Active Directory - szybki start - Ustawienia grupowe GPO

Active Directory - szybki start - Ustawienia grupowe GPO

Wstęp

Pewnie już do tego etapu zauważacie możliwości i ułatwienia jakie daje nam Active Directory mimo wszystko jednak część czynności jak instalacja drukarki z serwera czy mapowanie dysków wykonujemy ręcznie sami. Można to zautomatyzować? Oczywiście i to bez najmniejszego problemu.

Ustawienia grupowe - GPO

Co to jest za mechanizm? W praktyce jest to narzędzie dzięki któremu robimy ustawienia które potem aplikujemy w danym OU na obiekty w nim obecne. I to w zasadzie tyle. Ok nie wygląda źle. Jak się dobrać do tego? Na początek trochę teorii. 

GPO oraz GPP - Group Policy Objects oraz Group Policy Preferences. Czyli obiekty zasad grup oraz preferencje zasad grup. 

Zaczynamy, zróbmy sobie założenia - teorii jednak nie będzie bo to trzeba zrobić a nie myśleć jak to działa. Czym więcej przećwiczycie ustawień i sposobów ich podpinania tym lepiej będziecie się nimi posługiwać.

Założenia do polis

1. Marketing ma mieć ukryty dysk C:\ bo grzebią tam cały czas nie wiadomo po co
2. Księgowość ma mieć na pulpicie skrót do serwisu o księgowości i finansach i niech tym serwisem będzie google.pl żeby nie reklamować jakiś konkretnych serwisów
3. Projektanci mają mieć zablokowany Panel sterowania bo też z nimi są problemy - mieszają cały czas
4. Wszyscy mają mieć zainstalowaną aplikację 7zip
5. Ci którzy mają uprawnienia do konkretnego udziału mają mieć zamapowany dysk
6. Ci którzy mają dostęp do drukarki mają mieć ją automatycznie zainstalowaną

Hm... Ciekawe nie? Da się tak? Pewnie, że tak! Ale po kolei bo założeń jest dużo. Będę po prostu wykonywał wszystkie operacje zgodnie z tym co tutaj ustaliłem tłumacząc w trakcie dlaczego coś robię tak a nie inaczej. Zaczynamy zatem.

1. Ustawienie dotyczące ukrywania dysków

Aby w ogóle się zabrać za takie ustawienia to dobrze wiedzieć, że jeżeli mamy pod ręką dostępny system operacyjny w wersji conajmniej Professional warto przejrzeć sobie możliwe ustawienia. Aby to zrobić odpalamy gpedit.msc na swoim komputerze i sprawdzamy co można ustawić. Uwaga! Lokalne zmiany mają wpływ na Twój komputer więc z eksperymentami radzę uważać. Używam sam tej konsolki do przypomnienia sobie czy jest takie ustawienie którego szukam i gdzie jest. Ok ale my logujemy się na serwer i zaczynamy. Na serwerze oczywiście nie uruchamiamy gpedit.msc bo zmienialibyśmy tylko ustawienia serwera a my mamy działać na komputerach użytkowników. Więc otwieramy sobie konsolę Group Policy Managament w Server Manager (menu Tools).

O kurczę! Jakoś znajomo to wygląda. Tak faktycznie tak jest. To nasza struktura AD. No to teraz dwa zdania wyjaśnienia.

Całe ustawienia GPO i GPP działają na zasadzie obiektów i linków. W obiektach definiujemy same ustawienia, skrypty i całą masę różnych ustawień. Natomiast w linkach definiujemy gdzie mają działać konkretne obiekty w naszej strukturze. No to bardzo fajnie w sumie prosty temat. To gdzie są te obiekty i linki? Narazie ich nie ma. Na początek tworzymy sobie obiekty. Wszystkie obiekty są w Group Policy Obiects i nigdzie więcej! To ważna informacja. Po rozwinięciu tego folderku mamy tam już dwa obiekty, Default Domain Policy oraz Default Domain Controllers Policy. Są to polisy dodane od Microsoft-u i proszę Was na początek nic w nich nie zmieniajcie. 

Ok! W takim razie tworzymy nowy obiekt, naszym zadaniem jest utworzenie obiektu który ukryje dysk C:\. Klikamy prawym na folderek z obiektami i wybieramy New.

