Grupireeglite loomine ja rakendamine Windows Server 2008 R2 ja Windows 7 operatsioonisüsteemides

From EIK wiki

Mis on Grupipoliitika (Group Policy).

Grupipoliitika (rühmapoliitika, grupireeglid või ing. k.Group Policy) on tehnoloogia, mis lubab Aktiivkataloogi (Active Directory) keskkonnas tsentraalselt hallata mitut arvutit ja kasutajat. Võrguülemad saavad Grupipoliitikate abil määratleda kasutajate ja arvutite sätteid ning lubatud tegevusi. Erinevalt kohalikest poliitikatest saavad organisatsioonid Grupipoliitikate abil seada poliitikaid, mis kehtivad terve Aktiivkataloogi (Active Directory) teenuses määratletud saidi, domeeni või organisatsioonilise üksuse raames. Läbi Grupipoliitika objektide on administraatoril võimalik omada kontrolli Windowsi keskkonna erinevate tahkude üle, nagu näiteks: register, NTFS turvalisus, auditeerimis- ja turvapoliitika, tarkvara, töölaud, sisse- ja väljalogimisskriptid.

Lisaks Aktiivkataloogist rakendatavatele Grupipoliitikatele on alates Windows 2000'st igas Microsofti op. süsteemis ka lokaalne Grupipoliitika, mis rakendub vaid sellele konkreetsele arvutile ja sellesse arvutisse sisseloginud kasutajatele (ka domeenikasutajatele).


Eeldused Grupipoliitikate kasutamiseks.

Grupipoliitika (v.a. lokaalpoliitika) kasutamine eeldab Aktiivkataloogi (Active Directory) olemasolu. Op. süsteemid millele Grupipoliitikaid saab rakendada on Windows XP, Windows Vista, Windows 7, Windows Server 2003 ja Windows Server 2008. Vaikimisi on õigus Grupipoliitika objekte luua ja rakendada vaid Domain Admins ja Enterprise Admins gruppi kuuluvatel kasutajatel.


Grupipoliitikate loomine.

Grupipoliitikate haldamiseks kasutame GPMC (Group Policy Management Console) nimelist tööriista. GPMC'sse on koondatud kõik Grupipoliitikate halduseks vajalik. GPMC võimaldab hallata kõiki Grupipoliitika objekte, WMI filtreid ja Grupipoliitikaga seonduvaid õigusi. Windows Server 2008'ga on kaasas nii 32-, kui 64-bitine versioon GPMC-st.

GPMC võimaldab järgnevat:

  • Grupipoliitika objektide (GPO) import ja eksport
  • GPO-de kopeerimine ja kleepimine.
  • GPO-de varundamine ja taastamine.
  • GPO-de otsimine.
  • Raporteerimine.
  • Grupipoliitika modelleerimine. Võimaldab simuleerida Grupipoliitikate rakendumist.
  • Grupipoliitika rakendumise jälgimine ja tõrkeotsing.
  • Migratsioonitabelite tugi GPO-de impordiks ja kopeerimiseks üle domeenide ja metsade.
  • HTML formaadis aruanded.


Domeenikontrolleritel on GPMC juba installeeritud, muudel Windows Server 2008 masinatel tuleb see Feature Server Manager-i alt lisada. Windows 7 masinates peab eelnevalt installeerima RSAT-i ja siis lisama Feature.

Käivitame GPMC:

  • Vajuta Windows logo + R, trüki gpmc.msc ja vajuta OK või Enter.
  • või
  • Start -> All Programs -> Accessories -> Run. Trüki gpmc.msc ja vajuta OK või Enter

Et luua sidumata GPO:

  • 1. GPMC-s klikka paremat nuppu "Group Policy Objects" peal domeenis, kuhu soovid GPO-d luua.
  • 2. Klikka "New"
  • 3. Anna uuele GPO-le nimi ja vajuta "OK".

