Priključivanje računala Active Directory (AD) domeni samo po sebi nema nekih posebnih prednosti ako ne iskoristimo neke od domenskih funkcionalnosti. Pokazat ćemo ih nekoliko, a prva od njih je Group Policy.
Sažeto rečeno, Group Policy je domenska funkcionalnost koja omogućava podešavanje postavki lokalnog klijenta sa središnje lokacije na serveru. Ako u mreži imate nekoliko računala fizički udaljenih nekoliko metara jedno od drugog, korist Group Policyja ne dolazi toliko do izražaja. Međutim, ako ste u situaciji da imate nekoliko stotina ili tisuća računala na više međusobno udaljenih lokacija, a na svima trebate napraviti identično podešavanje, naravno da nećete fizički obilaziti sve lokacije, niti se na svako računalo pojedinačno spajati nekim od programa za udaljeno spajanje, nego ćete za to podešavanje iskoristiti Group Policy.
Nebrojene su opcije koje se tako mogu podesiti, a mi ćemo za primjer postavljanja Group Policyja uzeti zadatak da omogućimo spajanje na klijentsko računalo s udaljene lokacije RDP protokolom, tj. Remote Desktopom. To će biti dovoljno da pokažemo kako se stvara, podešava i primjenjuje Group Policy, a nakon toga vrijedi ona stara: "samo nebo je granica...".
Znači, trebamo podesiti da se u sistemskim postavkama klijenta aktivira dozvola za RDP te da se u vatrozidu (firewall) dopusti promet preko RDP porta 3389.
Group Policy - izrada politike
Izraz "politika", koji mi povremeno koristimo, je u stvari ono što se u tehničkom izrazu naziva Group Policy Object (GPO), odnosno to je skup pravila kojima se klijentima u domeni podešavaju ili mijenjaju postavke tako da se na njih primijeni skup tih stvorenih pravila.
Prije nego što stvorimo politiku, treba napraviti nekoliko predradnji u Active Directoryju. Te predradnje radit ćemo na domenskom kontroleru, ali to je isto moguće napraviti i s nekog drugog računala koje ima instaliran paket alata za upravljanje domenom, Remote Server Administration Tools (RSAT) .
Prvo ćemo iz grupe alata Administrative Tools pokrenuti konzolu Active Directory Users and Computers i stvoriti jednu organizacijsku jedinicu imena "Računala" a u nju ćemo smjestiti klijentsko računalo koje smo prijavili u domenu. To računalo je nakon prijave u domenu automatski smješteno u grupu "Computers". Grupa Computers jeContainer, a nad Containerima nemamo mogućnosti primjene Group Policyja i zato moramo stvoriti organizacijsku jedinicu, Organizational Unit (OU). Nad organizacijskim jedinicama moguća je primjena GPO-a.
Kao i za sve, više je načina i mogućnosti primjene Group Policyja. Treba napomenuti da se stvaranjem domene automatski stvara i vršni domenski Group Policy koji vrijedi za sve objekte u domeni i mogli bismo sve promjene raditi i u njemu, ali mi ćemo ići ipak malo uže i raditi promjene samo za specifičnu organizacijsku jedinicu.
Otvorite konzolu "Active Directory Users and Computers"- desni klik na ime domene - New – Organizational Unit i stvorite organizacijsku jedinicu imena "Računala".
Zatim u nju prebacite Windows 10 klijentsko računalo. Rekli smo da je ono predefinirano, nakon pridruživanja domeni smješteno u Containeru "Computers". Kliknite u lijevom dijelu konzole na "Computers" da bi se u desnom dijelu vidio njegov sadržaj, tj. naše klijentsko računalo imena W10.
Napravite desni klik na to računalo, izaberite Move..., selektirajte OU "Računala" i kliknite OK.
Još moramo u AD-u stvoriti grupu u koju ćemo staviti korisnike kojima ćemo dati dozvolu spajanja preko RDP-a. Na serveru ćemo stvoriti jednu sigurnosnu grupu imena "RDP korisnici".
Otvorite konzolu " Active Directory Users and Computers", desni klik na OU Korisnici (nju smo već prije napravili), zatimNew – Group i stvorimo grupu " RDP Korisnici".
Kad je stvorimo, otvorimo je dvoklikom, kliknemo na karticu Members i preko Add… gumba u nju dodamo našeg korisnika Srce. ( Advanced – Find Now – Srce – OK – OK - OK).
Nakon ovoga trebamo stvoriti novi Group Policy kojim ćemo za sva računala koja se nalaze u OU "Računala" napraviti podešavanja kojima će se aktivirati RDP funkcionalnost.
U grupi Administrative Tools otvorite konzolu Group Policy Management te proširite stablo: Group Policy Management – Forest: webinar.local – Domains – webinar.local pa desni klik na našu OU "Računala" i otvorite " Create a GPO in this domain, and Link it here…" i zatim dajte ime novom Group Policyju, npr. Remote Desktop - Enable.
Novi Group Policy pojavit će se u lijevom stupcu ispod grupeRačunala pa kliknite desnom tipkom na njega, izaberite "Edit…" nakon čega se otvara konzola Group Policy Management Editor.
Group Policy - RDP podešavanje
U konzoli Group Policy Management Editor trebamo podesiti 3 stvari:
Prvo: treba uključiti opciju da se dopušta spajanje na klijent preko RDP-a.
To se radi podešavanjem sljedeće stavke u editoru Group Policy: Computer Configuration – Policies – Administrative Templates – Windows Components – Remote Desktop Services – Remote Desktop Session Host – Connections .
Stavku: Allow users to connect remotely using Remote Desktop Services koja je u statusu Not Configured podesite da budeEnabled i potvrdite to klikom na OK.
Drugo podešavanje: u vatrozidu (Firewall) treba propustiti i spajanje, tj. otvoriti port 3389 i zato podešavamo: Computer Configuration – Policies – Administrative Templates – Network – Netvork Connections – Windows Firewall - Domain Profile.
Tu podesite stavku Windows Firewall: Allow inbound Remote Desktop exceptions da bude Enabled.
Treće: treba dati prava spajanja korisnicima za koje to želimo. Za to treba podesiti: Computer Configuration – Policies – Windows Settings – Security Settings – Local Policies – User Rights Assignment .
Kliknite dvaput na Allow Log on through Remote Desktop Services da se otvore postavke. Označite " Define these policy settings:", kliknite na Add Users or Group… – Browse – Advanced... – Find Now – tu nađite i selektirajte grupu RDP Korisnici – OK – OK – OK – OK.
Zatvorite sve otvorene konzole.
Sad to sve treba prenijeti na klijent, a to je najlakše tako da napravimo ponovno pokretanje klijentskog računala ili preko komandno-linijskog prozora na klijentu izvršimo naredbu gpupdate /force.
Prije toga ćemo pogledati kakve su RDP postavke na klijentu prije primjene GP-a: desni klik na Start – Control Panel – System and Security – System – Remote settings.
Primijetite da Remote Desktop nije omogućen i opcija se može ručno mijenjati.
Nakon što napravimo ponovno pokretanje računala ili izvršimo naredbu gpupdate /force, klijent će dobiti nove postavke preko Group Policyja.
Ako sad pogledate RDP postavke u Control Panelu klijenta, vidjet ćete da su postavke zasivljene i da je RDP omogućen.
