Toon posts:

[windows 2003]Howto: policies en tools

Pagina: 1
Acties:
  • 9.515 views sinds 30-01-2008

donderdag 20 november 2003 21:49

Acties:
  • 0 Henk 'm!
  • mutsje
  • Registratie: September 2000
  • Laatst online: 20-06 11:10

mutsje

Certified Prutser

Topicstarter

HOWTO: Policies and Tools

Inleiding


Geschreven door mutsje en Luckyme_ (Versie: 1.005)



·^

Aan de slag ...


Stap 1: Waarom dit kookboek:


Wel, er worden vaak vragen gesteld over group policy objects (GPO's) en daarom is besloten een howto hiervoor te maken.



Stap 2: Wat behandelen we

:

Enkele tools die handig zijn voor Windows 2003 denk aan documentatie maken, snel even kijken wat het resultaat van een policy is.
Hoe je snel een policy toevoegt of edit. We gaan niet diep op de materie in omdat op www.microsoft.com/technet hier meer dan genoeg informatie over te vinden is.
Maar we vinden een stootje in de rug altijd leuk zodat je de tools ook daadwerkelijk even kunt zien.

NOTE: Het inteligente gedeelte is geschreven door Luckyme_ en de rest tja...guess who.



Stap 3: Benodigdheden


  • Een windows 2003 forest (of 2000 zou ook kunnen)
  • Een test client die je helemaal vol met policies kunt pompen

NOTE: in een Windows 2000 forest kun je GPMC gebruiken vanaf een WindowsXP client met SP1 en hotfix q326469 (deze fix zit ook bij de setup van gpmc). Sommige functies (oa WMI filtering) werken alleen op een Windows 2003 forest.



Wat is er voor deze howto gebruikt:


  • Een windows 2003 forest (native mode)
  • Een WindowsXP SP1 client waarop de GPMC geinstalleerd is.


Welke Tools heb je voor Windows 2003 server om je behulpzaam te zijn bij het maken en bekijken van Group Policy Objects

:
  • Group Policy Management Console (GPMC)
  • RSOP (Resultant Set of Policies)
  • GPRESULT
  • GPUPDATE (in plaats gekomen van SECEDIT)


·^

Group Policy Management Console


Waar haal ik de GPMC en voorbeelden ervan?


KLIK HIER



Waarom is de GPMC zo speciaal?


Het managen van policies onder Windows 2000 was verre van optimaal. De enige (standaard) tool die je had was de Group Policy Editor (GPE). Deze tool deed precies wat de naam zegt, policies editten.
Er was geen enkele mogelijkheid tot exporteren en importeren van settings of het maken van een backup.
Met de komst van GPMC is deze tekortkoming opgelost. Je kunt GPO's opslaan, backuppen, restoren en zelfs cross forest kopie%ren. Tevens wordt de commandline ondersteund en kunnen diverse zaken nu gescript worden. Uiteraard zit in Windows 2003 de GPE nog steeds, echter onder de naam Group Policy Object Editor (GPOE). Deze heb je nodig om de inhoud van GPO's te bewerken.



Gebruikte afkortingen


  • DC: Domain Controller
  • GPO: Group Policy Object
  • AD: Active Directory
  • OU: Organizational Unit


Voorbereiding


Voor we beginnen is het belangrijk om volgende zaken niet te doen:

  • De default Domain policy editten.
  • De default Domain en DC policies zijn van vitaal belang voor een domain.

Wat is aan te raden voor bovenstaande:

  • Maak een nieuwe GPO en link deze aan het Domain en zet de settings in deze GPO.
  • Audit policies kun je wel het beste in de default Domain policy doen.

We mogen aannemen dat je deze inmiddels op de client geinstalleerd hebt. (dit raad ik in ieder geval aan en niet op een server)




·^

Aan de slag ...


Open de GPMC.msc op je WindowsXP client zie Figuur 1

Je ziet hier een reeds enig uitgeklapte GPMC console. Wat zien we hier nu eigenlijk.

