„Áldás az Adminisztrátornak….” Csoportházirend „Áldás az Adminisztrátornak….”

Áldás az Adminisztrátornak… Átok a felhasználónak? A Csoportházirend: “ Az adminisztrátor egy kívánsága a felhasználói környezetről, amelyet a rendszer következetesen érvényre juttat.” “A diákok ne tudják elállítani a felbontást” “A tanárok ki tudják kapcsolni a gépeket” “A diákrendszergazdák tudják állítani a hálózati beállításokat”

Az „Örökség” A házirend első megjelenése: A „barátságos” házirend: Windows NT® 4.0 A házirend tartomány szinten jut érvényre Kizárólag korlátozásra használható Kitetoválja a felhasználói profilokat A „barátságos” házirend: Windows 2000 A házirend hierarchikus, több szinten érvényre jutó Lazább kapcsolási módok Nem csak korlátozó típusú Nincs profiltetoválás

Lehetőségeink manapság A házirend legkorszerűbb megjelenése: Windows Server 2003 Több, mint 200 új házirend beállítás szoftverfuttatást tiltó házirendek terminálszolgáltatás házirendek DNS beállítások hibajelentések központosítása Netlogon házirendek Új eszközök komplex feladatokhoz WMI szűrők eredő házirend kiszámítás/tervezés csoportházirend műveletek felügyelete

Csoportházirend objektum Két részből áll: Számítógép jellemzők Felhasználó jellemzők Vannak beállítások, melyek mindkét részben megjelennek Mivel egy objektumon mindkét jellemzőt állítani tudjuk (és fel is dolgozódna) érdemes a semmiképp nem érvényre jutókat tiltani (DEMO)

Tervezési fázis Elsőként a legtöbb felhasználóra érvényesülő beállításokat adjuk meg Felhasználók szinten: Vezérlőpultról elemek tiltása, elvétele: Ne tudja a felbontást/színmélységet megváltoztatni Vagy Számítógép szinten: Internet beállítások: Proxy beállítások Automatikus kiegészítés jelszómentés tiltása

Tervezési fázis Finomítjuk a beállításokat, a Diákok további korlátozásai, míg a Tanárok, Titkárságra ez nem vonatkozik Ne tudja a hálózatot elkonfigurálni A fájlkiszolgálón: Profilméret korlátozása (pl.) Lkvota: Profil: Diak-Felh/Rend/FProf

Hozzárendelési szabályok A hozzárendelési szabályok követik az AD struktúráját (SDOU) A beállítások öröklődnek és összeadódnak A feldolgozás sorrendje is az AD struktúrán alapul, lefelé haladva dolgozódnak fel, mindig a felhasználóhoz legközelebbi szervezeti egység értékelődik ki utoljára Átlapolás esetén mindig a később definiált jut érvényre (3 érték: engedélyezve, tiltva, nem definiált) Lkvota: Profil: Diak-Felh/Rend/FProf

„Szabályáthágási” lehetőségek NINCS FELÜLÍRÁS Ebben az esetben a házirend által szabályozott beállításokat nem lehet az alsóbb szinteken megváltoztatni BLOKKOLÁS Lehetőség van az öröklődést egy szinten blokkolni, ez azt jelenti hogy „tiszta lappal” indulunk Kérdés: Mi van a kettő kombinálása esetén? Lkvota: Profil: Diak-Felh/Rend/FProf

Tervezési fázis A Diákrendszergazdáknak viszont kell hálózat- és felbontás állítási jog Mivel a Diákok OU alatt vannak, ezért itt az öröklött jogok gondot jelentenek: Két megoldás: Közvetlen „visszaírjuk” Blokkolunk Lkvota: Profil: Diak-Felh/Rend/FProf

Tervezési fázis Ha viszont blokkolunk, akkor a teljes eddigit elvesztjük, pedig csak a Diákokét akarjuk. Megoldás????? Megoldás: a Domain szintű erőltetése FONTOS: Ne bonyolítsuk túl !!!! Ha lehet korlátozzuk: Öröklődés-blokkolást Nincs felülírást Lkvota: Profil: Diak-Felh/Rend/FProf

Tippek, trükkök Vigyázzunk a sorrendre! Egy gpo több házirendhez kapcsolása Valaki kizárása ACL-el WMI szűrő GPUpdate GPResult

„New School” módszerek Group Policy Management Console Válasz a következő problémákra (Windows 2000 Server GP): Nehezen menedzselhető A kezelő felület nem túl jól áttekinthető Fontos alapfunkciók hiányoztak A GPO beállítások megjelenítése Mentés/visszaállítás Import/Export Az effektív hatás megértése, áttekintése és tervezése körülményes volt

Group Policy Man. Console http://www.microsoft.com/grouppolicy Ingyenesen letölthető Nincsenek licencelési megkötések Windows 2003 vagy Windows XP Az XP-n .NET FW szükséges Kezelhetők vele: Natív Windows 2000-es Natív Windows 2003-as Vegyes Windows 2000/2003-as tartományokban

Tippek, trükkök Valaki kizárása ACL-el Egy gpo több házirendhez kapcsolása WMI szűrő (DEMO?) GPUpdate GPResult

Néhány praktikus beállítás Rendszerbeállítások Vezérlőpult letiltása Meghatározott helyi meghajtók elrejtése Képernyő beállítások (felbontás, képernyővédő) Windows Installer tiltása Felhasználóhoz köthető Profilt helyileg nem mentjük (kis winchester) Zárolás eltávolítása

Néhány praktikus beállítás 2. Explorer beállítások Proxy számítógépenkénti megadása Internet csatlakozás varázsló tiltása Automatikus kiegészítés nem menti a jelszót Kapcsolatok lap tiltása

További beállítások PolicySettings.xls - Group Policy Settings Reference (with Windows XP SP2): http://www.microsoft.com/downloads/details.aspx?familyid=7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en Az összes házirend beállítás neve, elérése és leírása

Elérési utak Vezérlőpult letiltása: Proxy beállítás: Felhasználói konfig. \ Felügyeleti sablonok \ Vezérlőpult \ A Vezérlőpult elérésének tiltása Proxy beállítás: Számítógép konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Internet Explorer \ Proxybeállítások számítógépenkénti megadása (felhasználónkénti helyett)

Elérési utak Automatikus kiegészítés jelszómentés funkciójának tiltása: Felhasználói konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Internet Explorer \ Automatikus kiegészítés jelszómentés funkciójának tiltása Hálózati konfigolás tiltása: Felhasználói konfig. \ Felügyeleti sablonok \ Hálózat \ Hálózati kapcsolatok \ Helyi hálózati kapcsolat tulajdonságaihoz való hozzáférés tiltása

Elérési utak Profilméret korlátozása: Meghajtók elrejtése: Felhasználói konfig. \ Felügyeleti sablonok \ Rendszer \ Felhasználói profilok \ Profilméret korlátozása Meghajtók elrejtése: Felhasználói konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Windows Intéző \ A megadott meghajtók elrejtése a Sajátgépben

Elérési utak Képernyő beállítások tiltása: Windows Installer tiltása: Felhasználói konfig. \ Felügyeleti sablonok \ Vezérlőpult \ Képernyő A Beállítások lap elrejtése A Képernyőkímélő lap elrejtése Windows Installer tiltása: Számítógép konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Windows Installer \ A Windows Installer tiltása

Elérési utak Központi profil tárolásának tiltása helyileg: Számítógép konfig. \ Felügyeleti sablonok \ Rendszer \ Felhasználói profilok \ Központi profilok gyorsítótárba helyezett példányának törlése VIGYÁZAT! Ha engedélyezzük ezt, akkor a ha nem lehet letölteni a központi profilt, vagy csak lassan töltődik le, akkor nem tud bejelentkezni a helyi gépre, csak ha letöltődött a profil. Ez csak kis kapacitású winchestereknél ajánlott

Elérési utak Zárolás tiltása: Internet csatlakozás varázsló tiltása: Felhasználói konfig. \ Felügyeleti sablonok \ Rendszer \ Ctrl+Alt+Del beállíásai \ Számítógép zárolása parancs eltávolítása Internet csatlakozás varázsló tiltása: Felhasználói konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Internet Explorer \ Az Internetcsatlakozás varázsló tiltása

Elérési utak Kapcsolatok lap eltávolítása Csoportházirend frissítések: Felhasználói konfig. \ Felügyeleti sablonok \ Windows-összetevők \ Internet Explorer \ Internet Vezérlőpult \ A Kapcsolatok lap letiltása Csoportházirend frissítések: Számítógép konfig. \ Felügyeleti sablonok \ Rendszer \ Csoportházirend \ Számítógépek csoportházirendjének frissítési időköze Felhasználói konfig. \ Felügyeleti sablonok \ Rendszer \ Csoportházirend \ Felhasználók csoportházirendjének frissítési időköze

Kérdések ?