Deel 4 – De vereiste shares aanmaken, gebruikers aanmaken, basis- en profielmappen toewijzen, groepsbeleid invoeren
We beginnen deel 4 met de voorbereiding voor het aanmaken van de gebruikers, d.w.z. we maken de shares aan voor de profielen en de home drive van de gebruikers. In dit geval heb ik gekozen voor verborgen shares, die later niet zichtbaar zijn in de netwerkomgeving of met “net view” op de console. Verborgen shares hebben een $ teken aan het eind van de share naam.
Maak twee directories aan op een schijf van je server, één met de naam Profile en één met de naam User.
Om deze mappen te delen, openen we het computerbeheer via “Start” => “Administratie” en navigeren we in de linkerboom naar “Gedeelde mappen” => “Aandelen”. Rechtsklik op “Aandelen” om het contextmenu te openen.
 |
|
Nieuw aandeel |
Voer nu de gewenste gegevens in.
 |
|
Nieuwe uitgave |
Vervolgens stellen we de rechten in voor deze share.
 |
|
Toestemming voor de share |
Voeg “Domain User” en “Domain Admin” toe en geef beide groepen volledige toegang. Verwijder pas daarna “IEDEREEN” uit de share-machtigingen en klik op OK.
 |
|
Toestemming voor delen |
Herhaal dit nu met de map “Gebruiker” en stel de machtigingen op precies dezelfde manier in als voor de profielmap.
Nu kunnen we de eerste gebruiker in de Active Directory aanmaken. Start hiervoor de snap-in “Active Directory Users and Computers” via “Start” => “Administration” en navigeer naar “Users” in de linker tree. Rechtsklik op het item “Gebruikers” en selecteer “Nieuw” => “Gebruiker” in het contextmenu.
 |
|
Nieuwe gebruiker aanmaken |
Het aanmaken van een gebruiker spreekt bijna voor zich. Je verandert natuurlijk “TestUser” in een bruikbare gebruikersnaam.
 |
|
Nieuw account |
Geef nu een wachtwoord, dat minstens 7 tekens lang moet zijn en een hoofdletter en/of een cijfer moet bevatten. Delen van namen zijn niet toegestaan, volgens het wachtwoordcomplexiteitsbeleid van Windows Server 2003.
 |
|
Wachtwoord toekennen |
Nadat de gebruiker is aangemaakt, verschijnt hij in de container “Gebruikers” aan de rechterkant. Dubbelklik op de gebruiker om het dialoogvenster Eigenschappen te openen, waar u naar het tabblad “Profiel” kunt gaan en de volgende instellingen kunt uitvoeren.
 |
|
Profielpad en basismap opgeven |
De variabele %USERNAME% wordt vervangen door de werkelijke gebruikersnaam, die u kunt controleren door de eigenschappen van de gebruiker opnieuw op te roepen.
Klik op OK om deze instellingen op te slaan, waarmee de instelling van de eerste gebruiker voorlopig is voltooid: Het profielpad maakt het mogelijk om op elke computer in het netwerk in te loggen, omdat de gebruiker nu een op de server opgeslagen profiel heeft. De basismap is ook beschikbaar vanaf elke computer in het netwerk. In de volgende stap wordt bijvoorbeeld de map “Mijn documenten” via groepsbeleid omgeleid naar dit pad (omdat deze standaard is opgeslagen in het profielpad en het aan- en afmelden daardoor vrij lang kan duren).
Verder zullen we de rechten van de gebruikers op de clients definiëren via groepsbeleid, d.w.z. via groepsbeleid zullen we bepalen of en welke gebruiker admin-rechten krijgt op welke client, enz.
De Group Policy Management Console, kortweg GPMC, is de beste manier om groepsbeleid te bewerken. Deze is te downloaden bij Microsoft, maar pas op, hij is beschikbaar in verschillende talen en versies. De versie die we momenteel nodig hebben is GPMC 1.01 SP1 Duits.
Installeer het direct op de server. Hoe het domein te beheren vanaf een client zal het onderwerp zijn van een van de volgende artikelen.
 |
|
Beheerconsole voor groepsbeleid |
U vindt de GPMC na de installatie onder Start => Beheer => Groepsbeleidbeheer.
 |
|
Console voor beheer van groepsbeleid |
Gebruik niet de “Default Domain Policy” en de “Default Domain Controllers Policy” – verkeerde instellingen kunnen het hele domein lamleggen. Alleen de wachtwoordcomplexiteit moet en kan uitsluitend worden geregeld via de “Default Domain Policy”, voor al het andere maken we onze eigen Group Policy Objects, kortweg GPO’s.
