Samenvatting Netwerkbeheer met Windows Server 2019 DEEL 2
H1 t/m H10
1 – Group policies
Policy
Een policy is een beleidsregel. Het kan bijvoorbeeld een beleidsregel in een organisatie zijn die
gebruikers het gebruik van het Control Panel op hun werkstations verbiedt. U regelt dat door de
betreffende beleidsregel op hen van toepassing te laten zijn. Er zijn ontzettend veel verschillende
policies in Windows Server 2019.
Local policies
Policies kunnen machine local worden ingesteld als local policies. Zij gelden op werkstations en
member servers in een Windows Server 2019-netwerk en ook op standalone PC’s. Belangrijk om te
weten is dat local policies altijd als eerste worden uitgevoerd en daarmee het minst krachtig zijn.
Group policies
In een Windows Server 2019-netwerk kunnen policies ook in AD worden opgeslagen. Dat gebeurt in
een GPO (Group Policy Object). Een GPO kan gekoppeld worden aan een site, een domain of een OU.
Als een computer start en een gebruiker inlogt, wordt onderzocht welke GPO’s op de computer en
de gebruiker van toepassing zijn. Vervolgens worden de policies uit die GPO’s in volgorde toegepast:
eerst die op site-niveau, dan die op domain-niveau, dan die op OU-niveau. Deze volgorde is zeer
belangrijk voor het uiteindelijke netto-effect van een policy.
Group policies worden altijd bij het starten en inloggen toegepast. Op DC’s worden ze standaard elke
5 minuten ververst en op member servers/ Windows 10-werkstations gebeurt dat elke 90 minuten.
In de tree ziet u de uitgevouwen MMC Group Policy Management. Die is van toepassing op het
Forest: PoliForma.local. In dat forest ziet u de containers:
• Domains
, Hierin ziet u het enige domain in het forest: PoliForma.local. Ook ziet u de OU’s die u in dit
domain heeft aangebracht. In het domain PoliForma.local zijn twee standaard GPO’s
gedefinieerd. Dat zijn:
- Het GPO Default Domain Policy dat is gekoppeld aan het domain PoliForma.local. Dit
GPO wordt uitsluitend gebruikt om policies in te stellen die voor alle computers en/ of
gebruikers in het domein moeten gelden.
- Het GPO Default Domain Controllers Policy dat is gekoppeld aan de OU Domain
Controllers. Dit GPO wordt uitsluitend gebruikt om de toegang tot DC’s en de manier
waarop deze kunnen worden gebruikt te regelen.
• Sites
In de container Sites ziet u nog even niets, maar later in het hoofdstuk wordt hierin de site
PFBudel zichtbaar gemaakt.
• Group Policy Modeling
Hiermee start u een wizard die u helpt bij het plannen, simuleren en testen van policies.
• Group Policy Results
Hiermee kunt u een wizard starten die u laat zien welke policies uit welke GPO’s voor een
gebruiker op een machine van toepassing zijn. Het netto-resultaat wordt bewaard.
Standaard gekoppelde GPO’s
Een GPO is altijd gekoppeld aan een site, een domain of een OU. Gekoppeld wordt ook vaak gelinkt
genoemd. U kunt een GPO koppelen aan één site, domain of OU, maar ook aan verschillende sites,
domains of OU’s.
Het overerven van GPO’s
GPO’s overerven. Dat is het gevolg van de objectgeoriënteerde inrichting van AD. Dat overerven gaat
ook via de volgorde: site – domain – OU. Het aan het domain PoliForma.local gekoppelde GPO
Default Domain Policy wordt dus geërfd door alle OU’s in dat domain. Vervolgens erven ook nog alle
kind-OU’s de GPO’s die op hun ouder-OU van toepassing zijn.
Starter GPO
Een nieuw GPO kunt u baseren op een starter GPO. In een nieuw GPO dat u op een starter GPO
baseert, worden alle policy-instellingen uit het starter GPO geïmporteerd. Een starter GPO werkt dus
als een sjabloon.
Een nieuw GPO aanmaken en koppelen kunt u op twee manieren:
• In één bewerking. U maakt dan een GPO aan en koppelt dit gelijktijdig aan een van tevoren
gekozen domain of OU.
