Grupireeglite loomine ja rakendamine Windows Server 2008 R2 ja Windows 7 operatsioonisüsteemides: Difference between revisions

From ICO wiki
Jump to navigationJump to search
No edit summary
No edit summary
Line 1: Line 1:
Vabandan, pole veel midagi. Sisu tekib lähipäevil, seniks: http://technet.microsoft.com/windowsserver/bb310732.aspx
== Mis on Grupipoliitika (Group Policy). ==


Grupipoliitika (rühmapoliitika, grupireeglid või ing. k.Group Policy) on tehnoloogia, mis lubab Aktiivkataloogi (Active Directory) keskkonnas tsentraalselt hallata mitut arvutit ja kasutajat. Võrguülemad saavad Grupipoliitikate abil määratleda kasutajate ja arvutite sätteid ning lubatud tegevusi. Erinevalt kohalikest poliitikatest saavad organisatsioonid Grupipoliitikate abil seada poliitikaid, mis kehtivad terve Aktiivkataloogi (Active Directory) teenuses määratletud saidi, domeeni või organisatsioonilise üksuse raames. Läbi Grupipoliitika objektide on administraatoril võimalik omada kontrolli Windowsi keskkonna erinevate tahkude üle, nagu näiteks: register, NTFS turvalisus, auditeerimis- ja turvapoliitika, tarkvara, töölaud, sisse- ja väljalogimisskriptid.
Lisaks Aktiivkataloogist rakendatavatele Grupipoliitikatele on alates Windows 2000'st igas Microsofti op. süsteemis ka lokaalne Grupipoliitika, mis rakendub vaid sellele konkreetsele arvutile ja sellesse arvutisse sisseloginud kasutajatele (ka domeenikasutajatele).
Grupipoliitikad rakendatakse sellises järjekorras:
* 1. lokaalne Grupipoliitika
* 2. sait-taseme poliitikad
* 3. domeeni-taseme poliitikad
* 4. OU poliitikad
* 5. alam-OU poliitikad
== Eeldused Grupipoliitikate kasutamiseks. ==
Grupipoliitika (v.a. lokaalpoliitika) kasutamine eeldab Aktiivkataloogi (Active Directory) olemasolu. Op. süsteemid millele Grupipoliitikaid saab rakendada on Windows XP, Windows Vista, Windows 7, Windows Server 2003 ja Windows Server 2008.
Vaikimisi on õigus Grupipoliitika objekte luua ja rakendada vaid Domain Admins ja Enterprise Admins gruppi kuuluvatel kasutajatel.
== Grupipoliitikate loomine. ==
Grupipoliitikate haldamiseks kasutame GPMC (Group Policy Management Console) nimelist tööriista.
GPMC'sse on koondatud kõik Grupipoliitikate halduseks vajalik. GPMC võimaldab hallata kõiki Grupipoliitika objekte, WMI filtreid ja Grupipoliitikaga seonduvaid õigusi.
Windows Server 2008'ga on kaasas nii 32-, kui 64-bitine versioon GPMC-st.
GPMC võimaldab järgnevat:
* Grupipoliitika objektide (GPO) import ja eksport
* GPO-de kopeerimine ja kleepimine.
* GPO-de varundamine ja taastamine.
* GPO-de otsimine.
* Raporteerimine.
* Grupipoliitika modelleerimine. Võimaldab simuleerida Grupipoliitikate rakendumist.
* Grupipoliitika rakendumise jälgimine ja tõrkeotsing.
* Migratsioonitabelite tugi GPO-de impordiks ja kopeerimiseks üle domeenide ja metsade.
* HTML formaadis aruanded.
Domeenikontrolleritel on GPMC juba installeeritud, muudel Windows Server 2008 masinatel tuleb see Feature Server Manager-i alt lisada. Windows 7 masinates peab eelnevalt installeerima RSAT-i ja siis lisama Feature.
Käivitame GPMC:
  Vajuta Windows logo + R, trüki gpmc.msc ja vajuta OK või Enter.
  või
  Start -> All Programs -> Accessories -> Run. Trüki gpmc.msc ja vajuta OK või Enter
Et luua sidumata GPO:
  1. GPMC-s klikka paremat nuppu "Group Policy Objects" peal domeenis, kuhu soovid GPO-d luua.