W name wpisujemy nazwę naszego obiektu - wpiszmy ukrycie_dysku_C, w source starter GPO możemy podać polisę z której zaimportują się nam ustawienia ale takiej nie mamy więc klikamy ok.

Po lewej stronie w drzewku obiekt nam się pokazał, co robimy? Klikamy na nim prawym klawiszem myszy i wybieramy Edit.

Ok jesteśmy w środku obiektu. Teraz musimy jakoś zrobić, żeby mieć tutaj to ustawienie do ukrycia dysku C:\. Widać tutaj jawnie, że polisa dzieli się nam na dwie części. Część użytkownika i komputera. Dlaczego tak? Bo możemy definiować ustawienia dla komputera niezależnie od zalogowanego użytkownika, oraz możemy definiować ustawienia użytkownika niezależnie od tego na którym komputerze się loguje. Możliwe są też wszelkie kombinacje. Wszystko tutaj zależy od naszego podejścia oraz wyobraźni. Pokażę moje podejście niekoniecznie dobre ale moim zdaniem realne i skuteczne. Ok w takim razie podpowiem od razu, że mamy ograniczyć ustawienia użytkownikom więc szukamy w części ustawień użytkownika. OK, żebyście za dużo nie szukali to pokazuję niżej co trzeba zrobić.

Może nie widać dokładnej ścieżki ale poszukajcie bo warto w miarę dobrze orientować się co tu się da zrobić a co nie. Ok zaznaczamy zatwierdzamy zamykamy...

Wracamy do okna w którym mamy nasze obiekty zasad, Zaznaczamy nasz obiekt i przechodzimy na zakładkę Settings, może się wyświetlić błąd - związany on jest z ustawieniami IE na serwerze, ale klikamy close i się nie przejmujemy. W tym okienku powinniśmy zobaczyć takie ustawienia.

W ten sposób możemy szybko podejrzeć co w danym obiekcie/polisie jest ustawione. Jeszcze kwestie optymalizacji. Przechodzimy na zakładkę Details i ustawiamy jak niżej.

O co tutaj chodzi? Jest to bardzo ważne ustawienie mówiące o tym, czy dany obiekt zawiera ustawienia komputera czy użytkownika czy jedne i drugie. Tutaj ustawiłem, że część ustawień komputera ma być wyłączona. Po co? Żeby komputery nie sprawdzały czy są jakieś ustawienia dla nich w tym obiekcie - przy naszej ilości polis nie ma to najmniejszego znaczenia natomiast w miarę wzrostu ilości polis, komputerów, użytkowników itd będzie to miało znaczenie. Może i tak, może marginalne ale zawsze jakaś to optymalizacja i co nam zależy kliknąć. Dodatkowo w ramach testów możemy wyłączać gałąź jedną czy drugą (komputera lub użytkownika) dla testów itd. W sumie ważna rzecz.

Ok mamy obiekt z ustawieniami. Co dalej? Musimy teraz utworzyć ten cały link. Jak to zrobić i o co tu chodzi? Hm... Polisę mamy dopiąć do Marketingu bo tak mamy w założeniach. OK! Klikamy prawym na Marketing i wybieramy "Link to existing GPO" AHA! Czyli tworzymy link wiążący Marketing z naszym obiektem tak? TAK. Wybieramy nasz obiekt z listy.

Klikamy OK i efekt powinien być taki (rozwijamy Marketing).

HA! Zrobione! Czy to już wszystko? TAK! Idę do komputera i widzę, że jednak nie działa!

Trochę kolejnej teorii. 

GPO są pobierane z serwera co około 90 minut przez komputery, przy czym nie wszystkie ustawienia są aplikowane natychmiast. Niektóre są aplikowane od razu niektóre po przelogowaniu użytkownika a jeszcze inne dopiero po restarcie komputera. Także musimy być cierpliwi. Możemy wymusić aktualizację zasad przez urządzenie poleceniem gpupdate. Wtedy komputer nam doda ustawienia od razu i poinformuje jeżeli musimy się przelogować lub ponownie uruchomić komputer. Gdyby jednak nam ustawienia się nie aplikowały z jakiś przyczyn można dodać przełącznik /force.