  • Domains
  • Datacrash.net (met de huidig gelinkte DC erachter)
  • Default Domain Policy
  • OU's
  • Sites
  • Group Policy Modeling
  • Group Policy Results

Je kunt een GPO maken en linken op de volgende onderdelen.

  • Datacrash.net (dus jouw domain)
  • OU (vb: Tweakers hardware)

Wij beginnen met het maken van een 2e Domain Policy. Rechts klik op jouw domain (hier datacrash.net) en kies "Create and link policy here" zie Figuur 2


Fig. 1:
Group Policy Management Console


Geef de GPO een duidelijke naam. Hier gebruiken we als voorbeeld Tweakers.net policy


Fig. 2:
Nieuwe GPO aanmaken


Als je nu op de nieuwe GPO klikt krijg je gelijk een waarschuwing voor je kiezen. Wees niet een domme gebruiker en denk "het zal goed komen", maar lees het goed door. Na het OK klikken op de waarschuwing krijg je het Scope venster te zien zie Figuur 4


Fig. 3:
Warning over GPO edit scope


Je ziet bij Scope kun je een aantal zaken regelen.

Links : display links in this location. Op welk niveau gaat deze GPO werken. Je hebt volgende opties.

  • Entire forest
  • All Sites
  • Datacrash.net (jouw domain staat hier dus)

Bij Security Filtering kun je default de uit de volgende objecten kiezen


  • Built-in security principals
  • Groups
  • Users

Wil je meer mogelijkheden moet je Advanced kiesen dan Object Types en kun je Computers nog toevoegen. Default wordt alleen Authenticated Users toegevoegd. Dit is in principe genoeg.

NOTE: wil je dat deze GPO slechts op 1 groep toegepast wordt verwijder dan "Authenticated Users" en voeg jouw groep toe. Nu krijgt alleen deze groep de GPO over zich heen.

WMI Filtering. Nieuw in Windows 2003 Server is dat je Windows Management Instrumentation objects kunt toevoegen aan een GPO.
WMI filtering wordt alleen ondersteund op Windows Server 2003 en op Windows XP clients.
WMI is gebaseerd op WQL (WMI Query Language). Het is een zeer krachtige tool, je kunt hiermee bepalen of een policy wordt toegepast gebaseerd op vrijwel oneindig veel parameters.
Als voorbeeld kan je denken aan cpu type, disk space, ge%nstalleerde servicepacks of hotfixes, applicaties, draaiende processen etc .
Aan de hand van de WMI query zal worden bepaald of een GPO wordt uitgevoerd op een client, indien de query met een resultaat anders dan 0 (dus de voorwaarde is aanwezig) terugkomt wordt de policy uitgevoerd.

Voorbeeld WMI query die alleen zoekt op Windows XP Professional


RootCimV2; Select * from Win32_OperatingSystem 
where Caption = "Microsoft Windows XP Professional"

In de help file staan nog meer voorbeelden en op technet kun je er nog veel meer vinden.

Als je rechts klikt op je domain controller kun je nog voor volgende zaken kiezen

  • Enforce
  • Link Enabled
  • Delete Link


Fig. 4:
GPMC Scope


Gaan we naar het tabblad "Details" (Figuur 5) zie je op welk domain het toegepast wordt, wie de owner is etc. Het belangrijkste is dat de GPO "Enabled" is.



Fig. 5:
Details van de policy



Bij het tabblad "Settings" Figuur 6 zie je in principe nog niets. Dit omdat er nog niets geconfigureerd is.
Op het moment dat je policies toegevoegd hebt zie je hier ook zaken verschijnen.



Fig. 6:
GPO settings



Toevoegen van policies


Ga naar het tabblad "Settings" en rechts klik ergens in dat venster.
Je hebt volgende mogelijkheden

  • Edit
  • Print
  • Save report
  • Copy Selection (greyed out omdat je nog niks gemaakt hebt)
  • Select All
  • Refresh

We kiezen natuurlijk voor "Edit" omdat we een policy toe willen voegen. Je krijgt nu het venster (na gerammel van je harde schijf) van de Group Policy Object Editor te zien
zie Figuur 7
LET OP: je zit in de default domain policy te werken dus dit heeft grote impact, doe dit nooit voordat je een backup hebt gemaakt