• In twee bewerkingen. U maakt dan een GPO aan in het domain. Vervolgens koppelt u dit aan
een site, domain of OU.
Merk op dat u in één bewerking niet een GPO aan een site kunt koppelen.
De MMC Group Policy Management Editor
Voor het bewerken van policies in een GPO gebruikt u een aparte tool. Dat is de MMC Group Policy
Management Editor. Omdat deze op een GPO werkt, moet u deze ook bij een GPO starten.
,Scripts
Veel netwerkbeheerders willen dat er speciale dingen geregeld worden op de werkstations. Een
methode om hiervoor te zorgen, is het schrijven van een programma dat op een bepaald moment
automatisch wordt gestart, dit is een script. In het boek is een voorbeeld hiervan het inlogscript dat
als een policy wordt opgenomen in een apart GPO.
• Een Startup-script wordt uitgevoerd als een computer van het netwerk start.
• Een Shutdown-script wordt uitgevoerd als een computer van het netwerk wordt afgesloten.
• Een Logon-script wordt uitgevoerd als een gebruiker van het netwerk inlogt.
• Een Logoff-script wordt uitgevoerd als een gebruiker van het netwerk uitlogt.
2 – Groepen
Groep
Een groep is een verzameling van doorgaans gelijksoortige objecten. Die objecten zijn de leden van
de groep. U gebruikt groepen om een verzameling objecten in één handeling van bepaalde
faciliteiten te voorzien of die te ontnemen. Een goed aan de organisatie aangepaste groepsstructuur
vereenvoudigt de beveiliging en het beheer enorm.
Veel groepen kunt u zelf weer lid maken van andere groepen. Net als bij OU’s wordt dit nesten
genoemd. Het nesten van een groep in een andere is effectief hetzelfde als alle groepsleden
afzonderlijk lid maken van de andere groep.
Binnen een Windows Server 2019-netwerk met Windows 10-clients bestaan verschillende
groepstypen:
Machine local groups
Machine local groups worden als een group account opgeslagen in de SAM van het computersysteem
zelf. Machine local groups komen daarom net als machine local users alleen voor op Windows Server
2019-systemen die geen DC zijn en op Windows 10-systemen.
Domain groups
Domain groups zijn als een group account op DC’s opgeslagen in AD. Domain groups worden
onderverdeeld in twee categorieën:
• Security groups
Een security group dient voor beveiligings-en beheerdoeleinden.
• Distribution groups
Distribution groups zijn bedoeld voor distributielijsten in e-mailsystemen die hiermee om
kunnen gaan. Een voorbeeld hiervan is Microsoft Exchange. In een distribution group brengt
u contacts (contactpersonen) samen.
Binnen de beide categorieën (security groups/ distribution groups) zijn er verschillende soorten. De
soort bepaalt waarvoor de groep is bedoeld en de scope (reikwijdte) van de groep.
- Universal groups
Een universal group dient met name voor het bijeenbrengen van leden met uitgebreide
bevoegdheden in alle domains van het forest. Denk bijvoorbeeld aan administrator-
bevoegdheden. Via een universal group kunnen de leden ervan toegang krijgen tot
gedeelde bronnen in elk domain van het forest. Van een universal group kunnen
contacts, users en computers uit alle domains van het forest lid zijn. Ook kunnen er
andere global en universal groups uit alle domains van het forest in genest worden.
, - Global goups
In een global group worden doorgaans leden met een gemeenschappelijk kenmerk
ondergebracht. Bijvoorbeeld gebruikers die op dezelfde afdeling werken of gebruikers
die een gelijksoortige functie vervullen. Via een global group kunnen de leden ervan
toegang krijgen tot gedeelde bronnen in elk domain van het forest. Van een global gorup
kunnen contacts, users en computers uit alleen het eigen domain lid zijn. Ook kunnen er
andere global groups uit het eigen domain in genest worden.
- Domain local groups
Domain local groups worden doorgaans gebruikt om de toegang tot gedeelde bronnen in
uitsluitend het eigen domain te regelen. Van een domain local group kunnen contacts,
users en computers uit elk domain van het forest lid zijn. Er kunnen domain local, global
en universal groups uit het eigen domain in worden genest. Ook kunnen er global en
universal groups uit elk ander domain van het forest in worden genest.
