Csoportházirend „Áldás az Adminisztrátornak….”
Áldás az Adminisztrátornak… • Átok a felhasználónak? • A Csoportházirend: “ Az adminisztrátor egy kívánsága a felhasználói környezetről, amelyet a rendszer következetesen érvényre juttat.”
– “A diákok ne tudják elállítani a felbontást” – “A tanárok ki tudják kapcsolni a gépeket” – “A diákrendszergazdák tudják állítani a hálózati beállításokat”
1
Az „Örökség” • A házirend első megjelenése: – – – –
Windows NT® 4.0 A házirend tartomány szinten jut érvényre Kizárólag korlátozásra használható Kitetoválja a felhasználói profilokat
• A „barátságos” házirend: – – – – –
2
Windows 2000 A házirend hierarchikus, több szinten érvényre jutó Lazább kapcsolási módok Nem csak korlátozó típusú Nincs profiltetoválás
Lehetőségeink manapság • A házirend legkorszerűbb megjelenése: – Windows Server 2003 – Több, mint 200 új házirend beállítás • • • • •
szoftverfuttatást tiltó házirendek terminálszolgáltatás házirendek DNS beállítások hibajelentések központosítása Netlogon házirendek
– Új eszközök komplex feladatokhoz • WMI szűrők • eredő házirend kiszámítás/tervezés • csoportházirend műveletek felügyelete 3
Csoportházirend objektum • Két részből áll: – Számítógép jellemzők – Felhasználó jellemzők
• Vannak beállítások, melyek mindkét részben megjelennek • Mivel egy objektumon mindkét jellemzőt állítani tudjuk (és fel is dolgozódna) érdemes a semmiképp nem érvényre jutókat tiltani (DEMO) 4
Tervezési fázis • Elsőként a legtöbb felhasználóra érvényesülő beállításokat adjuk meg Felhasználók szinten: – Vezérlőpultról elemek tiltása, elvétele: • Ne tudja a felbontást/színmélységet megváltoztatni
• Vagy Számítógép szinten: – Internet beállítások: • Proxy beállítások • Automatikus kiegészítés jelszómentés tiltása 5
Tervezési fázis • Finomítjuk a beállításokat, a Diákok további korlátozásai, míg a Tanárok, Titkárságra ez nem vonatkozik – Ne tudja a hálózatot elkonfigurálni
• A fájlkiszolgálón: – Profilméret korlátozása (pl.)
6
Hozzárendelési szabályok • A hozzárendelési szabályok követik az AD struktúráját (SDOU) – A beállítások öröklődnek és összeadódnak • A feldolgozás sorrendje is az AD struktúrán alapul, lefelé haladva dolgozódnak fel, mindig a felhasználóhoz legközelebbi szervezeti egység értékelődik ki utoljára • Átlapolás esetén mindig a később definiált jut érvényre (3 érték: engedélyezve, tiltva, nem definiált) 7
„Szabályáthágási” lehetőségek • NINCS FELÜLÍRÁS – Ebben az esetben a házirend által szabályozott beállításokat nem lehet az alsóbb szinteken megváltoztatni
• BLOKKOLÁS – Lehetőség van az öröklődést egy szinten blokkolni, ez azt jelenti hogy „tiszta lappal” indulunk
• Kérdés: Mi van a kettő kombinálása esetén? 8
Tervezési fázis • A Diákrendszergazdáknak viszont kell hálózat- és felbontás állítási jog • Mivel a Diákok OU alatt vannak, ezért itt az öröklött jogok gondot jelentenek: • Két megoldás: – Közvetlen „visszaírjuk” – Blokkolunk
9
Tervezési fázis • Ha viszont blokkolunk, akkor a teljes eddigit elvesztjük, pedig csak a Diákokét akarjuk. • Megoldás????? • Megoldás: a Domain szintű erőltetése • FONTOS: – Ne bonyolítsuk túl !!!! – Ha lehet korlátozzuk: • Öröklődés-blokkolást • Nincs felülírást
10
Tippek, trükkök • • • • • •
11
Vigyázzunk a sorrendre! Egy gpo több házirendhez kapcsolása Valaki kizárása ACL-el WMI szűrő GPUpdate GPResult
„New School” módszerek • Group Policy Management Console • Válasz a következő problémákra (Windows 2000 Server GP): • Nehezen menedzselhető – A kezelő felület nem túl jól áttekinthető – Fontos alapfunkciók hiányoztak • A GPO beállítások megjelenítése • Mentés/visszaállítás • Import/Export • Az effektív hatás megértése, áttekintése és tervezése körülményes volt 12
Group Policy Man. Console • • • •
http://www.microsoft.com/grouppolicy Ingyenesen letölthető Nincsenek licencelési megkötések Windows 2003 vagy Windows XP – Az XP-n .NET FW szükséges
• Kezelhetők vele: – Natív Windows 2000-es – Natív Windows 2003-as – Vegyes Windows 2000/2003-as tartományokban 13
Tippek, trükkök • • • • •
14
Valaki kizárása ACL-el Egy gpo több házirendhez kapcsolása WMI szűrő (DEMO?) GPUpdate GPResult
Néhány praktikus beállítás • Rendszerbeállítások – Vezérlőpult letiltása – Meghatározott helyi meghajtók elrejtése – Képernyő beállítások (felbontás, képernyővédő) – Windows Installer tiltása
• Felhasználóhoz köthető – Profilt helyileg nem mentjük (kis winchester) – Zárolás eltávolítása 15
Néhány praktikus beállítás 2. • Explorer beállítások – Proxy számítógépenkénti megadása – Internet csatlakozás varázsló tiltása – Automatikus kiegészítés nem menti a jelszót – Kapcsolatok lap tiltása
16
További beállítások • PolicySettings.xls - Group Policy Settings Reference (with Windows XP SP2): http://www.microsoft.com/downloads/detail s.aspx?familyid=7821c32f-da15-438d8e48-45915cd2bc14&displaylang=en • Az összes házirend beállítás neve, elérése és leírása
17
Elérési utak • Vezérlőpult letiltása: – Felhasználói konfig. \ Felügyeleti sablonok \ Vezérlőpult \ A Vezérlőpult elérésének tiltása
• Proxy beállítás: – Számítógép konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Internet Explorer \ Proxybeállítások számítógépenkénti megadása (felhasználónkénti helyett)
18
Elérési utak • Automatikus kiegészítés jelszómentés funkciójának tiltása: – Felhasználói konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Internet Explorer \ Automatikus kiegészítés jelszómentés funkciójának tiltása
• Hálózati konfigolás tiltása: – Felhasználói konfig. \ Felügyeleti sablonok \ Hálózat \ Hálózati kapcsolatok \ Helyi hálózati kapcsolat tulajdonságaihoz való hozzáférés tiltása 19
Elérési utak • Profilméret korlátozása: – Felhasználói konfig. \ Felügyeleti sablonok \ Rendszer \ Felhasználói profilok \ Profilméret korlátozása
• Meghajtók elrejtése: – Felhasználói konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Windows Intéző \ A megadott meghajtók elrejtése a Sajátgépben
20
Elérési utak • Képernyő beállítások tiltása: – Felhasználói konfig. \ Felügyeleti sablonok \ Vezérlőpult \ Képernyő • A Beállítások lap elrejtése • A Képernyőkímélő lap elrejtése
• Windows Installer tiltása: – Számítógép konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Windows Installer \ A Windows Installer tiltása 21
Elérési utak • Központi profil tárolásának tiltása helyileg: – Számítógép konfig. \ Felügyeleti sablonok \ Rendszer \ Felhasználói profilok \ Központi profilok gyorsítótárba helyezett példányának törlése • VIGYÁZAT! Ha engedélyezzük ezt, akkor a ha nem lehet letölteni a központi profilt, vagy csak lassan töltődik le, akkor nem tud bejelentkezni a helyi gépre, csak ha letöltődött a profil. • Ez csak kis kapacitású winchestereknél ajánlott 22
Elérési utak • Zárolás tiltása: – Felhasználói konfig. \ Felügyeleti sablonok \ Rendszer \ Ctrl+Alt+Del beállíásai \ Számítógép zárolása parancs eltávolítása
• Internet csatlakozás varázsló tiltása: – Felhasználói konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Internet Explorer \ Az Internetcsatlakozás varázsló tiltása
23
Elérési utak • Kapcsolatok lap eltávolítása – Felhasználói konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Internet Explorer \ Internet Vezérlőpult \ A Kapcsolatok lap letiltása
• Csoportházirend frissítések: – Számítógép konfig. \ Felügyeleti sablonok \ Rendszer \ Csoportházirend \ Számítógépek csoportházirendjének frissítési időköze – Felhasználói konfig. \ Felügyeleti sablonok \ Rendszer \ Csoportházirend \ Felhasználók csoportházirendjének frissítési időköze
24
Kérdések
?
25