Fig. 7:
De Group Policy Editor


Het enige wat wij hier gaan doen is eens fijn de Eventlogs finetunen. Deze worden in de default policy niet ingesteld namelijk.
Ga naar Computer Configuration -> Security Settings -> Event log.
We gaan het ons fijn gemakkelijk maken en stellen in dat de Retention method for application,security en system log overwrite as needed wordt.
Ook handig is het om de Eventlogsize te vergroten middels een policy voor domain controllers, op deze manier vergeet je namelijk niet deze in te stellen een vaak gebruikte waarde is 4096KB(4mb).

Bij Figuur 8 wordt alleen Application log ingesteld herhaal dit voor Security en System log.


Fig. 8:
Eventviewer policy


Als we nu weer naar Settings kijken en op Refresh drukken zien we dat er nu wel een aantal zaken ingesteld zijn.
Kies nu voor "Show All" zie Figuur 9


Fig. 9:
GP manager met settings lijst


Je ziet dat het nu opeens interessant wordt om een report te saven. Dit gebeurt in HTML formaat.

Je kunt oneindig veel policies instellen maar onthoud dat je eerst uitprobeerd wat je doet en het test voordat je het uitrolt in een live omgeving.
Dit om te voorkomen dat je het beroep Bastard Operator From Hell ook live uit gaat proberen :)

Ook is GPMC heel erg handig om documentatie op te bouwen door alle HTML documenten op een Intranet server te zetten en deze 1 maal per maand (of vaker indien gewenst) te verversen.



·^

RSOP


RSOP is nieuw in Windows2000 ge%ntroduceerd en zit ook in Windows Server 2003.

Hoe open ik RSOP? Dit kan op 2 manieren. Vanuit de Command Prompt door rsop.msc in te tikken of volgende manier.

Start -> Run [type]MMC[enter] Nu wordt een default lege management console geladen. Ga naar File -> Add/Remove Snapin en voeg Resultant Set Of Policies toe.

Met RSOP kun je de resultant set of policies bekijken. Wil je bijvoorbeeld weten wat een GPO
Zie Figuur 10

Rechts klik op Resultant set of policies in je MMC en kies


Fig. 10:
Resultant Set of Policies


Klik op Next op door te gaan.


Fig. 11:
RSOP Wizard


Je kunt nu kiezen uit volgende opties

  • Loggin mode (review de policy settings op een specifieke computer of gebruiker)
  • Planning mode (simuleer een policy implementatie door gebruik te maken van AD directory service)


Loggin Mode


We kiezen voor login mode en klikken op next bij Figuur 11. Vul de computer in of kies browse en selecteer een computer klik dan op "Next".


Fig. 12:
Vul computer in


Bij Figuur 13 kun je kiezen welke gebruiker je bekijken wilt.
NOTE: Let wel dat er verschil is tussen lokale en domain policies.
We hebben gekozen voor een domain user. Klik op "Next"


Fig. 13:
User selection


Je kunt nu nog dingen wijzigen door op "Back" te drukken. Ook kun je er voor kiezen om "Gather extended error information" uit te zetten.
Laat dit lekker aan staan alle informatie bij policies is meer dan welkom.


Fig. 14:
RSOP Summary


Klik nu op "Finish" en bekijk het resultaat in Figuur 16


Fig. 15:
Bevestigen wizard


Zoals je ziet worden alle policies getoond. Dit kan erg handig zijn als je van een gebruiker niet weet welke rechten hij heeft, en je moet troubleshooting doen.


Fig. 16:
RSOP resultaat



Planning mode


Rechtsklik nu weer op de query (er zal nu een name staan) en kies voor "Change query". Klik op "Back" en selecteer "Planning mode" klik op "Next"
en zie Figuur 17

Je kunt bij Figuur 18 verschillende zaken invullen. Kom je er niet uit er zit bij RSOP een prima HELP knop.
We hebben zoals je in Figuur 18 kunt zien gekozen bij User information voor container "Domain Controllers" en bij Computer information "Security" wat een DC is.