System groups
System groups zijn groepen waarvan het lidmaatschap afhankelijk is van omstandigheden. Het
lidmaatschap wordt door het systeem zelf bepaald. Omdat het lidmaatschap het gevolg is van
bepaalde omstandigheden, is het lidmaatschap een momentopname. Daarom worden deze groepen
ook wel dynamic groups of special identities genoemd.
Enkele belangrijke zijn:
• Everyone
Als u na het inloggen toegang krijgt tot het netwerk, wordt u automatisch lid van de system
group Everyone. Zodra u uitlogt, wordt u uit deze system group verwijderd. Er bestaat een
machine local group Everyone en een domain group Everyone. Als u via een Windows 10-
werkstationingelogd bent op een Windows Server 2019-netwerk, bent u van beide lid. Het
user account Guest is lid van deze groep.
• Authenticated Users
Na een succesvol verlopen inlogprocedure wordt u ook automatisch lid van de system group
Authenticated Users. Ook hier geldt dat er een machine local- en een domain-variant bestaat.
Als u via een Windows 10-werkstation ingelogd bent op een Windows Server 2019-netwerk,
bent u van beide lid. Het user account Guest is geen lid van deze groep.
• Network
Als u over het netwerk contact maakt met een share wordt u op de machine waarop de
share staat, toegevoegd aan de system group Network. Zodra u het contact verbreekt, wordt
u uit deze groep verwijderd.
• Interactive
Logt u in via een werkstation, dan wordt u lid van de system group Interactive. Deze groep
bevat meestal slechts één lid.
De groepen Network en Interactive zijn zelf lid van de groep Everyone.
Standaard ingebouwde groepen
Zodra u Windows Server 2019 op een machine heeft geïnstalleerd, komen daarop de standaard
machine local groups voor. Promoveert u een Windows Server 2019-machine tot DC, dan komen
daarop in AD de standaard domain groups voor. Op een DC komen geen machine local groups voor.
H1 t/m H10
1 – Group policies
Policy
Een policy is een beleidsregel. Het kan bijvoorbeeld een beleidsregel in een organisatie zijn die
gebruikers het gebruik van het Control Panel op hun werkstations verbiedt. U regelt dat door de
betreffende beleidsregel op hen van toepassing te laten zijn. Er zijn ontzettend veel verschillende
policies in Windows Server 2019.
Local policies
Policies kunnen machine local worden ingesteld als local policies. Zij gelden op werkstations en
member servers in een Windows Server 2019-netwerk en ook op standalone PC’s. Belangrijk om te
weten is dat local policies altijd als eerste worden uitgevoerd en daarmee het minst krachtig zijn.
Group policies
In een Windows Server 2019-netwerk kunnen policies ook in AD worden opgeslagen. Dat gebeurt in
een GPO (Group Policy Object). Een GPO kan gekoppeld worden aan een site, een domain of een OU.
Als een computer start en een gebruiker inlogt, wordt onderzocht welke GPO’s op de computer en
de gebruiker van toepassing zijn. Vervolgens worden de policies uit die GPO’s in volgorde toegepast:
eerst die op site-niveau, dan die op domain-niveau, dan die op OU-niveau. Deze volgorde is zeer
belangrijk voor het uiteindelijke netto-effect van een policy.
Group policies worden altijd bij het starten en inloggen toegepast. Op DC’s worden ze standaard elke
5 minuten ververst en op member servers/ Windows 10-werkstations gebeurt dat elke 90 minuten.
In de tree ziet u de uitgevouwen MMC Group Policy Management. Die is van toepassing op het
Forest: PoliForma.local. In dat forest ziet u de containers:
• Domains
, Hierin ziet u het enige domain in het forest: PoliForma.local. Ook ziet u de OU’s die u in dit
domain heeft aangebracht. In het domain PoliForma.local zijn twee standaard GPO’s
gedefinieerd. Dat zijn:
- Het GPO Default Domain Policy dat is gekoppeld aan het domain PoliForma.local. Dit
GPO wordt uitsluitend gebruikt om policies in te stellen die voor alle computers en/ of
gebruikers in het domein moeten gelden.