Om een nieuw beleid aan te maken, klikt u met de rechtermuisknop op de container “Group Policy Objects” => “Nieuw”. Geef de nieuwe GPO een naam overeenkomstig zijn functie:
 |
|
Nieuw GPO |
Om de GPO in de lijst aan de rechterkant te bewerken, klikt u met de rechtermuisknop op het object “Folder Redirection” en selecteert u “Edit” (Bewerken).
 |
|
GPO bewerken |
Zoals u kunt zien, is het groepsbeleid verdeeld in computerconfiguratie en gebruikersconfiguratie, d.w.z. beleid dat is ingesteld onder computerconfiguratie heeft effect op elke computer waarvoor deze GPO geldig is, ongeacht de gebruiker die is aangemeld.
 |
|
GPO bewerken |
De beleidsregels die zijn ingesteld onder Gebruikersconfiguratie hebben effect op elke computer waarop een bepaalde gebruiker zich aanmeldt, en alleen voor die gebruiker.
We willen hier een mapomleiding configureren, dat is een gebruikersinstelling:
 |
|
GPO bewerken |
Een rechtsklik op “Mijn Documenten” => “Eigenschappen” brengt het optie-dialoogvenster naar boven, dat je als volgt instelt:
 |
|
GPO bewerken |
Op het tabblad “Instellingen” maakt u de volgende instellingen en bevestigt u met OK.
 |
|
GPO bewerken |
Sluit nu de Group Policy Object Editor en keer terug naar de GPMC. Nu moeten we de nieuwe GPO koppelen en bepalen voor wie deze geldig moet zijn.
Selecteer in de container “Group Policy Objects” het item “Folder Redirection” en klik vervolgens op het tabblad “Delegation” in het rechtervenster.
 |
|
GPO delegeren |
Klik nu rechtsonder op “Geavanceerd”. Zorg ervoor dat onder “Geauthenticeerde gebruikers” het vinkje voor “Groepsbeleid toepassen” op “Toestaan” staat.
 |
|
GPO toepassen |
Voor de domeinbeheerders mag het vinkje echter niet staan.
 |
|
GPO niet overnemen voor domeinbeheerders |
Nu is de GPO ingesteld, maar nog niet gekoppeld, d.w.z. nog niet actief. Om het te koppelen neemt u de GPO “Folder Redirection” en sleept u deze naar de vermelding “mydomain.local” of naar de vermelding die overeenkomt met uw domeinnaam terwijl u de linkermuisknop ingedrukt houdt.
 |
|
GPO koppelen |
Voordat we voor de eerste keer inloggen met de nieuw aangemaakte gebruiker vanaf een client, moet een datashare (of meerdere) worden aangemaakt op de server, die dan vanaf de client beschikbaar wordt gesteld via “Connect network drive” of via het inlogscript.
Om dit te doen, maken we een nieuwe map aan op de server (die we vervolgens zullen delen) en noemen deze bijv. Data, vervolgens starten we het computerbeheer en navigeren we in de linker tree naar “Gedeelde mappen” => “Shares”. Het aanmaken van een nieuwe share voor de map “Data” gebeurt op dezelfde manier als het delen van de profiel- en basismappen, met als enige verschil dat de share-naam nu GEEN $-teken bevat.
 |
|
Nieuwe map aanmaken |
U stelt de deelmachtigingen op precies dezelfde manier in als voor de profiel- en basismappen.
Nu is het tijd om vanaf de client voor het eerst in te loggen op het domein met de nieuw aangemaakte gebruiker. Na het inloggen zien de mappen op de server er als volgt uit:
 |
|
Profielmap |
 |
|
Gebruiker map |
 |
|
Eigen bestanden |
Verder ziet u op de client in Deze computer/Explorer een station U: dat rechtstreeks verbonden is met de server – dit is de basismap die we hebben ingevoerd in de eigenschappen van de gebruiker bij het aanmaken ervan.
Het zal nu zinvol zijn om de hier getoonde stappen te herhalen en eerst alle gebruikers aan te maken die nodig zijn voor uw netwerk, alsmede de nodige gegevensdeling op de server. Verder moet u nadenken over welke gebruiker welke rechten krijgt op welke computer en welke netwerkstations per gebruiker moeten worden aangesloten – allemaal punten die worden ingesteld via groepsbeleid in deel 5.
Tot die tijd raden wij u aan het webproject www.gruppenrichtlinien.de van Mark Heitbrink te lezen – in ieder geval voor wie in de toekomst meer via GPO’s wil regelen.