Fig. 17:
RSOP Computer and User selection


Fig. 18:
RSOP Computer and User selection (2)


Bij Figuur 19 kun je volgende zaken nog kiezen.

  • Slow network connection
  • Loopback processing (replace of merge)
  • Site
  • Skip to final page..

Wij kiezen om Loopback te doen en dan replace, de site is de default-first-site-name(standaard 1e site naam deze kun je hernoemen btw)


Fig. 19:
Advanced Simulation Options


Bij Figuur 20 kun je nog voor een alternative locatie kiezen (dus een andere OU) waar je de policy wilt simuleren. Wij laten het hier op default staan.


Fig. 20:
Andere OU kiezen


Bij Figuur 21 kun je nu kiezen welke groepen je allemaal wilt bekijken waar de gebruiker bij hoort.


Fig. 21:
Security Group Kiezen


Bij Figuur 22 kun je kijken van welke groepen de user lid is en eventueel groepen toevoegen of verwijderen.


Fig. 22:
Security group detail scherm


Zoals je in GPMC al hebt kunnen lezen kun je ook WMI filters gebruiken. Bij Figuur 23 kun je kiezen om deze ook mee te nemen.
Wil je alleen bepaalde filters testen kun je dit aangeven.
Bij Figuur 23 zie je WMI filters for Users als je op "Next" klikt krijg je nog een WMI filters for Computers te zien.


Fig. 23:
WMI Filters opgeven


Bij Figuur 24 krijg je nog een summary te zien wat je allemaal ingesteld hebt.
Je kunt dus nog terug om meer of minder in te stellen.
Klik op "Next" en dan op "Finish" en je kunt het resultaat bekijken.

NOTE: Als je bij bepaalde instellingen een groot rood kruis ziet betekent dit dat RSOP niet geprobeerd heeft deze te configureren. Je kunt dit alles na kijken in de planninglog %systemroot%securitylog


Fig. 24:
RSOP Summary scherm



·^

GPUPDATE


Bij GPupdate heb je een boel mogelijkheden. Default is gewoon gpupdate en dan refreshed hij de user / computer policies die gewijzigd zijn.
Je kunt echter ook nog parameters meegeven.
De uitleg staat tussen { }
Lijst van parameteres met uitleg
Syntax: GPUpdate [/Target:{Computer | User}] [/Force] [/Wait:] [/Logoff] [/Boot] [/Sync]

  • /Target: [computer / user] {specificeerd of je alleen computer of user policies wilt verversen}
  • /Force {ververs ALLE policies default worden alleen gewijzigde policies ververst}
  • /Wait: [value] {wacht bepaalde periode default is het 600 seconden. 0 is niet wachten -1 is oneindig wachten(met welk nut :S ) }
  • /Logoff {veroorzaakt een Logoff nadat de Group Policy settings zijn ververst.Dit is vereist als je policies hebt ingesteld die tijdens het inloggen verwerkt worden denk aan software installaties en dergelijke}
  • /Boot {deze parameter is vereist als je computerpolicies wijzigt. Client computers laden policies namelijk tijdens het opstarten}
  • /Sync {Policy wordt synchroon geladen. met de /target switch kun je nog opgeven voor computer of user}


·^

GPRESULT


GPresult is ook nieuw in Windows 2003 ge%ntroduceerd en eigenlijk is RSOP de GUI versie ervan, Gpresult kent dan ook alleen een command prompt interface. Voor Windows 2000 zit het in de resource kit en kan het van de Microsoft site worden gedownload.

De parameters op een rij met uitleg wat tussen {} staat.
GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope][/USER] [/V | /Z]


  • /S [system] {specificeert de remote computer waar je naar toe wilt connecten}
  • /U [domain]user {specificeert de gebruiker context waaronder het commando uitgevoerd moet worden
  • /P [password] {specificeert het password voor de opgegeven gebruiker, Er wordt geprompt om een wachtwoord in te vullen}
  • /SCOPE scope {specificeert of de gebruiker of de computer settings getoont moeten worden. Valide waardes "User" , "Computer"}
  • /USER [domain]user {specificeert de gebruikersnaam voor welke gebruiker de rsop data vertoond moet worden
  • /V {toon verbose informatie}
  • /Z {specificeert de super-verbose informatie zie Group policy online help topic voor meer informatie}
  • /? {laat de help message zien}

NOTE: als je GPRESULT uitvoert zonder parameters krijg je de RSop informatie te zien van de ingelogde gebruiker op de computer waar het uitgevoerd wordt.

