Group Policy Objects (GPO) Część 1/2 - krótkie wprowadzenie. Paweł Damian, MCSE (pawel@sz-ek.pl)



Podobne dokumenty
Politechnika Białostocka

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

Politechnika Białostocka

Korzystanie z edytora zasad grupy do zarządzania zasadami komputera lokalnego w systemie Windows XP

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

Tomasz Greszata - Koszalin

Systemy operacyjne i sieci komputerowe Szymon Wilk Konsola MMC 1

5. Administracja kontami uŝytkowników

Praca w sieci z serwerem

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

pasja-informatyki.pl

Zdalna obsługa transcievera. H A M R A D I O D E L U X E R e m o t e S e r v e r C o n f i g u r a t i o n

Ustawienia personalne

Administrowanie systemami sieciowymi Laboratorium 3

Administrowanie Sieciowymi Systemami Operacyjnymi

Użycie pakietów instalacyjnych.msi w oprogramowaniu WYWIAD Plus

Zasady grupy (GPO) Windows Server 2008 R2. Przykładowa grupy.

A. Instalacja serwera www

1. Zakres modernizacji Active Directory

Część I Wprowadzenie do zasad grupy

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Systemy operacyjne. Zasady lokalne i konfiguracja środowiska Windows 2000

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Zasady zabezpieczeń lokalnych

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

Konsola MMC. - zarządzanie zaporą sieciową (wf.msc): - zasady zabezpieczeń loklanych (gpedit.msc):

Instalacja i konfiguracja serwera WSUS. Ćwiczenie 1 Instalacja serwera WSUS. Mariusz Witczak Bartosz Matusiak

Wprowadzenie do Active Directory. Udostępnianie katalogów

1. Instalacja systemu Integra 7

Konfiguracja połączenia internetowego serwera w pracowni Microsoft

IV.3.b. Potrafisz samodzielnie dokonać podstawowej konfiguracji sieci komputerowej

Windows Server 2012 Active Directory

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory

Instrukcja Instalacji

Laboratorium Systemów Operacyjnych

Instalacja programu Ozon.

Rozdział 5. Administracja kontami użytkowników

Serwer druku w Windows Server

Rozdział 8. Sieci lokalne

Opis programu OpiekunNET. Historia... Architektura sieciowa

Narzędzia administracyjne Windows XP

Dokumentacja instalacji aktualizacji systemu GRANIT wydanej w postaci HotFix a

Poradnik dla uŝytkowników Subiekta 5 Euro dotyczący zmian w podatku od towarów i usług obowiązujących od r.

8. Sieci lokalne. Konfiguracja połączenia lokalnego

10.2. Udostępnianie zasobów

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Laboratorium A: Podstawy administrowania serwerem

Projektowanie Bezpieczeństwa Sieci Łukasz Jopek Projektowanie Bezpieczeństwa Sieci - Laboratorium. Konfiguracja NAP Network Access Protection

Nieskonfigurowana, pusta konsola MMC

CZNE LUB INSTALOWANIE SERVERA

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych.

Instalacja Active Directory w Windows Server 2003

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Konfiguracja komunikacji jednostki centralnej systemu sterowania PVS MCU LAN w sieci LAN (Local Area Network)

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

Instrukcja instalacji aplikacji Generator Wniosków Aplikacyjnych Edytor.

1. Wymagania dla aplikacji etoken RTE oraz tokenu Aladdin etoken PRO

Instalowanie i konfigurowanie Windows Server 2012 R2

Zarządzanie lokalnymi kontami użytkowników

Instalacja i opis podstawowych funkcji programu Dev-C++

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

podstawowa obsługa panelu administracyjnego

Laboratorium A: Zarządzanie ustawieniami zabezpieczeń/klucz do odpowiedzi

Instrukcja instalacji Control Expert 3.0

UNIFON podręcznik użytkownika

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Instrukcja do instalacji/aktualizacji systemu KS-FKW

9. Internet. Konfiguracja połączenia z Internetem

Instrukcja instalacji aplikacji Generator Wniosków Aplikacyjnych Edytor.

Przydziały (limity) pojemności dyskowej

Konfiguracja programu pocztowego Outlook Express i toŝsamości.

- w związku ze stwierdzoną usterką właściciel firmy wezwał serwis komputerowy w celu jej zdiagnozowania i usunięcia,

Laboratorium A: Korzystanie z raportów zasad grupy/klucz do odpowiedzi

oprogramowania F-Secure

Instalacja serwera Firebird

Płace Optivum. 1. Zainstalować serwer SQL (Microsoft SQL Server 2008 R2) oraz program Płace Optivum.