gpupdate /force

zaktualizuje nam ustawienia na siłę, nawet te które już są zaaplikowane zostaną zaaplikowane ponownie. Ok po tych operacjach lub odpowiednią dozą cierpliwości możemy przejść do punktu drugiego bo pierwszy mamy za sobą. Uff było trochę zachodu ale zdecydowanie warto. Proszę zwrócić uwagę na to, że wszystko co zrobiliśmy działa na obecnych użytkowników Marketingu oraz na tych których utworzymy w przyszłości. Więc te ustawienia zawsze będą się aplikować? Tak! I to niezależnie od tego na którym komputerze użytkownicy z Marketingu się zalogują. Fajne!

2. Księgowość ma mieć na pulpicie skrót do serwisu o księgowości i finansach 

Nie będziemy tutaj robić reklamy nikomu to zrobimy skrót do googla, dokładnie do http://google.pl

A więc tworzymy nowy obiekt o nazwie pulpit_google, nazewnictwo polis też jest dobrze jakoś sobie wcześniej ustalić. Nazywamy narazie tylko tak żeby coś oznaczało. Pamiętamy o wyłączeniu ustawień części komputera analogicznie jak w poprzedniej polisie. W ustawieniach użytkownika, przechodzimy tym razem do części preferencji, następnie Windows Settings i dalej Shortcuts czyli skróty. Klikamy prawym i wybieramy New. Potem uzupełniamy jak niżej.

Mamy tutaj też kilka trybów tworzenia tych skrótów, najlepiej zrobić Replace (przy każdym aplikowaniu polisy skrót zaktualizuje się zgodnie z nowymi ustawieniami). Przechodzimy na zakładkę Common i ustawiamy jak poniżej.

Możemy tutaj ustawić kilka opcji które są bardzo użyteczne. Zaznaczamy jedynie Remote this item when it is no logner applied - oznacza to, że jeżeli użytkownik na którego jest aplikowana polisa już nie będzie w zakresie jej działania (np. przeniesiemy go)  To skrót ma się usunąć. Zatwierdzamy zamykamy i przechodzimy do linkowania....

Efekt powinien być jak wyżej. Ok czy to wszystko? TAK! E to nie jest tak źle, dobrze nam idzie.

Ok przejdźmy do kolejnego ustawienia.

3. Projektanci mają mieć zablokowany Panel sterowania

Tworzymy nowy obiekt o nazwie blokada_cp. Wyłączamy część komputera. Ustawiamy w tym obiekcie w części użytkownika tak jak niżej.

Ok! Zrobione! Co dalej? Przypinamy polisę linkiem....

To wszystko? TAK! Szybko idzie, jedziemy dalej...

4. Wszyscy mają mieć zainstalowaną aplikację 7zip

Wszyscy czyli kto? Pewnie chodzi o komputery, bo przecież użytkownicy nie? Nie? No tak. Ok.

Ale zaraz jak to? Komputer ma sobie zainstalować sam program? No tak. Ale skąd i jak to ma się zadziać? No po pierwsze pobieramy sobie ten program w wersji 32-bit żeby nam wszędzie działał, pobieramy instalator w formie msi - można exe ale trzeba wtedy działać w inny sposób. Pobieramy MSI. No ok ale teraz musimy sobie jakiś udział zrobić na którym będziemy mieli wersje instalacyjne aplikacji. Ok to do rzeczy. 

Tworzymy na C:\ folder o nazwie instalki. Klikamy prawym i przechodzimy do zaawansowanego udostępniania. 

Zaznaczamy tradycyjnie dla Everyone wszędzie Allow. Zwróćcie uwagę, że dopisałem znak $ do nazwy. To jest taka metoda na ukrycie zasobu - bezpośrednio po wejściu na serwer nie będzie on widoczny, natomiast korzystając ze znanej nam ścieżki (z dolarem), możemy z niego skorzystać. Ok lecimy dalej. Do folderu wrzucamy plik msi 7zip-a. Dodatkowo na samym folderze musimy ustawić uprawnienia. 