- Het GPO Default Domain Controllers Policy dat is gekoppeld aan de OU Domain
Controllers. Dit GPO wordt uitsluitend gebruikt om de toegang tot DC’s en de manier
waarop deze kunnen worden gebruikt te regelen.
• Sites
In de container Sites ziet u nog even niets, maar later in het hoofdstuk wordt hierin de site
PFBudel zichtbaar gemaakt.
• Group Policy Modeling
Hiermee start u een wizard die u helpt bij het plannen, simuleren en testen van policies.
• Group Policy Results
Hiermee kunt u een wizard starten die u laat zien welke policies uit welke GPO’s voor een
gebruiker op een machine van toepassing zijn. Het netto-resultaat wordt bewaard.
Standaard gekoppelde GPO’s
Een GPO is altijd gekoppeld aan een site, een domain of een OU. Gekoppeld wordt ook vaak gelinkt
genoemd. U kunt een GPO koppelen aan één site, domain of OU, maar ook aan verschillende sites,
domains of OU’s.
Het overerven van GPO’s
GPO’s overerven. Dat is het gevolg van de objectgeoriënteerde inrichting van AD. Dat overerven gaat
ook via de volgorde: site – domain – OU. Het aan het domain PoliForma.local gekoppelde GPO
Default Domain Policy wordt dus geërfd door alle OU’s in dat domain. Vervolgens erven ook nog alle
kind-OU’s de GPO’s die op hun ouder-OU van toepassing zijn.
Starter GPO
Een nieuw GPO kunt u baseren op een starter GPO. In een nieuw GPO dat u op een starter GPO
baseert, worden alle policy-instellingen uit het starter GPO geïmporteerd. Een starter GPO werkt dus
als een sjabloon.
Een nieuw GPO aanmaken en koppelen kunt u op twee manieren:
• In één bewerking. U maakt dan een GPO aan en koppelt dit gelijktijdig aan een van tevoren
gekozen domain of OU.
• In twee bewerkingen. U maakt dan een GPO aan in het domain. Vervolgens koppelt u dit aan
een site, domain of OU.
Merk op dat u in één bewerking niet een GPO aan een site kunt koppelen.
De MMC Group Policy Management Editor
Voor het bewerken van policies in een GPO gebruikt u een aparte tool. Dat is de MMC Group Policy
Management Editor. Omdat deze op een GPO werkt, moet u deze ook bij een GPO starten.
,Scripts
Veel netwerkbeheerders willen dat er speciale dingen geregeld worden op de werkstations. Een
methode om hiervoor te zorgen, is het schrijven van een programma dat op een bepaald moment
automatisch wordt gestart, dit is een script. In het boek is een voorbeeld hiervan het inlogscript dat
als een policy wordt opgenomen in een apart GPO.
• Een Startup-script wordt uitgevoerd als een computer van het netwerk start.
• Een Shutdown-script wordt uitgevoerd als een computer van het netwerk wordt afgesloten.
• Een Logon-script wordt uitgevoerd als een gebruiker van het netwerk inlogt.
• Een Logoff-script wordt uitgevoerd als een gebruiker van het netwerk uitlogt.
2 – Groepen
Groep
Een groep is een verzameling van doorgaans gelijksoortige objecten. Die objecten zijn de leden van
de groep. U gebruikt groepen om een verzameling objecten in één handeling van bepaalde
faciliteiten te voorzien of die te ontnemen. Een goed aan de organisatie aangepaste groepsstructuur
vereenvoudigt de beveiliging en het beheer enorm.
Veel groepen kunt u zelf weer lid maken van andere groepen. Net als bij OU’s wordt dit nesten
genoemd. Het nesten van een groep in een andere is effectief hetzelfde als alle groepsleden
afzonderlijk lid maken van de andere groep.
Binnen een Windows Server 2019-netwerk met Windows 10-clients bestaan verschillende
groepstypen:
Machine local groups
Machine local groups worden als een group account opgeslagen in de SAM van het computersysteem
zelf. Machine local groups komen daarom net als machine local users alleen voor op Windows Server
2019-systemen die geen DC zijn en op Windows 10-systemen.
