לדלג לתוכן

4.3 ניהול משתמשים וקבוצות תרגול

תרגול: ניהול חשבונות משתמשים, קבוצות ומדיניות GPO

מטרה

לתרגל יצירת חשבונות משתמשים, קבוצות שונות, הגדרת מדיניות נעילת חשבון והקצאת GPO-ים שונים למשתמשים.

חלק 1: יצירת חשבונות משתמשים והגדרת תכונות ייחודיות

  1. פתיחת הכלי לניהול משתמשים

    • פתח את Active Directory Users and Computers (ADUC) ע"י הרצת dsa.msc.

    • יצירת משתמש חדש

    • נווט ליחידה הארגונית (OU) המתאימה.

    • לחץ קליק ימני → New → User.
    • הגדר את הפרטים הבאים:
      • First Name:
      • Last Name:
      • User logon name:
    • לחץ Next.

    • הגדרת סיסמה והגדרות חשבון

    • קבע סיסמה ראשונית למשתמש.

    • הפעל לפחות אחת מהאפשרויות הבאות:
      • User must change password at next logon
      • Password never expires
    • לחץ Next ואז Finish.

    • עריכת מאפייני המשתמש

    • פתח את Properties של המשתמש שהוספת.

    • עבור ללשונית Account והגדר מגבלות כניסה (Logon Hours / Log On To).
    • עבור ללשונית Member Of והוסף את המשתמש לקבוצה מתאימה.

    • בדוק את המשתמש החדש

    • נסה להתחבר למחשב דומיין באמצעות שם המשתמש והסיסמה שהגדרת.

חלק 2: יצירת קבוצות והקצאת GPO-ים

  1. יצירת קבוצות משתמשים

    • פתח את ADUC ונווט ל- Organizational Unit (OU).
    • לחץ קליק ימני → New → Group.
    • בחר סוג קבוצה (Global או Domain Local) והגדר את שם הקבוצה (למשל: "HR-Users" או "IT-Admins").
    • לחץ Next ואז Finish.

    • הקצאת משתמשים לקבוצות

    • עבור ללשונית Member Of במאפייני המשתמש.

    • לחץ Add והוסף את המשתמש לקבוצה המתאימה (למשל: "HR-Users").

    • הגדרת GPO לקבוצה

    • פתח את Group Policy Management Console (gpmc.msc).

    • צור GPO חדש תחת ה-OU המתאים.
    • נווט ל- Group Policy Management Editor והגדר את ההגדרות הנדרשות (למשל, סיסמה, נעילת חשבון, הרשאות גישה).

    • הקצאת ה-GPO לקבוצה

    • חזור ל-Group Policy Management Console.

    • בחר את ה-GPO שיצרת ונווט ללשונית Scope.
    • לחץ Add והוסף את הקבוצה שאליה יש להחיל את ה-GPO (למשל, "HR-Users").

    • בדוק את ההגדרות

    • לאחר ההפעלה, ודא שה-GPO הוחל על המשתמשים בקבוצה.

    • השתמש בפקודה gpupdate /force לעדכון הגדרות ה-GPO.

חלק 3: הפעלת מדיניות נעילת חשבון לאחר ניסיונות כושלים

  1. פתיחת Group Policy Management

    • הפעל gpmc.msc דרך Win + R.
    • נווט ל- Default Domain Policy (או צור GPO חדש).

    • עריכת מדיניות נעילת חשבון

    • נווט ל:

      Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Account Lockout Policy

    • שנה את הערכים הבאים:

      • Account lockout threshold – הגדר מספר ניסיונות כניסה שגויים לפני נעילה (למשל, 3).
      • Account lockout duration – קבע כמה זמן החשבון יהיה נעול (למשל, 15 דקות).
      • Reset account lockout counter after – קבע לאחר כמה זמן ייאפס מונה הניסיונות הכושלים (למשל, 10 דקות).
      • שמור והפעל את המדיניות

    • לחץ OK ושמור את השינויים.

    • עדכן את המדיניות באמצעות הפקודה:

      gpupdate /force

  2. בדיקת המדיניות

    • נסה להכניס סיסמה שגויה מספר פעמים בחשבון המשתמש שיצרת.
    • בדוק אם החשבון ננעל בהתאם למדיניות.
    • נסה לבטל את הנעילה דרך Active Directory Users and Computers.