Na start wywalamy Users (musimy wyłączyć dziedziczenie), reszta zostaje. Pamiętajmy, że komputery (bo to one muszą mieć dostęp do tego folderu) mają swoje konta użytkowników. Wszystkie konta są w grupie Authenticated Users i taką grupę dodajemy tutaj na listę z uprawnieniami tylko do odczytu. Ostatecznie powinno to wyglądać tak:

Ok jak tak mamy to komputery będą miały dostęp do tego udziału nawet jeżeli użytkownik się nie zaloguje. Instalka 7zip powinna być w środku. OK! Tworzymy obiekt ustawień pod nazwą software_7zip. Wyłączamy tym razem część ustawień użytkownika (ustawienia będziemy robić tylko w części komputera). 

Optymalizacja za nami, obiekt jest teraz robimy ustawienia. 

Przechodzimy w części komputera Polices -> Software Settings -> Software installation. Dodajemy nowy wpis. Jak widać korzystamy ze ścieżki z dolarem - musimy ją wpisać ręcznie bo nam się ukryty udział nie wyświetla. W następnym okienku potwierdzamy tryb instalacji jako assigned. We właściwościach zaznaczamy opcję która odinstaluje aplikację z komputera jeżeli komputer już nie będzie w zakresie działania tej polisy (przydatne do aktualizacji aplikacji).

Wszystko zatwierdzamy, zamykamy i linkujemy polisę...

O kurdę! Ale gdzie ją mamy podlinkować? Polisa ma działać na wszystkie komputery. Zgodnie z tym co mamy w Active Directory Users and Computers komputery mamy w kontenerze Computers a tego kontenera nawet tutaj nie ma. Tak jest! Dlatego na samym początku pisałem, że kontenery mają bardzo ograniczoną funkcjonalność. Jak możemy sobie poradzić? conajmniej na kilka sposobów. Pierwszym który przychodzi mi do głowy jest podpięcie polisy do całej domeny a nie do konkretnego OU. Jest to rozwiązanie ale czy dobre? 7zip zainstaluje się również na serwerze. Być może jest to oczekiwana sytuacja ale zwykle nie jest więc musimy zrobić tak, żeby polisa zadziałała tylko na komputery użytkowników. Aby tak było musimy zmienić naszą strukturę AD. Zależnie od tego co będziemy chcieli osiągnąć można różnie sobie taką strukturę budować. W naszym przypadku dla uproszczenia zróbmy sobie OU o nazwie KOMPUTERY. Robimy to oczywiście w konsolce Active Directory Users and Computers. Po utworzeniu OU odświeżamy sobie konsolkę tak żeby zobaczyć nowe OU. 

Ok mamy podpiętą polisę. Jeżeli zapomnieliście o przeniesieniu komputerów do nowego OU to warto to teraz zrobić. W konsolce Active Directory Users and Computers możemy przenosić komputery, jednak już jesteśmy na tyle z tą konsolą obyci, że pozwolę sobie pominąć opis przenoszenia kont. Ok! Skończone! 

Żebyśmy nie byli zdziwieni od razu wyjaśnię, że instalacja oprogramowania odbywa się podczas startu komputera. Jednak aby instalacja była doszła do skutku komputer musi się uruchomić odświeżyć sobie polisy a następnie podczas następnego startu zainstaluje sobie oprogramowanie. Nie jest to może szybkie rozwiązanie ale jednak skuteczne i globalne. Pamiętajmy, że po dodaniu nowego komputera do domeny oprogramowanie zainstaluje się bez naszej ingerencji. 

Może teraz sprawdźmy czy wszystko nam działa jak byśmy chcieli. 

Weryfikacja naszych ustawień.

Logujemy się na PC01, na użytkownika z marketingu dryt. 

Sprawdzamy czy widać dysk C:\

HEHE! Mamy kolegów z Marketingu z głowy - ich grzebanie po dysku już nam nie grozi.

Sprawdzamy dalej... Musimy przelogować się kogoś z księgowości... Krystyna Złotówka... logujemy się i sprawdzamy czy mamy skrót na pulpicie, od razu sprawdźmy czy widzimy dysk C:\

Ok! Skrót jest i dysk C też a dlaczego? Bo polisa z ukryciem dysku była podlinkowana tylko do OU z użytkownikami Marketingu. No to fajnie wszystko jest jak chcieliśmy. Jedziemy dalej. Przelogowujemy się na kogoś z Projektantów np. msobczuk. Sprawdzamy czy mamy panel sterowania. Jak widać panel jest ale przy próbie jego otwarcia...