  2. Klikka "New"
  3. Anna uuele GPO-le nimi ja vajuta "OK".
[[File:--Screenshot]]
"User Group Policu loopback processing mode" valik on mõeldud selleks, et hoida arvuti konfiguratsioon sama, sõltumata sisseloginud kasutajast. Näiteks võib seda vaja minna terminal serveris või mõnes teises üldkasutatavas arvutis. Kui "loopback processing" on sisse lülitatud, siis rakendatakse "user policy" sätted kõigile sisse logivatele kasutajatele, aga arvutipõhiselt.
"Loopback processing mode" sätted leiad "Computer Configuration\Policies\Administrative Templates\System\Group Policy" alt. Valikuid on kaks:
* Merge mode: Kõigepealt rakendatakse kasutajale otse kehtivad GPO-d ja seejärel arvutile kehtivad GPO-d. Konflikti puhul kirjutavad viimased esimesed üle.
* Replace mode: Kasutajale otse kehtivaid GPO-sid ei rakendata üldse, rakendatakse ainult arvutile kehtivad GPO-d.
Default Domain Policy GPO-dja Default Domain Policy GPO-d on võimalik taastada originaalseisu tööriistaga Dcgpofix.exe
Dcgpofix.exe leiab Windows Server 2008 ja Windows Server 2003 C:\Windows\System32 kataloogist.
== Grupipoliitikate rakendamine. ==
Grupipoliitika sätete rakendamiseks kasutajatele ja arvutitele tuleb GPO siduda saidi, domeeni või OU-ga. Igale saidiga, domeeniga või OU-ga võib siduda ka mitu GPO-d.
Kasutades GPMC-d saab GPO-d siduda Aktiivkataloogi konteineritega järgnevalt:
* Paremklikk saidil, domeenil või OU-l ja siis "Link an Exising GPO".
* Sikuta GPO "Group Policy Objects" alt OU-sse, millega tahad GPO'd siduda (töötab ainult domeeni piires)
[[File:--Screenshot]]
Kõik grupipoliitikad rakenduvad vaikimisi "Authenticated Users" grupile vastavas konteineris. Seda on võimalik muuta mitmel viisil, näiteks blokeerida läbipaistvus (block inheritance), enforcing GPO links, flitreerida kasutajagruppide (security groups) või WMI filtritega, keelata GPO (disabling GPOs) või kasutades "loopback processing" sätet.
"Link order" määrab, mis järjekorras vastava saidi, domeeni või OU-ga seotud GPO-sid rakendatakse. Madalam number annab eesõiguse.
Et GPO rakenduks ainult kindlatele kasutajatele, kasutajagruppidele või arvutitele tuleb muuta õiguseid järgnevalt:
GPMC-s klikka vastaval GPO-l, "Scope" sakil "Security Filtering" alt eemalda "Authenticated Users", vajuta "Add" ja lisa uus kasutaja, grupp või arvuti.
[[File:--Screenshot]]
== Grupipoliitika uuendamine. ==
Grupipoliitikat uuendatakse Windowsi käivitumisel ja sisselogimisel. Lisaks uuendatakse grupipoliitikat Windows server 2008, Windows Vista, Windows Server 2003, Windows XP ja Windows 7 all vaikimisi 90 + 0...30 minuti tagant, domeeni kontrollerid iga 5 minuti tagant. Seda on võimalik vajadusel grupipoliitikaga muuta.
Grupipoliitika käsitsi uuendamiseks tuleb käsukonsoolilt anda käsk gpupdate.
Kui ühenduse kiirus on väiksem, kui sättega "Computer Configuration/Administrative Templates/System/Group Policy/Group Policy slow link detection" määratud (kui ei ole määratud, siis vaikimisi 500Kbps), siis grupipoliitikaid ei rakendata. Aeglase ühenduse kontrolli väljalülitamiseks on säte "Computer Configuration\Administrative Templates\System\Logon\Do not detect slow network connections".
--
Ulvar Petmanson, AK22
Ulvar Petmanson, AK22

Revision as of 12:21, 13 April 2011

Mis on Grupipoliitika (Group Policy).

Grupipoliitika (rühmapoliitika, grupireeglid või ing. k.Group Policy) on tehnoloogia, mis lubab Aktiivkataloogi (Active Directory) keskkonnas tsentraalselt hallata mitut arvutit ja kasutajat. Võrguülemad saavad Grupipoliitikate abil määratleda kasutajate ja arvutite sätteid ning lubatud tegevusi. Erinevalt kohalikest poliitikatest saavad organisatsioonid Grupipoliitikate abil seada poliitikaid, mis kehtivad terve Aktiivkataloogi (Active Directory) teenuses määratletud saidi, domeeni või organisatsioonilise üksuse raames. Läbi Grupipoliitika objektide on administraatoril võimalik omada kontrolli Windowsi keskkonna erinevate tahkude üle, nagu näiteks: register, NTFS turvalisus, auditeerimis- ja turvapoliitika, tarkvara, töölaud, sisse- ja väljalogimisskriptid.

Lisaks Aktiivkataloogist rakendatavatele Grupipoliitikatele on alates Windows 2000'st igas Microsofti op. süsteemis ka lokaalne Grupipoliitika, mis rakendub vaid sellele konkreetsele arvutile ja sellesse arvutisse sisseloginud kasutajatele (ka domeenikasutajatele).

Grupipoliitikad rakendatakse sellises järjekorras:

  • 1. lokaalne Grupipoliitika
  • 2. sait-taseme poliitikad
  • 3. domeeni-taseme poliitikad
  • 4. OU poliitikad
  • 5. alam-OU poliitikad


Eeldused Grupipoliitikate kasutamiseks.

Grupipoliitika (v.a. lokaalpoliitika) kasutamine eeldab Aktiivkataloogi (Active Directory) olemasolu. Op. süsteemid millele Grupipoliitikaid saab rakendada on Windows XP, Windows Vista, Windows 7, Windows Server 2003 ja Windows Server 2008. Vaikimisi on õigus Grupipoliitika objekte luua ja rakendada vaid Domain Admins ja Enterprise Admins gruppi kuuluvatel kasutajatel.


Grupipoliitikate loomine.

Grupipoliitikate haldamiseks kasutame GPMC (Group Policy Management Console) nimelist tööriista. GPMC'sse on koondatud kõik Grupipoliitikate halduseks vajalik. GPMC võimaldab hallata kõiki Grupipoliitika objekte, WMI filtreid ja Grupipoliitikaga seonduvaid õigusi. Windows Server 2008'ga on kaasas nii 32-, kui 64-bitine versioon GPMC-st.

GPMC võimaldab järgnevat:

  • Grupipoliitika objektide (GPO) import ja eksport
  • GPO-de kopeerimine ja kleepimine.
  • GPO-de varundamine ja taastamine.
  • GPO-de otsimine.
  • Raporteerimine.
  • Grupipoliitika modelleerimine. Võimaldab simuleerida Grupipoliitikate rakendumist.
  • Grupipoliitika rakendumise jälgimine ja tõrkeotsing.
  • Migratsioonitabelite tugi GPO-de impordiks ja kopeerimiseks üle domeenide ja metsade.
  • HTML formaadis aruanded.


Domeenikontrolleritel on GPMC juba installeeritud, muudel Windows Server 2008 masinatel tuleb see Feature Server Manager-i alt lisada. Windows 7 masinates peab eelnevalt installeerima RSAT-i ja siis lisama Feature.

Käivitame GPMC:

 Vajuta Windows logo + R, trüki gpmc.msc ja vajuta OK või Enter.
 või
 Start -> All Programs -> Accessories -> Run. Trüki gpmc.msc ja vajuta OK või Enter

Et luua sidumata GPO:

 1. GPMC-s klikka paremat nuppu "Group Policy Objects" peal domeenis, kuhu soovid GPO-d luua.
 2. Klikka "New"
 3. Anna uuele GPO-le nimi ja vajuta "OK".

File:--Screenshot


"User Group Policu loopback processing mode" valik on mõeldud selleks, et hoida arvuti konfiguratsioon sama, sõltumata sisseloginud kasutajast. Näiteks võib seda vaja minna terminal serveris või mõnes teises üldkasutatavas arvutis. Kui "loopback processing" on sisse lülitatud, siis rakendatakse "user policy" sätted kõigile sisse logivatele kasutajatele, aga arvutipõhiselt. "Loopback processing mode" sätted leiad "Computer Configuration\Policies\Administrative Templates\System\Group Policy" alt. Valikuid on kaks:

  • Merge mode: Kõigepealt rakendatakse kasutajale otse kehtivad GPO-d ja seejärel arvutile kehtivad GPO-d. Konflikti puhul kirjutavad viimased esimesed üle.
  • Replace mode: Kasutajale otse kehtivaid GPO-sid ei rakendata üldse, rakendatakse ainult arvutile kehtivad GPO-d.


Default Domain Policy GPO-dja Default Domain Policy GPO-d on võimalik taastada originaalseisu tööriistaga Dcgpofix.exe

Dcgpofix.exe leiab Windows Server 2008 ja Windows Server 2003 C:\Windows\System32 kataloogist.



Grupipoliitikate rakendamine.

Grupipoliitika sätete rakendamiseks kasutajatele ja arvutitele tuleb GPO siduda saidi, domeeni või OU-ga. Igale saidiga, domeeniga või OU-ga võib siduda ka mitu GPO-d. Kasutades GPMC-d saab GPO-d siduda Aktiivkataloogi konteineritega järgnevalt:

  • Paremklikk saidil, domeenil või OU-l ja siis "Link an Exising GPO".
  • Sikuta GPO "Group Policy Objects" alt OU-sse, millega tahad GPO'd siduda (töötab ainult domeeni piires)

File:--Screenshot

Kõik grupipoliitikad rakenduvad vaikimisi "Authenticated Users" grupile vastavas konteineris. Seda on võimalik muuta mitmel viisil, näiteks blokeerida läbipaistvus (block inheritance), enforcing GPO links, flitreerida kasutajagruppide (security groups) või WMI filtritega, keelata GPO (disabling GPOs) või kasutades "loopback processing" sätet. "Link order" määrab, mis järjekorras vastava saidi, domeeni või OU-ga seotud GPO-sid rakendatakse. Madalam number annab eesõiguse.

Et GPO rakenduks ainult kindlatele kasutajatele, kasutajagruppidele või arvutitele tuleb muuta õiguseid järgnevalt: GPMC-s klikka vastaval GPO-l, "Scope" sakil "Security Filtering" alt eemalda "Authenticated Users", vajuta "Add" ja lisa uus kasutaja, grupp või arvuti.

File:--Screenshot



Grupipoliitika uuendamine.

Grupipoliitikat uuendatakse Windowsi käivitumisel ja sisselogimisel. Lisaks uuendatakse grupipoliitikat Windows server 2008, Windows Vista, Windows Server 2003, Windows XP ja Windows 7 all vaikimisi 90 + 0...30 minuti tagant, domeeni kontrollerid iga 5 minuti tagant. Seda on võimalik vajadusel grupipoliitikaga muuta. Grupipoliitika käsitsi uuendamiseks tuleb käsukonsoolilt anda käsk gpupdate.

Kui ühenduse kiirus on väiksem, kui sättega "Computer Configuration/Administrative Templates/System/Group Policy/Group Policy slow link detection" määratud (kui ei ole määratud, siis vaikimisi 500Kbps), siis grupipoliitikaid ei rakendata. Aeglase ühenduse kontrolli väljalülitamiseks on säte "Computer Configuration\Administrative Templates\System\Logon\Do not detect slow network connections".

-- Ulvar Petmanson, AK22