Silent setup SAS Enterprise Guide (v 3.x)

Tworzenie i wdrażanie zasad bezpieczeństwa

Najczęściej występujące problemy z instalacją i konfiguracją i ich rozwiązania.

Instrukcja instalacji aplikacji Generator Wniosków Aplikacyjnych Edytor.

Tomasz Greszata - Koszalin

Instrukcja uŝytkownika narzędzia Skaner SMTP TP. Uruchamianie aplikacji

Pracownia internetowa w szkole ZASTOSOWANIA

pasja-informatyki.pl

Interfejsy sieciowe w systemie Windows Server

Projektowanie i implementacja infrastruktury serwerów

Podstawowe informacje o obsłudze pliku z uprawnieniami licencja.txt

Asystent Hotline Instrukcja instalacji

Ustalanie dostępu do plików - Windows XP Home/Professional

Instrukcja instalacji Asystenta Hotline

Systemy operacyjne I Laboratorium Część 3: Windows XP

Spis treści

Zanim zaczniesz. Warto ustawić kartę sieciową naszego serwera.

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

SPOSOBY DYSTRYBUCJI OPROGRAMOWANIA PANDA

TEMAT SZKOLENIA: MS 6292 Installing and Configuring Windows 7 Client (szkolenie autoryzowane przez Producenta oprogramowania Microsoft)

Zadanie 2. Tworzenie i zarządzanie niestandardową konsolą MMC

Instrukcja skrócona (dla informatyka)

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Transkrypt:

Group Policy Objects (GPO) Część 1/2 - krótkie wprowadzenie Paweł Damian, MCSE (pawel@sz-ek.pl)

1. Dla kogo powstały zasady grup? W Ŝyciu kaŝdego administratora nadchodzi kiedyś chwila, gdy obowiązki słuŝbowe przestają dotyczyć kontroli nad małą siecią lokalną, złoŝoną z dwóch czy trzech komputerów. Dostajemy pod swoje skrzydła dziesiątki, setki czy nawet tysiące stacji klienckich i serwerów. Jesteśmy z siebie dumni teraz staniemy się kimś naprawdę waŝnym, szefostwo będzie musiało liczyć się z naszym zdaniem, a zarobki wzrosną kilkukrotnie. Po tej początkowej euforii nadchodzi chwila refleksji. PrzecieŜ nasza codzienna praca będzie teraz wyglądała zupełnie inaczej. Sprawna obsługa duŝej sieci jest naprawdę duŝym wyzwaniem. JeŜeli uda nam się opanować pojawiający się chaos splendory nas nie ominą. Co jednak, gdy nasza praca stanie się nieefektywna? Gdy stracimy kontrolę nad stacjami uŝytkowników, z firmy wyciekną waŝne dane a szef zamiast podwyŝki wręczy nam wypowiedzenie? Pamiętajmy, Ŝe im większa sieć tym większe nie tylko wynagrodzenie, ale przede wszystkim obowiązki. Zarządzanie wieloma komputerami wymaga stworzenia środowiska ograniczającego pracę administratora do minimum. Trudno sobie wyobrazić sytuację, w której jedna osoba byłaby w stanie codziennie ręcznie konfigurować tysiąc stacji klienckich czy serwerów. Na szczęście nie jest to konieczne. Z pomocą przychodzi nam Active Directory, a w szczególności Group Policy, o których traktuje poniŝszy artykuł. Postaram się przybliŝyć nieco moŝliwości oferowane przez zasady grup i pokazać, jak wykorzystać je, aby codzienna praca nie była koszmarem a źródłem zadowolenia i motywacji. 2. Czym są zasady grup? Zasady grup są zbiorami ustawień kontrolującymi zachowanie zarówno stacji klienckich jak i serwerów pod bardzo wieloma aspektami. UmoŜliwiają głęboką ingerencję w zachowanie systemów Windows. Pozwalają między innymi na kontrolę pulpitów uŝytkowników pod wieloma aspektami. Dostępnych opcji są setki, a niektóre z nich to na przykład blokowanie dostępu do panelu sterowania, ograniczenie funkcji menu start, ukrycie ikony Mój komputer, zablokowanie uruchamiania określonego programu itd. Za pomocą GPO moŝemy ponadto kontrolować zachowanie komputerów klienckich czy serwerów. Mamy do dyspozycji szereg ustawień, których przykładem moŝe być wymuszenie i konfiguracja IPSec a, konfiguracja uprawnień do folderów czy rejestru itd. Konkretne