Voorbeelden:

  • GPRESULT
  • GPRESULT /USER targetusername /V
  • GPRESULT /S system /USER targetusername /SCOPE COMPUTER /Z
  • GPRESULT /S system /U username /P password /SCOPE USER /V

Makkelijk is om de output van gpresult naar een file te laten pipen, je kunt het dan eenvoudig nalezen en vergelijken met andere resultaten.
Dit doe je door < c:gpresult.txt toe te voegen aan de command line.



·^

Verwerking van de GPO's


Tenslotte is het nog handig om iets meer te weten over de manier waarop GPO's worden verwerkt op een systeem. Allereerst zijn er twee secties in een GPO, user settings en machine settings.
De machine zal de policies ontvangen van de AD container (OU) waar het computeraccount in staat, de gebruiker zal de user settings ontvangen van de OU waar zijn useraccount instaat.
Deze hoeven dus niet in dezelfde container te staan en kunnen daarom ook verschillende policies ontvangen.

GPO's kunnen op verschillende niveaus gelinkt worden, lokaal op een machine, en op site-, domein-, en op OU niveau.
Dit is ook de volgorde waarin ze zullen worden verwerkt, eerst local, dan site, vervolgens domain en als laatste OU.
Logisch gezien zullen de settings op OU niveau dan ook bepalend zijn indien er tussen de verschillende niveaus conflicterende instellingen zijn.
Als op een hoger niveau iets niet ingesteld is zal de setting van het lagere niveau behouden blijven.

Voorbeeld:


  • -local: control panel off en rode desktop
  • -site: control panel off en blauwe desktop
  • -domain: not defined en not defined
  • -OU: control panel on en not defined


In dit geval zal uiteindelijk het control panel aan staan en de desktop blauw zijn.
Op 1 niveau kunnen ook meerdere GPO's worden gelinkt, uiteindelijk zal de bovenste gpo als laatste worden verwerkt en dus bepalend zijn. (Analoog aan de local, site, domain, ou volgorde).

Om het nog wat overzichtelijker te maken bestaat de optie om aan een GPO de functie "No Override" mee te geven.
Dit zorgt ervoor dat de GPO niet kan worden overschreven door een GPO van een hoger niveau.
Verwant daaraan is de "Block Policy Inherritance" setting waarmee het erven van GPO's van een lager niveau wordt voorkomen.
Deze beide instellingen moet je uiteraard niet samen op 1 GPO gaan gebruiken, dat levert erg aparte verschijnselen op.
Op local niveau zijn deze settings niet beschikbaar, anders zou je immers je workstation aan de centrale policies kunnen onttrekken.

Als laatste is de loopback setting nog het vermelden waard.
Deze wordt vaak gebruikt voor wat Microsoft "kiosk computers" noemt, denk hierbij aan uhm, een kiosk, een internet cafe en andere omgevingen waar een standaard instelling van belang is.
Loopback heeft twee instellingen, replace en merge.
Bij Replace zullen alle gebruikersinstellingen door de GPO worden overschreven, ongeacht op welke plek in de AD het gebruikersaccount staat en welke settings de gebruiker normaal zou krijgen op een andere machine.
Bij merge worden de gewone settings eerst uitgevoerd en zullen daarna de settings van de loopback GPO er overheen worden gezet in geval van confliterende settings.



·^

Thanks to


Deze howto is geschreven door Hans, beter bekend als mutsje (www.datacrash.net).
Op- of aanmerkingen, en suggesties kunnen worden doorgegeven aan de WOS moderators



·^

Lijst met figuren




·^

Inhoudsopgave



[ Voor 56% gewijzigd door elevator op 29-11-2004 12:52 ]

Dit topic is gesloten.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq