Csoportházirend Vistával

Az előadások a következő témára: "Csoportházirend Vistával"— Előadás másolata:

1 Csoportházirend Vistával
„Gyakorlat teszi a mestert!” Oláh István BME Automatizálási és Alkalmazott Informatikai Tanszék MSDN Kompetenciaközpont

2 Tartalom Röviden az alapokról Vista extrák 7 csoport * 5 beállítás
Hibakeresés és elhárítás 10 üzemeltetési tanács

3 Röviden az alapokról Csoportházirend (Group Policy)
Tartományban a kliens OS-ek és alkalmazások paramétereinek beállítása, központilag, testreszabottan Windows NT 4.0: System Policy Windows 2000-től: Group Policy Helyi házirend (Local Group Policy) Az elv ugyanaz, de csak az adott gépre érvényes a hatókör Lényegesen kevesebb opció

4 Vista újdonságok 1. Teljesértékű Helyi házirend (LGPO)
A helyi gépnek (mint eddig is) Admin vagy nem Admin helyi csoportoknak Bármelyik helyi felhasználónak! A felhasználók VAGY az Admin VAGY a nem-Admin csoportra vonatkozó házirendet kapják Gál Tamás, TechNet november 22.

5 Mire használjuk? Biztonsági beállítások, jogosultságok, hozzáférés szabályzás, EFS, tanúsítványok, rendszerszolgáltatások Hálózati beállítások, mappa átirányítás, eseményekhez köthető szkriptek, profilok, szinkronizálás IE, Office, Desktop, Windows tűzfal, Defender, korlátozások / központi beállítások Szoftvertelepítés, publikálás, hozzárendelés …

6 Működés 1. Működés A hozzárendelés alapja a GPO (Group Policy Object), részei: GPC (Group Policy Container)- címtár, konfigurációs információk, tulajdonságok GPT (Group Policy Template)- SYSVOL, a végrehajtás részletei Manuálisan szerkesztjük a tartalmát a sablonok (.adm, .admx) segítségével A kliens oldali lebonyolítás pedig a Client Side Extensions (CSE - *.dll) segítségével történik

7 Működés 2. Működés (folytatás) Felügyeleti sablonok Egyéb sablonok
Registry alapú, a legtöbb opció itt van Egyéb sablonok 2x2 fő házirend ág Felügyeleti (user + computer) Egyéb - Biztonsági beállítások, szkriptek, szoftvertelepítés (user + computer) + Prefences (user + computer)

8 Működés 3. Működés (folytatás) Hatókör: Site, Domain és OU
Hozzárendelés, hivatkozás Több GPO is érvényesülhet egy felhasználóra/számítógépre Gyári alapértelmezett: Domain, DC Sorrend: L-S-D-O; Sorrend2: a legfelső az adott objektum GPO listájában Öröklődés, blokkolás, kikényszerítés Loopback Processing (pl.: TerminalService)

9 Működés 4. Működés (folytatás) Eszközök Automatikusan frissül
A klienseknél 90, DC-knél 5 percenként Manuálisan is frissíthető Vista előtt: Winlogon processz része > egyszer betölthető, ICMP szükséges Eszközök Felügyelet: Gpedit.msc, GPMC Extrák: GP Modeling, GP Results Parancssor: gpupdate, gpresult

10 Még mindig az alapokról…
Nagyon sokat használjuk és nagyon sok mindenre Ahol van Active Directory, ott 90%-nál nagyobb az aktív GP használat (nagyvállalati szegmens) 60%-nál több (középvállalati szegmens) Windows 2000 Professional + Server = ~630 opció Vista SP1+WS08 = több mint 3000 GPMCv2 > Vista SP1 > Remote Server Administration Tools (RSAT) Megjegyzések, All Settings, Szűrés és keresés, Starter GPO Használjuk ki!