ustawienia w ramach zasady grup tworzą tzw. obiekt zasad grup (Group Policy Object GPO). KaŜdy taki obiekt składa się z dwóch części : ustawień uŝytkownika ustawienia w tej części dotyczą kont osób logujących się w sieci ustawień komputera pozwalają wymuszać określone parametry w odniesieniu do konkretnych maszyn Dzięki temu moŝliwe jest na przykład określenie, Ŝe uŝytkownik Ala, niezaleŝnie od komputera na którym się loguje, ma mieć zablokowaną moŝliwość zmiany hasła. Z drugiej natomiast strony moŝemy chcieć, aby kaŝdy, kto zaloguje się na jednym konkretnym komputerze, nie mógł uruchomić Windows Installer a wtedy opcję tą konfigurujemy w węźle ustawień komputera. Warto zwrócić uwagę na folder Szablony administracyjne (Administrative templates), który pozwala na dodawanie własnych opcji do edytora GPO. Obiekty GPO mogą być przypisywane w Active Directory w kilku miejscach : lokalnie, na poziomie lokacji, domeny lub jednostki organizacyjnej. Lokalne GPO przechowywane jest, jak nazwa wskazuje, na kaŝdym pojedynczym komputerze komputerze osobna. Dotyczy więc ono ustawień tylko tej jednej maszyny. Ten typ GPO jest uŝywany najczęściej w środowisku sieciowym, w którym nie istnieje Active Directory. GPO lokalne umoŝliwia kontrolę zachowania systemu, ale wymaga ręcznej konfiguracji na kaŝdym komputerze z osobna. Ten rodzaj GPO jest więc mało efektywny w większych sieciach, w których to stosuje się nielokalne obiekty zasad grup. To właśnie takie GPO są wykorzystywane przez Active Directory. Oczywiście nasuwa się tu zupełnie naturalne pytanie : jak aplikowane są GPO? PrzecieŜ moŝe być ich wiele i dodatkowo mogą być przypisane na róŝnych poziomach. 3. Kolejność aplikowania zasad grup Najczęściej obiekty GPO są stosowane w następującej kolejności : - GPO lokalny - GPO lokacji - GPO domeny - GPO jednostek organizacyjnych Dlaczego napisałem najczęściej, a nie Ŝe zawsze? Na kolejność tą jako administratorzy mamy bowiem pewien wpływ. Zgodnie jednak z powyŝszym, ustawienia zawarte w 1 2 lokalnym GPO mogą GPO Lokacji być zastąpione przez GPO lokacji, te z GPO Domeny 3 kolei przez GPO GPO OU 1 OU1 domeny itd. OU2 4 GPO OU2

Ustawienia zawarte w obiektach GPO są domyślnie dziedziczone. Oznacza to, iŝ skonfigurowanie jakiejś opcji w GPO przypisanym na poziomie domeny włączy ją we wszystkich jednostkach organizacyjnych tej domeny. Dzieje się tak oczywiście tylko wtedy, gdy któraś z polis aplikowanych później nie zmienia tego ustawienia na inne. ZałóŜmy, Ŝe skonfigurowaliśmy w polisie domenowej opcję A jako włączoną. JeŜeli w polisie jednostki organizacyjnej opcja ta będzie miała stan włączony lub nieskonfigurowany, w efekcie końcowym pozostanie włączona. JeŜeli natomiast opcja ta będzie wyłączona na poziomie OU, w efekcie końcowym takŝe pozostanie wyłączona. PowyŜej opisany mechanizm moŝemy modyfikować na dwa sposoby : blokując dziedziczenie i konfigurując brak zastępowania. Włączenie pierwszej opcji powoduje zignorowanie ustawień w polisach przypisanych do wszystkich kontenerów nadrzędnych. Wyjątkiem są tylko GPO z atrybutem nie zastępuj. W tym przypadku blokada dziedziczenia nie działa. Widać więc, Ŝe opcja No override (nie zastępuj) ma niejako większy priorytet. NaleŜałoby jeszcze wspomnieć o mechanizmie pętli zwrotnej. Jest to specjalny tryb przetwarzania polisy polegający na tym, Ŝe ustawienia są stosowane niezaleŝnie od tego, czy dany obiekt leŝy w jednostce organizacyjnej do której polisa jest przypisana czy nie. Jest to uŝyteczne w sytuacji, gdy przykładowo mamy jednostkę Biuro z kontami uŝytkowników oraz jednostkę Servers z serwerami, do której to podłączona została polisa. Serwery te są krytyczne, więc chcemy, niezaleŝnie od tego kto się na nie loguje, wymusić pewne ustawienia. W tym przypadku skonfigurowanie takiej polisy w trybie pętli zwrotnej spowoduje, Ŝe kaŝdy uŝytkownik, niezaleŝnie gdzie znajduje się jego konto w Active Directory, po zalogowaniu na serwer z jednostki Servers będzie miał zaaplikowane ustawienia takiej polisy. Działanie mechanizmów dziedziczenia oraz jego blokowania zostało pokazane w jednej z prezentacji wideo dołączonych do publikacji. 4. Narzędzia konfiguracji GPO Mając juŝ pewne podstawy teoretyczne odnośnie działania GPO, najwyŝsza pora przejść do meritum, czyli konfiguracji. Do zarządzania polisami system Windows udostępnia nam kilka narzędzi. NajwaŜniejszym z nich jest : 1) Edytor obiektów zasad grup. Jest to przystawka do konsoli mmc., która udostępnia interfejs pozwalający na edycję konkretnych GPO. Wszystkie opcje moŝliwe do skonfigurowania w polisie są