Czyli jest tak jak chcieliśmy. Ok co dalej?

5. Ci którzy mają uprawnienia do konkretnego udziału mają mieć zamapowany dysk

Od razu uprzedzę, że musimy ustalić literę pod który będziemy mapować konkretne udziały. Udział mamy w tej chwili tylko jeden, jest to udzial_ksiegowosc. Przyjmijmy, że będzie to litera K. No dobra tak naprawdę nie jest wymagane ustalanie litery na sztywno ale z doświadczenia wiem, że jest to bardzo zalecane. Więc jedziemy. Tworzymy nowy obiekt GPO o nazwie fs_ksiegowosc. Wyłączamy część komputera. W części użytkownika ustawiamy jak poniżej:

Na zakładce common włączamy ustawienie które nam usunie mapowanie jeżeli nie powinno być już stosowane. Zaznaczamy również, że mapowanie ma się odbywać na uprawnieniach użytkownika zalogowanego do systemu. Czyli tak jak poniżej.

Ok zrobione! Przechodzimy do linkowania polisy.

O kurde znowu dylemat gdzie to podpiąć. W zasadzie polisa dotyczy wszystkich użytkowników którzy mają jakiekolwiek uprawnienia do udziału. Więc linkujemy polisę dla całej domeny? Dokładnie tak! Dodajmy teraz link tak jak niżej.

Ok! Sytuacja jest taka, polisa działa na wszystkich. Także takie ustawienie działa nam na wszystkich tych którzy są w domenie. Czyli załatwia nam to temat. Ok ale pewnie macie obiekcje co do takiego ustawienia, bo np. możecie mieć kilka grup do różnych udziałów i nie chcecie mapować każdemu wszystkich udziałów tylko te które faktycznie ma użytkownik. Logiczne. No i polisa nam zadziała teraz dla wszystkich użytkowników nawet tych którzy w ogóle nie mają żadnych dostępu do żadnych udziałów. Zróbmy przykład. Wyobraźmy sobie taką sytuację. 

Mamy kilka udziałów: udział_1, udział_2, udział_3. do każdego udziału w OU FileShare mamy grupy:

udzial_1_R

udzial_2_R

udzial_3_R

udzial_1_RW

udzial_2_RW

udzial_3_RW

mamy 3 obiekty podlinkowanymi do domeny z mapowanymi dysków pod różne litery do różnych udziałów:

fs_udzial_1

fs_udzial_2

fs_udzial_3

mamy podlinkowane obiekty do całej domeny. Teraz każdy obiekt podlinkowany będzie działał na wszystkich. Np. polisa fs_udzial_1 będzie działała na grupę udzial_2_R. Użytkownik z tej grupy dostanie dysk do którego nie może się dostać. (W praktyce system go nie zamapuje - ale strzeli błędem w logach i na serwerze będzie wpis o nieuprawnionej próbie odczytu). Trzeba nam jakoś tak zrobić, żeby dane obiekty działały tylko na odpowiednie grupy w tym OU a nie na wszystkie. Taką funkcjonalność udostępniają nam filtry. Po kliknięciu na link jest widoczna część Security Filtering w której mamy dodaną grupę Authenticated Users. I właśnie dlatego, że tak jest polisa działa na wszystkich. Ok. To co trzeba zrobić?

Usuwamy użytkowników uwierzytelnionych i dodajemy naszą konkretną grupę. Powinno to wyglądać tak:

Dokładnie tak! 

Polisa zadziała automatycznie na wszystkich którzy mają uprawnienia do odczytu lub do odczytu i zapisu do udziału księgowości. Mechanizm bardzo fajny. Wystarczy, że dodamy kogoś do grupy z uprawnieniami do udziału. Dostanie uprawnienia po grupie a dodatkowo zacznie działać na niego polisa w której ustawiliśmy mapowanie dysku do tego konkretnego udziału. No super!

Napewno widzicie jakie są tutaj możliwości. Możemy polisy filtrować po wszystkich kontach użytkowników, grup, komputerów i czego tylko chcemy. Ok podsumujmy to jakoś.

Będziemy korzystać z tego mechanizmu często więc z czasem to się rozjaśni. Sprawdzamy czy jest ok czy nie. Czyli logujemy się na kogoś z księgowości. Krystyna Złotówka znowu w akcji. 

Klasa! Wszystko jest na swoim miejscu. Ale zaraz, bo przypomina nam się, że jeszcze koledzy z Administracji powinni mieć dostęp tylko do odczytu, a skoro tak to ten dysk się też u nich zamapuje? No pewnie tak skoro mają dostęp do udziału a tak ustawiliśmy. Sprawdzamy... Logujemy się na kogoś z Administracji... Tym razem jnowak... Dysk jest, sprawdźmy więc czy możemy usunąć coś co zrobiła Pani Krystyna.

OK Super! Uff wszystko działa do tej pory tak jakbyśmy chcieli. Zabieramy się za drukarkę w takim razie.

6. Ci którzy mają dostęp do drukarki mają mieć ją automatycznie zainstalowaną

To już ostatni punkt w tej części dotyczący polis GPO. Do polis będziemy wracać pewnie nie raz i nie dwa. Te kilka przykładów to wierzchołek góry lodowej ale poznanie tych możliwości i bycie świadomym co można tym zrobić to bardzo potężne narzędzie. Ok więc zabieramy się do roboty. 

Tworzymy nowy obiekt GPO pod nazwą ps_administracja, wyłączamy część dotyczącą komputera oraz w edycji jedziemy do ustawień jak niżej. Dodatkowo w common dodajemy, żeby drukarka się nam odłączyła jeżeli już polisa nie będzie działać na danego użytkownika. 

Ok tak wiem! Pomyliłem nazwy drukarek. Miała to być drukarka administracji ale ja mam tylko udostępnioną z księgowości. Mam nadzieję, że mi to wybaczycie. Wykorzystam tę drukarkę. Przyjmijmy, że jest w administracji ;)

Chociaż w sumie może pokażę teraz jak to poprawić, żebyśmy umieli sobie poradzić w takiej sytuacji. Więc wchodzimy w opcje udostępniania drukarki na serwerze... I po prostu zmieniamy nazwę.

Ok, nazwa poprawiona to teraz poprawmy ścieżkę w polisie GPO.

Ok zrobione, ustawiłem też, żeby drukarka była domyślną. W sumie niech będzie czemu nie. W zakładce Common ustawiłem, żeby nam się usunęła jak już nie będzie potrzebna (jak polisa już nie będzie działać na użytkownika np. jak usuniemy go z grupy z uprawnieniami do drukowania na tej drukarce). Zaznaczamy, zamykamy i linkujemy... Ale gdzie? tak jak wcześniej linkujemy do całej domeny ale powinniśmy zrobić filtrowanie i wyfiltrować polisę tylko do odpowiedniej grupy która będzie mogła drukować na tej drukarce. Powinno to wyglądać tak jak poniżej:

Mam nadzieję, że wszystko jest jasne. Podpowiem Wam jeszcze, że z niektórymi drukarkami będzie problem przy takiej konfiguracji bo użytkownicy nie mają uprawnień do instalowania sterowników na komputerze (jeżeli komputer nie ma sterowników w systemie to sterownik się nie zainstaluje bo użytkownik nie ma uprawnień). Dodatkowo jeżeli komputer nie ma sterownika to skąd ma się on wziąć? Wróćmy jeszcze na serwer... W opcje udostępniania drukarki. W sytuacji gdybyśmy sterowniki na serwerze instalowali inne niż te które są w samym systemie operacyjnym to w poniższej opcji można zaznaczyć, że chcemy doinstalować sterowniki dla platformy x86 dodatkowo i je wskazać z folderu gdzie je mamy. 

Dzięki takiemu rozwiązaniu użytkownicy będą mieli skąd pobrać sterownik (komputer sam pobierze sterownik z serwera). Natomiast nie będą mieli uprawnień aby go zainstalować. Możemy nadać takie uprawnienia w obiekcie w którym mamy ustawienia dla tej drukarki. Aby to zrobić edytujemy obiekt ps_administracja.

W tej sposób zezwolimy użytkownikom instalować sterowniki do drukarek bez zapytania o hasło administratora. Ok to w zasadzie wszystko. Logujemy kogoś z administracji i sprawdzamy. Tym razem niech to będzie jkowalski.

