Tutorial: Kegembiraan kebijakan grup Windows Server

Ketika Microsoft memperkenalkan objek kebijakan grup (GPO) bersama dengan Windows Server 2000 hampir 17 tahun yang lalu, mereka adalah pendekatan baru yang menarik untuk mengelola izin pengguna dan sistem. Saat ini, mereka hanyalah bagian dari pekerjaan administratif, dan akibatnya, beberapa admin IT telah lupa betapa hebatnya pengaturan ini dan kapan mereka dapat digunakan untuk memecahkan masalah.

Ketika Windows Server 2016 dirilis akhir musim gugur ini, itu akan mempertahankan GPO yang sangat berguna itu, membiarkannya tidak berubah kecuali untuk penambahan beberapa pengaturan khusus untuk Windows Server 2016 dan Windows 10. Jika tidak rusak ...

Alat Konsol Manajemen Kebijakan Grup diinstal dengan Direktori Aktif, tetapi Anda memerlukan Layanan Domain Direktori Aktif (ADFS) agar kebijakan grup benar-benar berfungsi. Untuk mengontrol server atau workstation, mereka harus terhubung (alias "bergabung") ke domain. Meskipun kebijakan lokal dapat dikonfigurasi untuk PC individu (yang tidak bergabung dengan domain), ini adalah skenario satu kali yang tidak memanfaatkan nilai inti penerapan kebijakan grup untuk mengontrol beberapa sistem dan pengguna sekaligus.

Ada ribuan pengaturan dan opsi konfigurasi potensial untuk GPO. Cara termudah untuk menemukan cara Anda ke pengaturan adalah dengan mengidentifikasi jalur lokasinya di alat Konsol Manajemen Kebijakan Grup (GPMC), seperti yang ditunjukkan pada Gambar 1. Jalur lokasi menunjukkan kepada Anda jalur lengkap ke pengaturan yang Anda cari, di dengan cara yang sama Anda mungkin mencari file yang terkubur di beberapa folder.

Tiga penggunaan kebijakan grup menjadi titik awal yang baik bagi admin pemula dan admin berpengalaman yang mengambil kebijakan grup begitu saja dan berhenti mencari cara untuk menggunakannya untuk kebutuhan baru. (Saat Anda siap untuk menggali lebih dalam, Microsoft memiliki tutorial bagus dan mendetail yang membahas seluk-beluk kebijakan grup.)

Contoh GPO 1: Menerapkan kerumitan sandi

Untuk membuat kebijakan kompleksitas kata sandi yang berlaku untuk semua pengguna di domain, lakukan langkah-langkah berikut:

  1. Buka Konsol Manajemen Kebijakan Grup Anda.
  2. Perluas penampung Domain dan pilih nama domain Anda.
  3. Klik kanan nama domain dan pilih opsi Create a GPO in This Domain, dan Link It Here.
  4. Beri GPO baru nama (misalnya, Password Complexity Policy) dan klik OK.
  5. Setelah kebijakan terlihat di domain Anda, klik kanan kebijakan dan pilih Edit. Ini membuka Editor Manajemen Kebijakan Grup (GPME).
  6. Menelusuri ke jalan lokasi di GPME, seperti yang ditunjukkan pada Gambar 2: GPO_name\Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  7. Klik kanan opsi Kata Sandi Harus Memenuhi Persyaratan Kompleksitas dan klik Properti, seperti yang ditunjukkan pada Gambar 3.
  8. Centang kotak Define This Policy Setting, centang Enabled, lalu klik OK. Catatan: Anda juga dapat mengklik tab Jelaskan untuk penjelasan lengkap tentang fungsi pengaturan ini.

Tentu saja ada pengaturan lain yang dapat Anda sertakan dalam GPO ini. Misalnya, Anda dapat mengaktifkan persyaratan kompleksitas dan menyetel panjang sandi minimum menjadi, katakanlah, delapan karakter.

Contoh GPO 2: Nonaktifkan drive USB

Beberapa kebijakan perlu diterapkan secara situasional (ke unit organisasi, alias OU), seperti menonaktifkan perangkat USB. Misalnya, Anda mungkin memiliki pejuang jalanan yang membutuhkan akses USB di laptop mereka sedangkan Anda mungkin ingin mengunci port USB PC internal.

Inilah cara Anda membuat kebijakan situasional seperti itu:

  1. Di Konsol Manajemen Kebijakan Grup, luaskan nama domain dan cari wadah Objek Kebijakan Grup. Biasanya, ada dua kebijakan default dalam penampung itu (Kontroler Domain Default dan Kebijakan Domain Default), tetapi jika Anda telah mengonfigurasi Kebijakan Kompleksitas Kata Sandi, itu juga akan muncul.
  2. Klik kanan folder Objek Kebijakan Grup dan klik Baru.
  3. Beri GPO baru nama seperti USB Restriction dan klik OK.
  4. Pilih kebijakan dan klik Edit untuk membuka Editor Manajemen Kebijakan Grup.
  5. Arahkan ke GPO_name\Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access, seperti yang ditunjukkan Gambar 4.
  6. Klik dua kali pengaturan, centang Diaktifkan, lalu klik OK atau Terapkan.

Seperti yang ditunjukkan Gambar 4, ada berbagai pengaturan yang dapat dipilih. Di sini, saya telah memilih opsi All Removable Storage Classes: Deny All Access untuk dikonfigurasi. Anda dapat melihat deskripsi pengaturan yang dipilih di panel deskripsi jika Anda mengklik tab diperpanjang.

Ingatlah bahwa Anda hanya membuat pengaturan kebijakan pada saat ini; Anda belum menautkannya ke apa pun. Untuk menautkannya:

  1. Pilih domain di Konsol Manajemen Kebijakan Grup atau unit organisasi yang Anda miliki.
  2. Klik kanan unit organisasi (seperti yang ditunjukkan pada Gambar 5) dan pilih Tautkan GPO yang Ada.
  3. Pilih USB Restriction GPO dan klik OK.
  4. Klik kanan GPO yang sekarang ditautkan dan centang opsi Diberlakukan untuk menerapkannya di GPO tersebut.

Perlu beberapa waktu agar kebijakan grup diterapkan ke sistem dan pengguna, tetapi Anda dapat memaksa perubahan diterapkan dengan membuka prompt perintah dan mengetik gpupdate /force.

Setelah kebijakan ini diterapkan, pengguna yang mencoba memperkenalkan perangkat USB akan mendapatkan pesan "akses ditolak".

Contoh GPO 3: Nonaktifkan pembuatan file PST

Kita semua telah berurusan dengan mimpi buruk kepatuhan yang datang dari penggunaan file kotak surat PST. Jadi, bagaimana Anda mencegah pengguna membuatnya? Dengan kebijakan kelompok, tentunya. (Ya, ada pengeditan konfigurasi registri yang dapat Anda gunakan untuk melakukan ini, tetapi kebijakan grup jauh lebih mudah dan lebih cepat.)

Untuk membuat perubahan, pertama-tama Anda harus mengunduh Templat Administratif Kebijakan Grup untuk versi Office yang Anda tetapkan pengaturannya. Setelah templat tersebut diinstal (yang mungkin memerlukan beberapa penyelesaian), Anda menerapkan pengaturan tambahan (diperlihatkan dalam Gambar 6) untuk mengontrol versi Office tersebut melalui kebijakan grup.

Setelah Anda memilih tingkat situs, domain, atau unit organisasi untuk menerapkan kebijakan dan telah membuka Editor Manajemen Kebijakan Grup, navigasikan ke GPO_name\User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous\PST Settings.

Ada dua pengaturan yang mungkin ingin Anda konfigurasi. Yang pertama adalah Mencegah Pengguna dari Menambahkan Konten Baru ke file PST yang Ada, yang (seperti namanya) mencegah pengguna menambahkan lebih banyak email ke PST yang sudah mereka miliki. Pengaturan kedua adalah Mencegah Pengguna dari Menambahkan PST ke Profil Outlook dan / atau Mencegah Menggunakan PST Eksklusif Berbagi, yang memblokir pembuatan file PST baru oleh pengguna Anda.