Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Csoportházirend Vistával
„Gyakorlat teszi a mestert!” Oláh István BME Automatizálási és Alkalmazott Informatikai Tanszék MSDN Kompetenciaközpont
2
Tartalom Röviden az alapokról Vista extrák 7 csoport * 5 beállítás
Hibakeresés és elhárítás 10 üzemeltetési tanács
3
Röviden az alapokról Csoportházirend (Group Policy)
Tartományban a kliens OS-ek és alkalmazások paramétereinek beállítása, központilag, testreszabottan Windows NT 4.0: System Policy Windows 2000-től: Group Policy Helyi házirend (Local Group Policy) Az elv ugyanaz, de csak az adott gépre érvényes a hatókör Lényegesen kevesebb opció
4
Vista újdonságok 1. Teljesértékű Helyi házirend (LGPO)
A helyi gépnek (mint eddig is) Admin vagy nem Admin helyi csoportoknak Bármelyik helyi felhasználónak! A felhasználók VAGY az Admin VAGY a nem-Admin csoportra vonatkozó házirendet kapják Gál Tamás, TechNet november 22.
5
Mire használjuk? Biztonsági beállítások, jogosultságok, hozzáférés szabályzás, EFS, tanúsítványok, rendszerszolgáltatások Hálózati beállítások, mappa átirányítás, eseményekhez köthető szkriptek, profilok, szinkronizálás IE, Office, Desktop, Windows tűzfal, Defender, korlátozások / központi beállítások Szoftvertelepítés, publikálás, hozzárendelés …
6
Működés 1. Működés A hozzárendelés alapja a GPO (Group Policy Object), részei: GPC (Group Policy Container)- címtár, konfigurációs információk, tulajdonságok GPT (Group Policy Template)- SYSVOL, a végrehajtás részletei Manuálisan szerkesztjük a tartalmát a sablonok (.adm, .admx) segítségével A kliens oldali lebonyolítás pedig a Client Side Extensions (CSE - *.dll) segítségével történik
7
Működés 2. Működés (folytatás) Felügyeleti sablonok Egyéb sablonok
Registry alapú, a legtöbb opció itt van Egyéb sablonok 2x2 fő házirend ág Felügyeleti (user + computer) Egyéb - Biztonsági beállítások, szkriptek, szoftvertelepítés (user + computer) + Prefences (user + computer)
8
Működés 3. Működés (folytatás) Hatókör: Site, Domain és OU
Hozzárendelés, hivatkozás Több GPO is érvényesülhet egy felhasználóra/számítógépre Gyári alapértelmezett: Domain, DC Sorrend: L-S-D-O; Sorrend2: a legfelső az adott objektum GPO listájában Öröklődés, blokkolás, kikényszerítés Loopback Processing (pl.: TerminalService)
9
Működés 4. Működés (folytatás) Eszközök Automatikusan frissül
A klienseknél 90, DC-knél 5 percenként Manuálisan is frissíthető Vista előtt: Winlogon processz része > egyszer betölthető, ICMP szükséges Eszközök Felügyelet: Gpedit.msc, GPMC Extrák: GP Modeling, GP Results Parancssor: gpupdate, gpresult
10
Még mindig az alapokról…
Nagyon sokat használjuk és nagyon sok mindenre Ahol van Active Directory, ott 90%-nál nagyobb az aktív GP használat (nagyvállalati szegmens) 60%-nál több (középvállalati szegmens) Windows 2000 Professional + Server = ~630 opció Vista SP1+WS08 = több mint 3000 GPMCv2 > Vista SP1 > Remote Server Administration Tools (RSAT) Megjegyzések, All Settings, Szűrés és keresés, Starter GPO Használjuk ki!
11
Vista újdonságok 2. ADMX/ADML - az új sablon
Nyelvfüggetlen, „modern” formátum Több mint 130 fájl + a nyelvi fájlok Central Store > Sysvol bloat Új GP rendszerszolgáltatás Gyors, független, „újratölthető” Network Location Awareness Gyors, intelligens (sávszélesség) ICMP nem kell, automatikus, VPN is
12
Az új sablonformátum ADMX / ADML sablonok Central Store kialakítás
13
Group Policy Preferences
Rengeteg olyan opció amire a kezdetek óta szükségünk lenne Teljesen új modell, nem kötelező, hanem ajánlott beállítások Gépekre és felhasználókra is Elképesztően részletes „targeting” Kliens oldalon spéci bővítmény kell hozzá Client Side Extension, gyárilag csak WS08 Vista RTM, XP, WS03 esetén letölthető Konfliktus esetén a „régi” GP opció nyer
14
Nézzük át együtt! Házirend kategóriák és mappák
15
5 biztonsági beállítás (1.)
Store passwords using reversible encryption Recovery console: Allow floppy copy and access to all drives and all folders Public Key Policies -Encrypted File System Software Restriction Policies Removable Storage Access
16
5 felügyeleti beállítás (2.)
Deployed Printers Policy Based QoS Turn off Local GP objects processing Specify a Custom Active Power Plan Delete user profiles older than a specified number of days on system restart
17
5 hálózati beállítás (3.) Allow BITS Peercaching
Windows Firewall – Domain / Private profiles Link-Layer Topology Discovery Limit disk space used by offline files Always wait for the network at computer startup and logon
18
Biztonság, felügyelet és hálózat
19
5 felhasználói beállítás (4.)
Desktop-Don’t save settings at exit Prevent users from resizing the taskbar Windows Update-Remove access to use all Windows Update features Prevent access the command prompt / registry editing tools Don’t run / Run only specified Windows Application
20
5 vezérlőpult beállítás (5.)
Hide specified Control Panel items Add or Remove Programs - Remove Add or Remove Programs Display – Password protect the screen saver Printers – Browse a common website to find printers Programs - Hide „Set Program Access and Defaults" page
21
5 GPP gép beállítás (6.) Windows Settings – Folders
Windows Settings – Registry Windows Settings – Shortcuts Control Panel Settings – Local Users and Groups Control Panel Settings – Network Options – Add VPN/DUN Connections
22
5 GPP felhasználói beállítás (7.)
Windows Settings – Drive Maps Control Panel Settings – Folder Options Control Panel Settings – Internet Settings (IE5/6 és IE7) Control Panel Settings – Scheduled Tasks Control Panel Settings – Start Menu
23
Felhasználó, vezérlőpult és Group Policy Preferences
24
Hibakeresés és elhárítás
Vista előtt: a részletes hibakeresési napló bekapcsolása HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon REG_DWORD UserenvDebugLevel=30002 A napló helye: %Systemroot%\Debug\ UserMode\Userenv.log „Kissé” nehezen értelmezhető
25
Hibakeresés és elhárítás
Vista ill. újabb OS-ek: Önálló, részletes, eseménynapló kategória Application Logs \ Microsoft \ Windows \ GroupPolicy Alkalmazás \ komponens szint Jól kereshető, szűrhető, másolható Egy konzolról több gép eseményeire is feliratkozhatunk Azért működik a régi módszer is: %Systemroot%\Debug\UserMode\gpsvc.log
26
Hibakeresés és elhárítás
Extra alkalmazás: GPLogView.msi A GP által készített naplókat txt, XML, HTML formátumban exportálja Online napló a „-m” paraméterrel Korábban rögzített .evtx állományok feldolgozása Letölthető (Microsoft Download Center)
27
Group Policy Modelling Hibakeresés és elhárítás
28
10 üzemeltetési tanács Mindenképpen teszteld le az opciók hatását!
Először a GPO-kat csináld meg, és csak eztán kerüljenek be a klienseken a hatókörükbe! A jó cél a kevés GPO, sok összefüggő beállítással! Mentés! Csak óvatosan a „kényszerítés„ és az „blokkolás” lehetőségekkel!
29
10 üzemeltetési tanács Az adminoknak tiltás (Deny) legyen a végrehajtáson! Használd bátran a parancssori eszközöket és a GPMC extrákat! Dokumentálj mindent! Inkább a felhasználói beállításoknál tevékenykedj, mint a számítógépre vonatkozóaknál! Próbáld meg a felhasználók tudomására hozni a „miért” magyarázatát!
30
Tartalom Röviden az alapokról Vista extrák 7 csoport * 5 beállítás
Hibakeresés és elhárítás 10 üzemeltetési tanács
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.