeg ook beide gebruikers toe aan de Server Operators groep zodat u met deze accounts kunt inloggen op het systeem. Test een en ander uit. U zal merken dat de informatie inderdaad naar de opgegeven mappen wordt gebracht. Opgepast : als administrator heeft u opnieuw geen toegang tot deze mappen (ook de policy biedt hier geen oplossing). Wenst u de inhoud van de mappen te bekijken, dan dient u de ownership over te nemen.
10.4.7 Security settings De instellingen bepalen Deze optie wordt zowel onder Computer Configuration als onder User Configuration aangeboden bij Windows Settings. -
Start Active Directory Users and Computers Selecteer een container, klik er met de rechtermuisknop op en selecteer Properties Activeer het tabblad Group Policy, selecteer het GPO en klik op Edit Ga naar Computer Configuration → Windows Settings → Security Settings Selecteer links het gewenste onderdeel en klik in de rechterhelft dubbel op de instelling die je wil aanpassen Account policies
Local policies Event Log Restricted groups System services Registry File system
NW10 User Configuration
Instellingen i.v.m. de lengte van wachtwoorden, hoe lang ze geldig zijn, wanneer een wachtwoord opnieuw in gebruik mag genomen worden. Deze instellingen worden ook aangeboden bij Organisational Units, maar worden alleen toegepast op domeinniveau. Configuratie van auditing en toekennen van userrights Instellingen i.v.m. de logboeken zoals maximale grootte van elk van de logboeken, wat er moet gebeuren als een logboek vol is … Onder controle houden wie lid mag zijn van bepaalde groepen. Services configureren en beschermen tegen wijzigingen Toegangsrechten tot bepaalde delen van de registry instellen. Instellingen i.v.m. het wijzigen van toegangsrechten op mappen en bestanden.
181
Jan De Deurwaerder
Templates met instellingen gebruiken Er zijn ook templates met security settings beschikbaar. Zij zijn te vinden in \windows\security\templates en zijn daar opgeslagen in de vorm van .inf bestanden. Om een tamplate te importeren : - start Active Directory Users and Computers - klik op de container met de rechtermuisknop en selecteer Properties - activeer het tabblad Group Policy, selecteer het GPO en klik op Edit - ga naar computer configuration → Windows settings → Security Settings - klik met de rechtermuisknop op Security Settings en kies Import Policy. Het geselecteerd .inf bestand wordt geïmporteerd en de instellingen in het GPO overeenkomstig aangepast.
10.4.8 Slotbeschouwingen i.v.m. Group Policies Bij het configureren van group policies is het wel belangrijk vooraf te bedenken dat het gebruik van group policies gaat ten koste van de performantie van het systeem en dat het daarom nuttig is het aantal group policies zo laag mogelijk te houden. Niet alleen zal het aanmelden van een gebruiker langer duren naarmate er meer policies moeten uitgevoerd worden, maar ook zal het vernieuwen van de policies op de achtergrond een extra belasting van het systeem meebrengen. Een tweede probleem i.v.m. group policies is het opsporen van fouten in de policies, omdat er geen overzicht is van de instellingen die uiteindelijk toegepast worden. Microsoft heeft op korte termijn een tool hiervoor beloofd, maar in afwachting daarvan is het misschien nuttig de policies eenvoudig bij te houden. Hierbij kunnen volgende richtlijnen helpen : • • • •
groepeer gebruikers en computers in OU’s en pas de policy toe op het hoogst mogelijke niveau. Vermijd zoveel mogelijk het gebruik van meerdere GPO’s met tegenstrijdige instellingen evenals het gebruik van Block inheritance en No override. Zorg voor een uitgebreide documentatie bij de group policies. Test de policies alvorens ze in gebruik te nemen.
NW10 User Configuration
182
Jan De Deurwaerder