Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Csoportházirend „Áldás az Adminisztrátornak….”. 1 Áldás az Adminisztrátornak… Átok a felhasználónak? A Csoportházirend: “ Az adminisztrátor egy kívánsága.

Hasonló előadás


Az előadások a következő témára: "Csoportházirend „Áldás az Adminisztrátornak….”. 1 Áldás az Adminisztrátornak… Átok a felhasználónak? A Csoportházirend: “ Az adminisztrátor egy kívánsága."— Előadás másolata:

1 Csoportházirend „Áldás az Adminisztrátornak….”

2 1 Áldás az Adminisztrátornak… Átok a felhasználónak? A Csoportházirend: “ Az adminisztrátor egy kívánsága a felhasználói környezetről, amelyet a rendszer következetesen érvényre juttat.” –“ A diákok ne tudják elállítani a felbontást ” –“ A tanárok ki tudják kapcsolni a gépeket ” –“ A diákrendszergazdák tudják állítani a hálózati beállításokat ”

3 2 Az „Örökség” A házirend első megjelenése: –Windows NT® 4.0 –A házirend tartomány szinten jut érvényre –Kizárólag korlátozásra használható –Kitetoválja a felhasználói profilokat A „barátságos” házirend: –Windows 2000 –A házirend hierarchikus, több szinten érvényre jutó –Lazább kapcsolási módok –Nem csak korlátozó típusú –Nincs profiltetoválás

4 3 Lehetőségeink manapság A házirend legkorszerűbb megjelenése: –Windows Server 2003 –Több, mint 200 új házirend beállítás szoftverfuttatást tiltó házirendek terminálszolgáltatás házirendek DNS beállítások hibajelentések központosítása Netlogon házirendek –Új eszközök komplex feladatokhoz WMI szűrők eredő házirend kiszámítás/tervezés csoportházirend műveletek felügyelete

5 4 Csoportházirend objektum Két részből áll: –Számítógép jellemzők –Felhasználó jellemzők Vannak beállítások, melyek mindkét részben megjelennek Mivel egy objektumon mindkét jellemzőt állítani tudjuk (és fel is dolgozódna) érdemes a semmiképp nem érvényre jutókat tiltani (DEMO)

6 5 Tervezési fázis Elsőként a legtöbb felhasználóra érvényesülő beállításokat adjuk meg Felhasználók szinten: –Vezérlőpultról elemek tiltása, elvétele: Ne tudja a felbontást/színmélységet megváltoztatni Vagy Számítógép szinten: –Internet beállítások: Proxy beállítások Automatikus kiegészítés jelszómentés tiltása

7 6 Tervezési fázis Finomítjuk a beállításokat, a Diákok további korlátozásai, míg a Tanárok, Titkárságra ez nem vonatkozik –Ne tudja a hálózatot elkonfigurálni A fájlkiszolgálón: –Profilméret korlátozása (pl.)

8 7 Hozzárendelési szabályok A hozzárendelési szabályok követik az AD struktúráját (SDOU) –A beállítások öröklődnek és összeadódnak A feldolgozás sorrendje is az AD struktúrán alapul, lefelé haladva dolgozódnak fel, mindig a felhasználóhoz legközelebbi szervezeti egység értékelődik ki utoljára Átlapolás esetén mindig a később definiált jut érvényre (3 érték: engedélyezve, tiltva, nem definiált)

9 8 „Szabályáthágási” lehetőségek NINCS FELÜLÍRÁS –Ebben az esetben a házirend által szabályozott beállításokat nem lehet az alsóbb szinteken megváltoztatni BLOKKOLÁS –Lehetőség van az öröklődést egy szinten blokkolni, ez azt jelenti hogy „tiszta lappal” indulunk Kérdés: Mi van a kettő kombinálása esetén?

10 9 Tervezési fázis A Diákrendszergazdáknak viszont kell hálózat- és felbontás állítási jog Mivel a Diákok OU alatt vannak, ezért itt az öröklött jogok gondot jelentenek: Két megoldás: –Közvetlen „visszaírjuk” –Blokkolunk

11 10 Tervezési fázis Ha viszont blokkolunk, akkor a teljes eddigit elvesztjük, pedig csak a Diákokét akarjuk. Megoldás????? Megoldás: a Domain szintű erőltetése FONTOS: –Ne bonyolítsuk túl !!!! –Ha lehet korlátozzuk: Öröklődés-blokkolást Nincs felülírást

12 11 Tippek, trükkök Vigyázzunk a sorrendre! Egy gpo több házirendhez kapcsolása Valaki kizárása ACL-el WMI szűrő GPUpdate GPResult

13 12 „New School” módszerek Group Policy Management Console Válasz a következő problémákra (Windows 2000 Server GP): Nehezen menedzselhető –A kezelő felület nem túl jól áttekinthető –Fontos alapfunkciók hiányoztak A GPO beállítások megjelenítése Mentés/visszaállítás Import/Export Az effektív hatás megértése, áttekintése és tervezése körülményes volt

14 13 Group Policy Man. Console Ingyenesen letölthető Nincsenek licencelési megkötések Windows 2003 vagy Windows XP –Az XP-n.NET FW szükséges Kezelhetők vele: –Natív Windows 2000-es –Natív Windows 2003-as –Vegyes Windows 2000/2003-as tartományokban

15 14 Tippek, trükkök Valaki kizárása ACL-el Egy gpo több házirendhez kapcsolása WMI szűrő (DEMO?) GPUpdate GPResult

16 15 Néhány praktikus beállítás Rendszerbeállítások –Vezérlőpult letiltása –Meghatározott helyi meghajtók elrejtése –Képernyő beállítások (felbontás, képernyővédő) –Windows Installer tiltása Felhasználóhoz köthető –Profilt helyileg nem mentjük (kis winchester) –Zárolás eltávolítása

17 16 Néhány praktikus beállítás 2. Explorer beállítások –Proxy számítógépenkénti megadása –Internet csatlakozás varázsló tiltása –Automatikus kiegészítés nem menti a jelszót –Kapcsolatok lap tiltása

18 17 További beállítások PolicySettings.xls - Group Policy Settings Reference (with Windows XP SP2): s.aspx?familyid=7821c32f-da15-438d- 8e cd2bc14&displaylang=en s.aspx?familyid=7821c32f-da15-438d- 8e cd2bc14&displaylang=en Az összes házirend beállítás neve, elérése és leírása

19 18 Elérési utak Vezérlőpult letiltása: –Felhasználói konfig. \ Felügyeleti sablonok \ Vezérlőpult \ A Vezérlőpult elérésének tiltása Proxy beállítás: –Számítógép konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Internet Explorer \ Proxybeállítások számítógépenkénti megadása (felhasználónkénti helyett)

20 19 Elérési utak Automatikus kiegészítés jelszómentés funkciójának tiltása: –Felhasználói konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Internet Explorer \ Automatikus kiegészítés jelszómentés funkciójának tiltása Hálózati konfigolás tiltása: –Felhasználói konfig. \ Felügyeleti sablonok \ Hálózat \ Hálózati kapcsolatok \ Helyi hálózati kapcsolat tulajdonságaihoz való hozzáférés tiltása

21 20 Elérési utak Profilméret korlátozása: –Felhasználói konfig. \ Felügyeleti sablonok \ Rendszer \ Felhasználói profilok \ Profilméret korlátozása Meghajtók elrejtése: –Felhasználói konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Windows Intéző \ A megadott meghajtók elrejtése a Sajátgépben

22 21 Elérési utak Képernyő beállítások tiltása: –Felhasználói konfig. \ Felügyeleti sablonok \ Vezérlőpult \ Képernyő A Beállítások lap elrejtése A Képernyőkímélő lap elrejtése Windows Installer tiltása: –Számítógép konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Windows Installer \ A Windows Installer tiltása

23 22 Elérési utak Központi profil tárolásának tiltása helyileg: –Számítógép konfig. \ Felügyeleti sablonok \ Rendszer \ Felhasználói profilok \ Központi profilok gyorsítótárba helyezett példányának törlése VIGYÁZAT! Ha engedélyezzük ezt, akkor a ha nem lehet letölteni a központi profilt, vagy csak lassan töltődik le, akkor nem tud bejelentkezni a helyi gépre, csak ha letöltődött a profil. Ez csak kis kapacitású winchestereknél ajánlott

24 23 Elérési utak Zárolás tiltása: –Felhasználói konfig. \ Felügyeleti sablonok \ Rendszer \ Ctrl+Alt+Del beállíásai \ Számítógép zárolása parancs eltávolítása Internet csatlakozás varázsló tiltása: –Felhasználói konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Internet Explorer \ Az Internetcsatlakozás varázsló tiltása

25 24 Elérési utak Kapcsolatok lap eltávolítása –Felhasználói konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Internet Explorer \ Internet Vezérlőpult \ A Kapcsolatok lap letiltása Csoportházirend frissítések: –Számítógép konfig. \ Felügyeleti sablonok \ Rendszer \ Csoportházirend \ Számítógépek csoportházirendjének frissítési időköze –Felhasználói konfig. \ Felügyeleti sablonok \ Rendszer \ Csoportházirend \ Felhasználók csoportházirendjének frissítési időköze

26 25 Kérdések ?


Letölteni ppt "Csoportházirend „Áldás az Adminisztrátornak….”. 1 Áldás az Adminisztrátornak… Átok a felhasználónak? A Csoportházirend: “ Az adminisztrátor egy kívánsága."

Hasonló előadás


Google Hirdetések