Domain groups
Domain groups zijn als een group account op DC’s opgeslagen in AD. Domain groups worden
onderverdeeld in twee categorieën:
• Security groups
Een security group dient voor beveiligings-en beheerdoeleinden.
• Distribution groups
Distribution groups zijn bedoeld voor distributielijsten in e-mailsystemen die hiermee om
kunnen gaan. Een voorbeeld hiervan is Microsoft Exchange. In een distribution group brengt
u contacts (contactpersonen) samen.
Binnen de beide categorieën (security groups/ distribution groups) zijn er verschillende soorten. De
soort bepaalt waarvoor de groep is bedoeld en de scope (reikwijdte) van de groep.
- Universal groups
Een universal group dient met name voor het bijeenbrengen van leden met uitgebreide
bevoegdheden in alle domains van het forest. Denk bijvoorbeeld aan administrator-
bevoegdheden. Via een universal group kunnen de leden ervan toegang krijgen tot
gedeelde bronnen in elk domain van het forest. Van een universal group kunnen
contacts, users en computers uit alle domains van het forest lid zijn. Ook kunnen er
andere global en universal groups uit alle domains van het forest in genest worden.
, - Global goups
In een global group worden doorgaans leden met een gemeenschappelijk kenmerk
ondergebracht. Bijvoorbeeld gebruikers die op dezelfde afdeling werken of gebruikers
die een gelijksoortige functie vervullen. Via een global group kunnen de leden ervan
toegang krijgen tot gedeelde bronnen in elk domain van het forest. Van een global gorup
kunnen contacts, users en computers uit alleen het eigen domain lid zijn. Ook kunnen er
andere global groups uit het eigen domain in genest worden.
- Domain local groups
Domain local groups worden doorgaans gebruikt om de toegang tot gedeelde bronnen in
uitsluitend het eigen domain te regelen. Van een domain local group kunnen contacts,
users en computers uit elk domain van het forest lid zijn. Er kunnen domain local, global
en universal groups uit het eigen domain in worden genest. Ook kunnen er global en
universal groups uit elk ander domain van het forest in worden genest.
System groups
System groups zijn groepen waarvan het lidmaatschap afhankelijk is van omstandigheden. Het
lidmaatschap wordt door het systeem zelf bepaald. Omdat het lidmaatschap het gevolg is van
bepaalde omstandigheden, is het lidmaatschap een momentopname. Daarom worden deze groepen
ook wel dynamic groups of special identities genoemd.
Enkele belangrijke zijn:
• Everyone
Als u na het inloggen toegang krijgt tot het netwerk, wordt u automatisch lid van de system
group Everyone. Zodra u uitlogt, wordt u uit deze system group verwijderd. Er bestaat een
machine local group Everyone en een domain group Everyone. Als u via een Windows 10-
werkstationingelogd bent op een Windows Server 2019-netwerk, bent u van beide lid. Het
user account Guest is lid van deze groep.
• Authenticated Users
Na een succesvol verlopen inlogprocedure wordt u ook automatisch lid van de system group
Authenticated Users. Ook hier geldt dat er een machine local- en een domain-variant bestaat.
Als u via een Windows 10-werkstation ingelogd bent op een Windows Server 2019-netwerk,
bent u van beide lid. Het user account Guest is geen lid van deze groep.
• Network
Als u over het netwerk contact maakt met een share wordt u op de machine waarop de
share staat, toegevoegd aan de system group Network. Zodra u het contact verbreekt, wordt
u uit deze groep verwijderd.
• Interactive
Logt u in via een werkstation, dan wordt u lid van de system group Interactive. Deze groep
bevat meestal slechts één lid.
De groepen Network en Interactive zijn zelf lid van de groep Everyone.
Standaard ingebouwde groepen
Zodra u Windows Server 2019 op een machine heeft geïnstalleerd, komen daarop de standaard
machine local groups voor. Promoveert u een Windows Server 2019-machine tot DC, dan komen
daarop in AD de standaard domain groups voor. Op een DC komen geen machine local groups voor.