11 Vista újdonságok 2. ADMX/ADML - az új sablon
Nyelvfüggetlen, „modern” formátum Több mint 130 fájl + a nyelvi fájlok Central Store > Sysvol bloat Új GP rendszerszolgáltatás Gyors, független, „újratölthető” Network Location Awareness Gyors, intelligens (sávszélesség) ICMP nem kell, automatikus, VPN is

12 Az új sablonformátum ADMX / ADML sablonok Central Store kialakítás

13 Group Policy Preferences
Rengeteg olyan opció amire a kezdetek óta szükségünk lenne Teljesen új modell, nem kötelező, hanem ajánlott beállítások Gépekre és felhasználókra is Elképesztően részletes „targeting” Kliens oldalon spéci bővítmény kell hozzá Client Side Extension, gyárilag csak WS08 Vista RTM, XP, WS03 esetén letölthető Konfliktus esetén a „régi” GP opció nyer

14 Nézzük át együtt! Házirend kategóriák és mappák

15 5 biztonsági beállítás (1.)
Store passwords using reversible encryption Recovery console: Allow floppy copy and access to all drives and all folders Public Key Policies -Encrypted File System Software Restriction Policies Removable Storage Access

16 5 felügyeleti beállítás (2.)
Deployed Printers Policy Based QoS Turn off Local GP objects processing Specify a Custom Active Power Plan Delete user profiles older than a specified number of days on system restart

17 5 hálózati beállítás (3.) Allow BITS Peercaching
Windows Firewall – Domain / Private profiles Link-Layer Topology Discovery Limit disk space used by offline files Always wait for the network at computer startup and logon

18 Biztonság, felügyelet és hálózat

19 5 felhasználói beállítás (4.)
Desktop-Don’t save settings at exit Prevent users from resizing the taskbar Windows Update-Remove access to use all Windows Update features Prevent access the command prompt / registry editing tools Don’t run / Run only specified Windows Application

20 5 vezérlőpult beállítás (5.)
Hide specified Control Panel items Add or Remove Programs - Remove Add or Remove Programs Display – Password protect the screen saver Printers – Browse a common website to find printers Programs - Hide „Set Program Access and Defaults" page

21 5 GPP gép beállítás (6.) Windows Settings – Folders
Windows Settings – Registry Windows Settings – Shortcuts Control Panel Settings – Local Users and Groups Control Panel Settings – Network Options – Add VPN/DUN Connections

22 5 GPP felhasználói beállítás (7.)
Windows Settings – Drive Maps Control Panel Settings – Folder Options Control Panel Settings – Internet Settings (IE5/6 és IE7) Control Panel Settings – Scheduled Tasks Control Panel Settings – Start Menu

23 Felhasználó, vezérlőpult és Group Policy Preferences

24 Hibakeresés és elhárítás
Vista előtt: a részletes hibakeresési napló bekapcsolása HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon REG_DWORD UserenvDebugLevel=30002 A napló helye: %Systemroot%\Debug\ UserMode\Userenv.log „Kissé” nehezen értelmezhető

25 Hibakeresés és elhárítás
Vista ill. újabb OS-ek: Önálló, részletes, eseménynapló kategória Application Logs \ Microsoft \ Windows \ GroupPolicy Alkalmazás \ komponens szint Jól kereshető, szűrhető, másolható Egy konzolról több gép eseményeire is feliratkozhatunk Azért működik a régi módszer is: %Systemroot%\Debug\UserMode\gpsvc.log

26 Hibakeresés és elhárítás
Extra alkalmazás: GPLogView.msi A GP által készített naplókat txt, XML, HTML formátumban exportálja Online napló a „-m” paraméterrel Korábban rögzített .evtx állományok feldolgozása Letölthető (Microsoft Download Center)

27 Group Policy Modelling Hibakeresés és elhárítás

28 10 üzemeltetési tanács Mindenképpen teszteld le az opciók hatását!
Először a GPO-kat csináld meg, és csak eztán kerüljenek be a klienseken a hatókörükbe! A jó cél a kevés GPO, sok összefüggő beállítással! Mentés! Csak óvatosan a „kényszerítés„ és az „blokkolás” lehetőségekkel!

29 10 üzemeltetési tanács Az adminoknak tiltás (Deny) legyen a végrehajtáson! Használd bátran a parancssori eszközöket és a GPMC extrákat! Dokumentálj mindent! Inkább a felhasználói beállításoknál tevékenykedj, mint a számítógépre vonatkozóaknál! Próbáld meg a felhasználók tudomására hozni a „miért” magyarázatát! 

30 Tartalom Röviden az alapokról Vista extrák 7 csoport * 5 beállítás
Hibakeresés és elhárítás 10 üzemeltetési tanács

31

32