New gpo2.png


Nüüd on loodud GPO, mis tegelikult veel midagi ei sätesta, sätete määramiseks:

  • 1. GPMC-s klikka paremat nuppu loodud GPO peal ja vali "Edit..."
  • 2. Avaneb GPO redaktor "Group Policy Management Editor", näide selle kasutamisest IE seadistamiseks leiab siit:Internet Exploreri seadistamine GPO abil

Grupipoliitika objekt jaguneb kaheks: arvuti seaded ja kasutaja seaded. Kui GPO on seotud konteineriga, mis sisaldab arvuteid, rakendatakse arvuti seaded. Kui GPO on seotud konteineriga, mis sisaldab kasutajaid, siis rakendatakse kasutaja seaded. Kui konteiner sisaldab mõlemaid (näiteks domain või sait), siis rakenduvad vastavalt mõlemad. Arvuti seaded rakenduvad kõigile, kes logivad teatud arvutisse. Kasutaja seaded rakenduvad kasutajatele, sõltumata, millisesse arvutisse nad logivad.

Grupipoliitika redaktoris on sätted jaotatud järgnevalt:

  • Arvuti seaded (Computer Configuration)
    • Tarkvara seaded (Software Settings)
      • Tarkvara paigaldus - sätestavad Windows Installer'i paketid, mis arvutisse installeeritakse.
    • Windows'i seaded (Windows Settings)
      • Skriptid (Sisselülitus/Väljalülitus) - sätestavad skriptid, mis Windowsi käivitamisel või sulgemisel käivituvad.
      • Turvaseaded - Kontoreeglid (parooli pikkus jms.), registri turvasätted, failisüsteemi turvalisus jms.
    • Administratiivmallid (Administrative Templates) - Põhiosa arvutiga seotud seadeid asub siin (IE, võrk, Windows Update jpm.).
    • Eelistused (Preferences) - keskkonna muutujad, registri kirjed, ini failid, otseteed ("shortcuts").
  • Kasutaja seaded (User Configuration)
    • Tarkvara seaded (Software Settings)
      • Tarkvara paigaldus - sätestavad millised Windows Installer'i paketid on kasutale kättesaadavad.
    • Windows'i seaded (Windows Settings)
      • Skriptid (sisselogimine/väljalogimine) - sätestavad skriptid, mis Windowsi sisselogimisel või väljalogimisel käivituvad.
      • Kaustade Ümbersuunamine (näiteks võrgukettale)
      • Internet Exploreri sätted
    • Administratiivmallid (Administrative Templates) - Põhiosa kasutajaga seotud seadeid asub siin (IE, võrk, Windows Update jpm.).
    • Eelistused (Preferences) - kontrollpaneeli sätted, otseteed, ini failid ja registri kirjed.

Kogu grupipoliitika seadete nimekirja saab alla laadida siit: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=18c90c80-8b0a-4906-a4f5-ff24cc2030fb

Üks kaval grupipoliitika säte, mille tahaks siinkohal välja tuua, on "User Group Policu loopback processing mode", mis on mõeldud selleks, et hoida arvuti konfiguratsioon sama, sõltumata sisseloginud kasutajast. Näiteks võib seda vaja minna terminal serveris või mõnes teises üldkasutatavas arvutis. Kui "loopback processing" on sisse lülitatud, siis rakendatakse "user policy" sätted kõigile sisse logivatele kasutajatele, aga arvutipõhiselt. "Loopback processing mode" sätted leiad "Computer Configuration\Policies\Administrative Templates\System\Group Policy" alt. Valikuid on kaks:

  • Merge mode: Kõigepealt rakendatakse kasutajale otse kehtivad GPO-d ja seejärel arvutile kehtivad GPO-d. Konflikti puhul kirjutavad viimased esimesed üle.
  • Replace mode: Kasutajale otse kehtivaid GPO-sid ei rakendata üldse, rakendatakse ainult arvutile kehtivad GPO-d.


Default Domain Policy GPO-dja Default Domain Policy GPO-d on võimalik taastada originaalseisu tööriistaga Dcgpofix.exe

Dcgpofix.exe leiab Windows Server 2008 ja Windows Server 2003 C:\Windows\System32 kataloogist.


Grupipoliitikate rakendamine.

Grupipoliitika sätete rakendamiseks kasutajatele ja arvutitele tuleb GPO siduda saidi, domeeni või OU-ga. Igale saidiga, domeeniga või OU-ga võib siduda ka mitu GPO-d. Kasutades GPMC-d saab GPO-d siduda Aktiivkataloogi konteineritega järgnevalt:

  • Paremklikk saidil, domeenil või OU-l ja siis "Link an Exising GPO".
  • Sikuta GPO "Group Policy Objects" alt OU-sse, millega tahad GPO'd siduda (töötab ainult domeeni piires)

Link gpo2.png Linked gpo2.png

Kõik grupipoliitikad rakenduvad vaikimisi "Authenticated Users" grupile vastavas konteineris. Seda on võimalik muuta mitmel viisil, näiteks blokeerida läbipaistvus (block inheritance), enforcing GPO links, flitreerida kasutajagruppide (security groups) või WMI filtritega, keelata GPO (disabling GPOs) või kasutades "loopback processing" sätet. "Link order" määrab, mis järjekorras vastava saidi, domeeni või OU-ga seotud GPO-sid rakendatakse. Madalam number annab eesõiguse.

Et GPO rakenduks ainult kindlatele kasutajatele, kasutajagruppidele või arvutitele tuleb muuta õiguseid järgnevalt: GPMC-s klikka vastaval GPO-l, "Scope" sakil "Security Filtering" alt eemalda "Authenticated Users", vajuta "Add" ja lisa uus kasutaja, grupp või arvuti.

Security filtering2.png

Grupipoliitikad rakendatakse sellises järjekorras:

  • 1. lokaalne Grupipoliitika
  • 2. sait-taseme poliitikad
  • 3. domeeni-taseme poliitikad
  • 4. OU poliitikad
  • 5. alam-OU poliitikad


Grupipoliitika uuendamine.

Grupipoliitikat uuendatakse Windowsi käivitumisel ja sisselogimisel. Lisaks uuendatakse grupipoliitikat Windows server 2008, Windows Vista, Windows Server 2003, Windows XP ja Windows 7 all vaikimisi 90 + 0...30 minuti tagant, domeeni kontrollerid iga 5 minuti tagant. Seda on võimalik vajadusel grupipoliitikaga muuta. Grupipoliitika käsitsi uuendamiseks tuleb käsukonsoolilt anda käsk gpupdate, et näha milliseid GPO-sid ja GPO sätteid parasjagu masinas sisseloginud kasutaja puhul rakendati tuleb käsurealt sisestada gpresult /r /v.

GPMC kaudu saab näha, millised GPO'd mingis kindlas arvutis rakenduvad, kasutades Group Policy Results viisardit.

Group Policy Modeling viisard võimaldab simuleerida grupipoliitika rakendamist mingile kindlale arvuti, kasutaja ja filtrite kombinatsioonile.

Kui ühenduse kiirus on väiksem, kui sättega "Computer Configuration/Administrative Templates/System/Group Policy/Group Policy slow link detection" määratud (kui ei ole määratud, siis vaikimisi 500Kbps), siis grupipoliitikaid ei rakendata. Aeglase ühenduse kontrolli väljalülitamiseks on säte "Computer Configuration\Administrative Templates\System\Logon\Do not detect slow network connections".

Kasutatud kirjandus.

http://technet.microsoft.com/en-us/library/cc754948(WS.10).aspx

http://www.group-policy.com/gp%5Cintroduction_to_group_policy.smp

--

Ulvar Petmanson, AK22