pogrupowane w odpowiedni sposób. Najbardziej ogólnym podziałem jest wyodrębnienie części konfiguracji uŝytkownika i komputera. Następnie w ramach kaŝdej z tych gałęzi widoczne są dalsze kontenery. Poprzez wybór pozycji edytorze mamy moŝliwość zmiany ustawień poszczególnych opcji w danym GPO. Do edytora moŝemy dostać się na kilka sposobów : dodając odpowiednią przystawkę w konsoli mmc, otwierając go z poziomu Active Direktory Sers and Computers lub korzystając z przystawki GPMC (o której trochę więcej poniŝej). Edytor GPO pozwala ponadto na aplikowanie ustawień szablonów zabezpieczeń oraz szablonów administracyjnych. Szczególnie ta druga opcja tworzy z GPO bardzo potęŝne narzędzie kontroli systemów Windows. 2) RSOP (Resultant Set of Policy) jest takŝe przystawką konsoli mmc. SłuŜy ona do diagnozowania problemów z GPO. To o czym naleŝy wiedzieć, to przede wszystkim fakt, Ŝe RSOP moŝe pracować w jednym z dwóch trybów : - logowania słuŝącym do rozwiązywania problemów z juŝ istniejącymi polisami - planowania słuŝącym do planowania i przewidywania zachowań GPO przed wdroŝeniem w środowisku produkcyjnym W sytuacji gdy jakieś ustawienia nie są aplikowane, lub są stosowane niezgodnie z naszymi oczekiwaniami, przystawka RSOP jest idealnym narzędziem do sprawdzenia które polisy są obowiązujące, które zostały odrzucone, jakie są efektywne ustawienia obowiązujące danego uŝytkownika czy komputer itd. 3) Narzędzia wiersza poleceń : gpresult, gpupdate. Pierwsze z nich pełni funkcję podobną do RSOP pozwala z wiersza poleceń wyświetlić obowiązujące w danej chwili polisy. Gpupdate natomiast umoŝliwia natychmiastowe odświeŝenie ustawień. Jest to przydatne w szczególności wówczas, gdy testujemy pewne ustawienia i nie chcemy czekać przez kilkadziesiąt minut aŝ komputer sam odświeŝy listy GPO. Korzystając z polecenia gpupdate moŝemy natychmiast wymusić aktualizację wszystkich ustawień GPO.

4) Przystawka GPMC (Group Policy Management Konsole) to chyba najbardziej kompleksowe narzędzie do kontroli działania GPO. Z poziomu tej przystawki moŝliwe jest zarówno uruchamianie edytora GPO w celu zmiany ustawień, jak i podłączanie polis do określonych miejsc (domena, jednostki organizacyjne), moŝliwość wyłączenia części danej polisy (np. obowiązywać mają tylko ustawienia uŝytkownika), zablokowanie dziedziczenia, czy nawet wygenerowanie danych RSOP. Jest to narzędzie integrujące poprzednio omawiane konsole w jedno spójne centrum zarządzania GPO. Konsola ta nie jest instalowana domyślnie, ale moŝna ją bezpłatnie ściągnąć ze stron firmy Microsoft. 5. Ograniczanie zakresu obowiązywania GPO Na podstawie tego, co napisałem wcześniej moŝna zauwaŝyć, iŝ obiekty GPO nie są przypisywane do uŝytkowników czy grup, a do lokacji, domen czy jednostek organizacyjnych. Niektórzy twierdzą, Ŝe GPO są przypisywane do grup. To nie jest prawdą. Obiekty GPO mogą być jedynie filtrowane w oparciu o członkowstwo w grupach, ale do grup jako takich przypisywane być nie mogą. Aby dana polisa mogła zostać zastosowana, uŝytkownik lub komputer musi posiadać prawo odczytu oraz zastosowania danej polisy. Cofając więc te prawa moŝemy łatwo wykluczyć pewną grupę spod obowiązywania danego GPO. Drugim sposobem ograniczania zasięgu GPO jest filtrowanie za pomocą skryptów WMI. MoŜemy skonfigurować polisę, którą skojarzymy ze skryptem WMI wybierającym tylko komputery z wyłączonym firewallem. W polisie takiej moŝemy następnie skonfigurować dosyć restrykcyjne ustawienia działania systemu (ze względu na wyłączony firewall). 6. Instalowanie oprogramowania za pomocą GPO Mechanizm GPO pozwala na instalację oprogramowania. Ta funkcjonalność ograniczona jest niestety tylko do programów dostarczonych w postaci paczek.msi lub plików.zap, ale istnieją darmowe narzędzia pozwalające takie właśnie pliki tworzyć z dowolnych