No i jest. Dodatkowo jest domyślna tak jak ustawiłem. No to super!

Przy okazji uruchommy ponownie komputer PC01 i zobaczmy czy zainstalował się 7zip. 

Obecność w menu kontekstowym mi wystarcza. No to fajnie.

Dodatkowy scenariusz szefa

Nagle nam przychodzi szef i mówi tak:

"Chłopaki fajnie porobiliście wszystko działa, przepraszam, że tak z nienacka ale mamy nową pracownicę, nazywa się Aneta Nowak, będzie pracownikiem działu Projektantów więc musi mieć takie same ustawienia jak oni. No i musi drukować w Administracji bo będzie przygotowywała kolorowe raporty. Będzie też musiała mieć dostęp tylko do odczytu do dysku księgowości bo te raporty będą też na podstawie danych księgowych. Wiem, że jest przy tym trochę pracy, na kiedy to zrobicie żeby tak miała? Potrzebuję najpóźniej jutro bo od dzisiaj zaczyna pracę. Dacie radę?"

Panie Szefie nie ma paniki, pewnie, że tak. 

"A i żeby nie było, będzie miała nowy komputer PC03"

Ok!

No dobra, w pierwszej kolejności zakładamy użytkownika anowak w OU Projektanci.

Użytkownik jest, teraz grupy. Otwieramy użytkownika dwuklikiem. I przechodzimy na zakładkę członek grup (member of).

klikamy Add i wpisujemy tylko początek nazwy grupy do której chcemy dodać użytkownika "gru". Klikamy Check Names albo od razu OK. Jako że jest dużo obiektów w AD które mają taką nazwę (zaczynającą się od gru) to mamy tutaj listę tych obiektów. Zaznaczamy interesujące nas przytrzymując klawisz CTRL.

No to super, klikamy ok. Mamy założonego użytkownika z kompletem uprawnień jakie chciał szef. 

No dobra a co z komputerem? Instalujemy PC03 i dodajemy go do domeny jak każdy komputer do tej pory. Pamiętajcie żeby przenieść konto komputera z Computers do KOMPUTERY tak jak przenieśliśmy pozostałe. Powinno to wyglądać tak:

Dodajemy komputer do domeny znaną już nam procedurą. Zatwierdzamy i przekazujemy użytkownikowi dane do logowania. A między czasie wracamy do siebie i... Przenosimy konto komputera do poprawnego OU.

Zatwierdzamy operację. I to wszystko. Dla jasności logujemy się na użytkownika żeby sprawdzić efekty naszej pracy. 

Wszystko mamy na swoim miejscu. Ok to super, udało nam się bardzo dużo pracy zaoszczędzić dzięki naszej automatyzacji. 

Podsumowanie

W dwóch zdaniach nie da się tego podsumować co osiągnęliśmy. W dużym uproszczeniu mamy przeniesione zarządzanie uprawnieniami do poziomu przynależności użytkowników do grup. Do tego mamy zautomatyzowane czynności które normalnie musimy zrobić po nadaniu uprawnień (instalacja drukarki oraz mapowanie dysku). Wszystko się odbywa dynamicznie. Instalacja nowego komputera i konfiguracja uprawnień dla obecnego lub nowego użytkownika to tylko chwila. Mi dodanie nowego użytkownika wraz z kompletem żądanych uprawnień przez szefa zajęło poniżej 2 minut - do tego mam z głowy wszystkie poinstalacyjne czynności. Dodanie komputera instalacja drukarki, 7zip, mapowanie dysku, konfiguracja uprawnień takich co mają mieć projektanci to dosłownie zamknęło się w tych 2 minutach - nie liczę instalacji systemu operacyjnego ale wiadomo tego nie przyśpieszymy - chociaż też się da. Niestety to nie jest temat na tą serię - jak sama nazwa wskazuje szybki start.

Na tym etapie mógłbym zakończyć tę serię ale jeszcze się nad Wami trochę poznęcam. Zapraszam do następnej części gdzie zainstalujemy sobie swój komputer i wszystkie narzędzia które pomogą nam w zarządzaniu AD bez logowania się na serwer. Tak zgadza się! Zapraszam serdecznie.