innych rodzajów instalatorów. Zanim przystąpimy do wdroŝenia instalacji musimy zastanowić się, w jaki sposób oprogramowanie to ma być rozdystrybuowane. Po pierwsze, czy dany program ma być instalowany na określonych komputerach (niezaleŝnie od tego, kto na nich pracuje) czy tylko podczas logowania określonej grupy uŝytkowników. Odpowiedź na to pytanie determinuje, czy opcje instalacji konfigurować powinniśmy w części ustawień komputera czy uŝytkownika. Kolejną kwestią nad którą musimy się zastanowić, to czy oprogramowanie ma być instalowane podczas logowania obowiązkowo, czy teŝ uŝytkownik będzie miał moŝliwość instalacji na Ŝądanie. GPO pozwala bowiem programy publikować (publish) lub przypisywać (assign). W pierwszym przypadku efekt działania GPO będzie taki, Ŝe uŝytkownikowi po uruchomieniu z panelu sterowania opcji Dodaj, usuń programy pojawi się do wyboru opcja instalacji opublikowanej aplikacji. Natomiast w momencie uŝycia opcji przypisz dany program zostanie automatycznie zainstalowany podczas logowania uŝytkownika bez jego interwencji. Pozostało nam juŝ tylko zdecydowanie, czy chcemy aby w momencie wyłączenia danego GPO oprogramowanie zostało odinstalowane czy nie. Zdecydowanie zalecam włączanie takiej konfiguracji, poniewaŝ jeŝeli nie wymusimy odinstalowania, tracimy moŝliwość późniejszego automatycznego usunięcia danego programu. Zmusza nas to do ręcznej rekonfiguracji stacji klienckich których dotyczyło GPO. 7. Prezentacje wideo Myślę, Ŝe pokazanie konfiguracji GPO w postaci wideo będzie duŝo bardziej zrozumiałe niŝ tysiące słów. Dlatego teŝ postanowiłem przygotować kilka scenariuszy uŝycia GPO i pokazać, jak szybko i sprawnie moŝemy uzyskać poŝądany efekt. Do wyboru są trzy prezentacje :

ograniczanie praw konta uŝytkownika http://atos.wmid.amu.edu.pl/~horhe/wss/gpo1.wmv konfiguracja uprawnień do folderów, uprawnień do rejestru oraz członkostwa grup http://atos.wmid.amu.edu.pl/~horhe/wss/gpo2.wmv dziedziczenie w GPO http://atos.wmid.amu.edu.pl/~horhe/wss/gpo3.wmv 8. Podsumowanie Mam świadomość, Ŝe temat nie został wyczerpany. Nie napisałem ani słowa o planowaniu wdroŝeń GPO, o tym jak powinno się je tworzyć, jakie są moŝliwe strategie zarządzania nimi. Nie wyczerpałem takŝe opisu wszystkich moŝliwości, jakie niesie ze sobą ten mechanizm. To wszystko jednak wynika z faktu, iŝ GPO jest mechanizmem bardzo rozbudowanym. Nie sposób w ramach krótkiej publikacji przekazać wszystkich niezbędnych informacji. Miałem raczej na celu pokazanie osobom mniej doświadczonym, czym w ogóle jest GPO. Gorąco zachęcam do eksperymentowania we własnym zakresie. śaden artykuł nie zastąpi doświadczenia, jakie moŝna zdobyć konfigurując róŝne polisy własnoręcznie. Mam nadzieję, Ŝe ta publikacja przynajmniej u niektórych z Państwa obudziła zainteresowanie do dalszego zgłębiania tajników zasad grup.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres