-
SVEUILITE U SPLITU
ODJEL ZA STRUNE STUDIJE
STUDIJ RAUNARSTVA
KOLEGIJ UPRAVLJANJE POSLUITELJSKIM RAUNALIMA
Kreiranje korisnikog okruenja koritenjem tehnike korisnikih
grupa
(Group Policy)
Student: Goran Semren
Mentor: Valentini Koica, dipl.ing.
Split, lipanj 2006.
-
2
Sadraj: 1. Uvod u grupna
pravila............................................................................................................................................................
3 2. to su grupna pravila?
............................................................................................................................................................
5
2.1. GPO - Objekt grupnih pravila
......................................................................................................................................
5 2.2. Parametri grupnih
pravila...............................................................................................................................................
7
2.2.1. vorovi konfiguracije raunala i korisnika
............................................................................................................
7 2.2.2. vor Sofware Settings
...........................................................................................................................................
7 2.2.3. vor Windows Settings
.........................................................................................................................................
8 2.2.3. vor Administrative Templates
.............................................................................................................................
8
2.3. Kako grupna pravila utjeu na podizanje
sustava...........................................................................................................
9 2.3. Primjena grupnih
pravila................................................................................................................................................
9
3. Strategija planiranja grupnih pravila
....................................................................................................................................
11 3.1. Planiranje GPO-a
.........................................................................................................................................................
11
3.1.1. Decentralizirani model
GPO-a.............................................................................................................................
11 3.1.2. Centraliziran model
GPO-a..................................................................................................................................
12
3.2. Planiranje administrativne kontrole nad
GPO-ima.......................................................................................................
13 4. Implementiranje GPO-a
.......................................................................................................................................................
14
4.1. Zadaci implementiranja
GPO-a....................................................................................................................................
14 4.1.1. Formiranje
GPO-a................................................................................................................................................
14 4.1.2. Formiranje Microsoftove upravljake konzole za
GPO.......................................................................................
15 4.1.3. Delegiranje administrativne kontrole nad
GPO-om.............................................................................................
15 4.1.4. Konfiguriranje parametara grupnih pravila za GPO
............................................................................................
16 4.1.5. Deaktiviranje neupotrijebljenih parametara grupnih
pravila................................................................................
17 4.1.6. Oznaavanje svih izuzetaka pri obradi
GPO-a.....................................................................................................
18 4.1.7. Filtriranje dometa GPO-a sigurnosnih grupa
.......................................................................................................
18 4.1.8. Povezivanje GPO-a za lokaciju, domenu ili organizacijsku
jedinicu..................................................................
19
4.2. Mijenjanje GPO-a
........................................................................................................................................................
20 4.2.1. Uklanjanje veze
GPO-a........................................................................................................................................
20 4.2.2. Brisanje
GPO-a....................................................................................................................................................
20 4.2.3. Ureivanje GPO-a njegovih parametara
..............................................................................................................
21 4.2.4. Osvjeavanje
GPO-a............................................................................................................................................
21
5. Administriranje grupnih pravila
...........................................................................................................................................
22 5.1. Upravljanje grupnim pravilima pomou alata RSoP
....................................................................................................
22
5.1.1. Resultant Set of Policy (RSoP)
............................................................................................................................
22 5.1.2. Generiranje RSoP upita pomou arobnjaka Resultant Set of
Policy Wizard......................................................
23 5.1.3. Generiranje RSoP upita pomou alata
Gpresult...................................................................................................
25 5.1.4. Generiranje RSoP upita pomou alata Advanced System
Information-Policy.....................................................
25
5.2. Upravljanje posebnim direktorijima pomou grupnih
pravila......................................................................................
26 5.2.1. Preusmjeravanje direktorija
.................................................................................................................................
26
5.3. Otklanjanje pogreaka kod grupnih
pravila..................................................................................................................
27 6. Distribucija programa pomou grupnih
pravila....................................................................................................................
28
6.1. IntelliMirror (Software Installation And Maintenance)
...............................................................................................
28 6.1.1. Proirenje alata Software
Installation...................................................................................................................
28 6.1.2. Add Or Remove
Programs...................................................................................................................................
30 6.1.3. Pristupi uvoenju programa
.................................................................................................................................
31 6.1.4. Distribucija paketa Windows Installer
.................................................................................................................
31
6.2. Distribucija programa pomou grupnih
pravila............................................................................................................
32 7. Kreiranje okruenja na Windows 2003 posluitelju koritenjem
tehnike grupna
pravila..................................................... 35
7.1. Postavljanje neophodnih postavki na serveru za primjenu
grupnih
pravila..................................................................
35 7.1.1. Postavljanje statike IP adrese i prioritetnog DNS servera
..................................................................................
35 7.1.2. Instalacija servisa aktivni imenik
.........................................................................................................................
36
7.2. Kreiranje OU strukture i korisnikih rauna unutar domene
oss.local
.........................................................................
39 7.3. Primjena grupnih pravila na okruenje OSS
................................................................................................................
40
7.3.1. Primjena grupnih pravila na OU
OSS..................................................................................................................
41 7.3.2. Primjena grupnih pravila na OU level 0 (gosti)
...................................................................................................
41 7.3.3. Primjena grupnih pravila na OU level 1
(raunovostvo)......................................................................................
44 7.3.4. Primjena grupnih pravila na OU level 2 (studenti i
profesori)
.............................................................................
46 7.3.5. Primjena grupnih pravila na OU level 3 (poweruser)
..........................................................................................
48 7.3.6. Primjena grupnih pravila na OU level 4
(administrator)......................................................................................
49
8.
Zakljuak..............................................................................................................................................................................
50 9.
Literatura..............................................................................................................................................................................
51
-
3
1. Uvod u grupna pravila
Grupna pravila prvi put pojavljuju se s Windows 2000 sustavom.
Stoga primjena grupnih pravila nije mogua na sustavima starijim od
Windows 2000. Kod sustava starijih od Windows 2000 koriste se
starije tehnologije npr. kod NT 4.0 koristi se tehnologija System
Policy Editor (poledit.exe). Administratorima pruaju mogunost
definiranja postavki, doputenih i nedoputenih radnji za korisnike i
raunala. Za razliku od lokalnih, grupna se pravila mogu koristiti
za uspostavljanje pravila koja e se primjenjivati diljem odreenog
mjesta, domene ili organizacijske jedinice u sustavu Active
Directory-a. Upravljanje temeljeno na pravilima pojednostavljuje
zadatke kao to su operacija auriranja sustava, instalacija
aplikacije, korisniki profili i blokiranje stolnih sustava. Za
administriranje grupnih pravila koristi se konzola Group Policy
Management Console (GPMC), koja omoguuje nove okvire za upravljanje
grupnim pravilima. Uz GPMC grupna pravila postaju mnogo
jednostavnija za uporabu, a to je prednost koja e mnogim
organizacijama omoguiti bolju uporabu sustava aktivnog imenika, te
iskoritavanje njegovih monih upravljakih znaajki.
Grupna pravila se definiraju kao kolekcija parametara
konfiguracije korisnika i raunala koja se mogu vezati za raunala,
lokacije, domene i organizacijske jedinice da bi se definiralo
ponaanje radnih povrina korisnika. Za organiziranje i upravljanje
parametrima grupnih pravila za svaki objekt grupnih pravila (GPO
eng. Group Policy Object) koristi se Group Policy Object
Editor.
Grupna pravila se mogu izgraditi koritenjem decentraliziranog
ili centraliziranog modela. Decentralizirani model koristi osnovni
objekt grupnih pravila primijenjen na domenu, koji sadri parametre
prava za to je mogue vie korisnika i raunala u domeni. Zatim, ovaj
model koristi dodatne objekte grupnih pravila koji su ureeni po
opim zahtjevima svake organizacijske jedinice i primijenjeni na
odgovarajue organizacijske jedinice. Centralizirani model koristi
jedan objekt grupnih pravila koji sadri sve parametre prava za
pridruenu lokaciju, domenu ili organizacijsku jedinicu. Parametri
grupnih pravila se prvo primjenjuju u redoslijedu lokalnih prava
(onih koji su konfigurirani na samom raunalu). Zatim se redom
prijavljuju grupna pravila za lokaciju, domenu i na kraju za
organizacijske jedinice od najvieg vora u hijerarhiji, pa do
organizacijske jedinice koja sadri objekte. Ukoliko se nadreenoj
skupini dodijeli neki parametar grupnih pravila, taj parametar
grupnih pravila se primjenjuje na sve podreene skupine, ukljuujui
objekte korisnika i raunala u skupini. Meutim, ako se podreenoj
skupini naznai parametar grupnih pravila, parametar grupnih pravila
podreene skupine ponitava parametar naslijeen od roditeljskog
objekta.
Kod postavljanja grupnih pravila nude se mnoge opcije. Mogue je:
distribuirati program, mijenjati bazu Registry, preusmjerivati
posebne direktorije, uvesti sigurnosne parametre te osigurati
skripte koje e se izvravati prilikom podizanja ili iskljuivanja
sustava, odnosno prilikom prijavljivanja ili odjavljivanja
korisnika. Postoje dva tipa parametara grupnih pravila: parametri
konfiguracije raunala i parametri konfiguracije korisnika.
Parametri konfiguracije raunala se koriste za postavljanje grupnih
pravila za raunala, bez obzira na to tko se na njih prijavljuje, a
primjenjuju se kad se operacijski sustav podie. Parametri
konfiguracije korisnika se koriste za postavljanje grupnih pravila
za korisnike bez obzira na koje se raunalo korisnik prijavljuje, a
primjenjuju se kada se korisnici prijavljuju na sustav.
Kod primjene grupnih pravila treba znati koje pravilo na kojeg
korisnika primijeniti stoga je potrebno isplanirati grupna pravila.
Postoje tri oblasti planiranja grupnih pravila: planiranje
parametara grupnih pravila, planiranje GPO i planiranje
administrativne kontrole nad GPO-ima kada se planiraju prava, treba
imati na umu kako svaka primjena moe utjecati na slijedee pravo u
nizu. Ukoliko na primjer, imamo prava na nivou domene koja
ograniava
-
4
pristup Control Panelu , a zatim imamo grupna pravila za
organizacijsku jedinicu koja doputa pristup Control Panelu, tada
posljednje pravo pobjeuje i korisnici iz te organizacijske jedinice
moi e pristupiti Control Panelu. Jedan od alata koje pomau u
planiranju izmjena grupnih pravila je Resultant Set of Policy
(RSoP). RSoP ima dva reima: Logging (reim prijavljivanja) za
rjeavanje problema postojeeg skupa prava i Planning (reim
planiranja) za pregledavanje postojeih prava i testiranje novog
skupa prava. Kreiranje RSoP upita nad postojeim grupnim pravilima
korisnika ili objektima raunala koristi se arobnjak Resultant Set
of Policy Wizard, bilo da su prava primijenjena na lokaciju, domenu
ili organizacijsku jedinicu. Takoer je mogue simulirati efekt novih
grupnih pravila na objekte raunala i korisnike.
Diplomski rad je organiziran na nain da je prvo odabrana
tehnologija kreiranja korisnikog okruenja koritenjem tehnike
korisnikih grupa. Tehnologija je predstavljena u dvije cjeline.
Prva cjelina bazirana je na teoriji, a druga je opisana izradom
praktinog rada. Praktini dio diplomskog rada baziran je na okruenje
Odjela za Strune Studije. Pri izradi navedenog dijela, koritena je
platforma Windows 2000 Server. S obzirom na jednostavnost,
kvalitetu te dobru primjenjivost tehnologije, moe se zakljuiti da
ju je relativno lako primijeniti na gotovo sva okruenja.
-
5
2. to su grupna pravila?
Grupna pravila su kolekcija parametara konfiguracije korisnika i
raunala koja odreuju kako programi, mreni resursi i operativni
sustav rade za korisnike i raunala u organizaciji.
Grupna pravila se mogu postaviti za raunala, lokacije, domene i
organizacijske jedinice. Na primjer, koritenjem grupnih pravila
moemo odrediti programe koji su dostupni korisnicima, programe koji
se prikazuju na korisnikovoj radnoj povrini te opcije Start menija.
Iako se grupna pravila ne primjenjuju na grupe, lanstvo u grupi moe
utjecati na promjenu grupnih pravila. Na primjer, ako korisniki ili
raunalni nalog pripada grupi kojoj je izriito uskraena mogunost
primjene grupnih pravila, taj nalog nee primiti grupna pravila.
Ovaj koncept poznat je kao filtriranje dometa GPO-a pomou
sigurnosnih grupa.
2.1. GPO - Objekt grupnih pravila
Da bismo napravili odreenu konfiguraciju radne povrine za
korisnike, pravimo GPO-e, koji predstavljaju kolekcije parametara
grupnih pravila. Svako raunalo koje radi pod Microsoft Windows
Serverom 2003 ima jedan lokalni GPO i moe dodatno biti predmet bilo
kojeg broja nelokalnih GPO-a. Lokalni GPO-i Jedan lokalni GPO uva
se na svakom raunalu bez obzira na to da li je raunalo dio okruenja
aktivnog imenika (eng. Active Directory) ili umreenog okruenja.
Lokalno GPO utjee samo na raunalo na kojem je uskladiten. Budui da
parametre lokalnog GPO-a mogu prenositi nelokalni GPO-i, lokalni
GPO ima najmanji utjecaj ako je raunalo u okruenju aktivnog
imenika. U okruenju koje nije umreeno, parametri lokalnog GPO-a su
vaniji jer ih ne premouju nelokalni GPO-i.
Lokalni GPO uskladiten je na putanji
(%Systemroot%\System32\GroupPolicy). Nelokalni GPO-i Nelokalni
GPO-i prave se u aktivnom imeniku i moraju biti vezani za lokaciju,
domenu ili organizacijsku jedinicu da bi se primijenili na
korisnike, odnosno raunala. Da bismo koristili ne lokalne GPO-e,
morate imati instaliran Windows 2000 ili Windows Server 2003. Kada
se postavi servis aktivni imenik, naprave se dva nelokalna
GPO-a:
Default Domain Policy (pretpostavljena pravila domene) Ovaj GPO
vezan je za domenu i utjee na sve korisnike i raunala u domeni
(ukljuujui raunala koja su kontrolori domena) kroz nasljeivanje
grupnih pravila.
Default Domain Controllers Policy (pretpostavljena pravila
kontrolora domena) Ovaj GPO vezan je za organizacijske jedinice i
uglavnom utjee samo na kontrolore domena, budui da se raunalni
nalozi za kontrolore domena uvaju iskljuivo unutar organizacijskih
jedinica Domain Controllers.
-
6
Nelokalni GPO-i uvaju se na putanji
%Systemroot%\Sysvol\DomainName\ Policies\GPO GUID\Adm, gdje GPO
GUID predstavlja globalni jedinstveni identifikator GPO-a.
GPO vezan za lokaciju utjee na sva raunala unutar lokacije.
Prema tome, GPO se moe primijeniti na vie domena unutar ume, ak i
ako postoji samo kao entitet uskladiten na jednoj domeni i mora se
uitati sa te domene kada klijenti itaju svoja grupna pravila vezana
za lokaciju. Group Policy Object Editor (editor objekata grupnih
pravila) Group Policy Object Editor (GPOE) koristimo za
organiziranje i upravljanje parametrima grupnih pravila u svakom
GPO-u. GPOE za GPO Default Domain Policy prikazan je na slici
2-1.
Slika 2-1: Group Policy Object Editor
Kako emo otvoriti GPOE zavisi od toga gdje elimo primijeniti
grupna pravila. Postoji nekoliko naina za otvaranje GPOE-a.
Primjena GPO-a na to treba napraviti Lokalno raunalo (lokalni
GPO)
Otvorimo lokalni GPO koji je smjeten na lokalnom raunalu.
Drugo raunalo (lokalni GPO)
Otvorimo lokalni GPO koji je uskladiten na mrenom raunalu koje
radi pod Windows Server 2003. Da bismo otvorili MMC konzolu za
lokalni GPO moramo imati administratorske ovlasti.
Lokaciju GPO za lokaciju otvaramo preko Active Directory Sites
And Services.
Domenu ili organizacijsku jedinicu
GPO za domenu otvaramo preko Active Directory Users And
Computers.
-
7
2.2. Parametri grupnih pravila Parametri grupnih pravila sadrani
su u GPO-u i odreuju korisnikovo okruenje radne povrine. Parametre
moemo pogledati u GPOE. Postoje dvije vrste parametara za grupna
pravila: parametri konfiguracije raunala i parametri konfiguracije
korisnika. Oni su obuhvaeni vorovima u GPO-u.
2.2.1. vorovi konfiguracije raunala i korisnika vor Computer
Configuration (konfiguracije raunala) sadri parametre koji se
koriste za postavljanje grupnih pravila za raunala, bez obzira na
to tko se na njih prijavljuje. Parametri konfiguracije raunala
primjenjuju se kada se operacijski sustav inicijalizira. vor User
Configuration (konfiguracije korisnika) sadri parametre koji se
koriste za postavljanje grupnih pravila za korisnike, bez obzira na
koje se raunalo korisnik prijavljuje. Parametri konfiguracije
korisnika primjenjuju se kada se korisnici prijavljuju na sustav. I
vor Computer Configuration i User Configuration obuhvaaju parametre
za instaliranje programa, te parametre za instaliranje i
pristupanje operacijskom sustavu Windows Server 2003 i parametre
baze Registry. Ove parametre sadre vorovi:
Sofware Settings Windows Settings i Administrative
Templates.
Na slici 2-2. prikazani su vorovi Computer Configuration i User
Configuration.
Slika 2-2: vorovi Computer Configuration i User
Configuration
2.2.2. vor Sofware Settings
-
8
vor Software Settings (programske postavke) omoguuje
administratoru distribuciju programa i upravljanje aplikacijama
kroz GPO koji je povezan sa lokacijom aktivnog imenika, domenom ili
organizacijskom jedinicom. Aplikacijama se moe upravljati u jednom
od dva reima: dodijeljeni ili objavljeni. Kada je potrebno da
raunala i korisnici kojima upravlja GPO imaju aplikaciju ona se
dodjeljuje raunalu. Aplikacija se objavljuje kad je potrebno da
bude dostupna korisnicima kojima upravlja GPO, u sluaju da korisnik
zatreba aplikaciju. Aplikaciju nije mogue objaviti raunalima.
2.2.3. vor Windows Settings vor Windows Settings (postavke
windowsa) sadri dodatne vorove Scripts (skripte) i Security
Settings (sigurnosne postavke).
vor Scripts omoguuje da se navedu dva tipa skripta:
podizanje/iskljuivanje sustava (u voru Computer Configuration ) i
prijavljivanje /odjavljivanje (u voru User Configuration). Skripte
za podizanje /iskljuivanje sustava izvravaju se prilikom
ukljuivanja ili iskljuivanja raunala. Skripte za
prijavljivanje/odjavljivanje izvravaju kad se korisnik prijavljuje
na raunalo ili odjavljuje sa raunala. Ukoliko postoji vie
dodijeljenih skripta za prijavljivanje /odjavljivanje ili podizanje
/iskljuivanje sustava korisniku ili raunalu, Windows Server 2003
izvrava skripte redoslijedom od vrha prema dnu. Redoslijed
izvravanja skripta moe se podesiti pomou opcije Properties.
vor Security Settings omoguuje administratoru runo
konfiguriranje sigurnosnih nivoa dodijeljenih lokalnom ili
nelokalnom GPO-u.
Samo u voru User Configuration, direktorij Windows Settings
sadri dodatne vorove:
Remonte Instalations Services (Servisi za udaljeno instaliranje,
RIS)
koristi se za kontroliranje ponaanja udaljene instalacije
operacijskog sustava. Folder Redirection (preusmjeravanje
direktorija) koristi se za
preusmjeravanje posebnih direktorija (Application Internet,
Desktop, My Documents i Start Menu) sa njihove podrazumijevane
lokacije korisnikog profila na alternativnu lokaciju na mrei.
Internet Explorer Maintance (Odravanje internet explorera)
koristi se
za podeavanje Microsoft Internet Explorer-a omoguuje korisniku
na raunalima koja rade pod Windows Serverom 2003.
2.2.3. vor Administrative Templates
-
9
vor Administrative Templates (administrativni predloci) sadri
parametre grupnih pravila koji su zasnovani na bazi Registry.
Unutar Administrative Templates postoji vie od 550 parametara, koji
su na raspolaganju za konfiguriranje korisnikog okruenja. Svaki od
tih parametara moe se podesiti na:
Not Configured (nije konfigurirano) Baza Registry nije
mjenjana.
Enabled (omogueno) - Baza Registry pokazuje da je parametar
grupnih pravila odabran.
Disabled (onemogueno) - Baza Registry pokazuje da je parametar
grupnih
pravila zabranjen.
Parametri u voru Administrative Templates pod vorom Computer
Configuration uvaju se u direktoriju baze Registry
HKEY_LOCAL_MACHINE (HKLM), a parametri u voru Administrative
Templates pod vorom User Configuration uvaju se u direktoriju baze
Registry HKEY_CURRENT_USER (HKCU).
2.3. Kako grupna pravila utjeu na podizanje sustava Kada se
raunalo pokrene i korisnik prijavi, primjenjuju se parametri
konfiguracije sljedeim redoslijedom:
1. Mrea se pokree. Pokreu se Remonte Procedure Call System
Service (RPCSS) i multiple Universal Naming Convention Provider
(MUP)
2. Pribavlja se ureena lista GPO-a za raunalo. 3. Obrauju se
parametri konfiguracije raunala. Ovo se dogaa sljedeim
redoslijedom: lokalni GPO, GPO-i lokacije, GPO-i domena i GPO-i
OU-a (organizacijskih jedinica). Dok se parametri raunala obrauju
ne prikazuje se korisniko suelje.
4. Izvravaju se skriptovi za pokretanje sustava. Ovo je
sakriveno i sinkrono: svaki skript mora se izvriti ili mu mora
istei rok prije nego to se sljedei pokrene.
5. Korisnik pritie Ctrl+Alt+Del da bi se prijavio. 6. Nakon to
se korisnik provjeri uita se korisniki profil ime upravlja
parametar
grupnih pravila. 7. Pribavlja se ureena lista GPO-a za
korisnika. 8. Obrauju se parametri konfiguracije korisnika. Ovo se
dogaa sinkrono i to
sljedeim redoslijedom: : lokalni GPO, GPO-i lokacije, GPO-i
domena i GPO-i OU-a. Dok se parametri raunala obrauju ne prikazuje
se korisniko suelje.
9. Izvravaju se skriptovi za prijavljivanje. Za razliku od
Windows NT 4 skriptova, skriptovi za prijavljivanje zasnovani na
grupnim pravilima izvravaju se skriveno i asinkrono. Posljednji se
izvrava skript objekta korisnika.
10. Pojavljuje se korisniko suelje operacijskog sustava predvien
grupnim pravilima.
2.3. Primjena grupnih pravila
-
10
Budui da se ne lokalni GPO-i primjenjuju hijerarhijski,
konfiguracija korisnika, odnosno raunala, rezultat je GPO-a
primijenjenih na njegovu lokaciju, domenu ili OU. Parametri grupnih
pravila primjenjuju se sljedeim redoslijedom:
1. Lokalni GPO. Svako raunalo koje radi pod Windows Serverom
2003 ima tono jedan uskladiten GPO.
2. GPO-i lokacije. Svi GPO-i koju su vezani za lokaciju
primjenjuju se sljedei. Priprema GPO-a je sinkrona; administrator
odreuje redoslijed GPO-a vezanih za lokaciju.
3. GPO-i domena. Vie GPO-a vezanih za domenu primjenjuju se
sinkrono; administrator odreuje redoslijed GPO-a vezanih za
domenu.
4. GPO-i OU-a(organizacijskih jedinica). Prvo se primjenjuju
GPO-i vezani za OU koji je najvii u hijerarhiji aktivnog imenika,
zatim slijede GPO-i vezani za njegov podreeni OU itd. Na kraju se
primjenjuju GPO-i vezani za OU koji sadri korisnika ili
raunalo.
Ovaj redoslijed znai da se lokalni GPO primjenjuje prvi, a GPO-i
vezani za OU ije je raunalo ili korisnik direktan lan, primjenjuju
se posljednji, preko ranijih GPO-a. Na primjer, postavimo domenski
GPO da bismo omoguili bilo kojem korisniku da se interaktivno
prijavljuje. Meutim GPO OU-a postavljen za kontrolor domena
sprjeava prijavljivanje svih, osim izvjesnih administrativnih
grupa.
-
11
3. Strategija planiranja grupnih pravila Prije implementiranja
grupnih pravila, treba napraviti plan upravljanja tim pravilima.
Moemo planirati parametre grupnih pravila, GPO-e i administrativnu
kontrolu nad GPO-ima da bismo osigurali najdjelotvorniju
implementaciju grupnih pravila za vau organizaciju. Postoje tri
oblasti planiranja grupnih pravila:
Planiranje parametara grupnih pravila potrebnih za raunala i
korisnike na svakoj razini (lokaciji, domeni i OU)
Planiranje GPO-a potrebnih za raunala i korisnike na svakoj
razini (lokaciji,
domeni i OU)
Planiranje administrativne kontrole nad GPO-ima
Precizna i organizirana dokumentacija o parametrima grupnih
pravila i GPO-ima moe dobro doi kada doe do potrebe da ponovno
pogledamo ili izmijenimo nau konfiguraciju grupnih pravila.
3.1. Planiranje GPO-a
Za svaku lokaciju, domenu i OU moramo odrediti kako parametri
grupnih pravila trebaju biti svrstani u GPO-e. Ureenje parametara
grupnih pravila napravimo prema korisnicima i raunalima kojima su
potrebni.
Na slici 3-1. su opisani ovi tipovi GPO-a.
GPO za softver
GPO za scriptove
GPO za sigurnost
Sales
Jednostruki tip pravila
GPO za softversigurnost i scriptove
GPO sa raunalnim parametrima
GPO sa korisnikimparametrima
Sales
Sales
Vies truki t ip pravila
Namjenski tip pravila
Slika 3-1: Tipovi postavljanja GPO-a
3.1.1. Decentralizirani model GPO-a
-
12
Cilj decentraliziranog pristupa GPO-ima (prikazan na slici 3-2.)
je odreeni parametar grupnih pravila ukljuiti u to je manje mogue
GPO-a. Kad je potrebna izmjena, samo se jedan GPO (ili nekoliko
njih) mora izmijeniti da bi se promjena provela. Da bi ste dostigli
ovaj cilj, napravimo osnovni GPO koji e se primjenjivati na domenu
i koji sadri parametre pravila za to je mogue vie korisnika i
raunala u domeni. Npr. osnovni GPO bi mogao sadravati parametre
sigurnosti cjelokupne korporacije, kao to su ogranienja naloga i
lozinki. Zatim napravimo dodatne GPO-e skrojene po zahtjevima
svakog OU-a i primijenimo ih na odgovarajue OU-ove. Ovaj model
najpogodniji je za okruenja u kojima grupe unutar organizacije
imaju zajednike sigurnosne preokupacije u kojima su izmjene grupnih
pravila iste.
Osnovni GPO
GPO East
GPO West
Slika 3-2: Decentralizirani model GPO-a
3.1.2. Centraliziran model GPO-a Cilj centraliziranog pristupa
GPO-ima (prikazan na slici 3-3.) je da se vrlo malo GPO-a (idealno
samo jedan) koristi za bilo kojeg danog korisnika ili raunala. Svi
parametri grupnih pravila trebaju se implementirati unutar jednog
GPO-a. Ako lokacija, domena ili OU posjeduje grupe korisnika ili
raunala sa razliitim zahtjevima grupnih pravila, tada je potrebno
primijeniti GPO na svaku zasebnu OU, umjesto na roditelja. Izmjena
u centraliziranom modelu GPO-a povlai sa sobom vie administracije
nego kod decentraliziranog modela, jer moe biti potrebno da se
parametri izmjene u vie GPO-a, ali je vrijeme prijavljivanja krae.
Ovaj model je pogodan za okruenja u kojima se korisnici i raunala
mogu kvalificirati u mali broj OU-ova za dodjelu pravila.
Bez GPO-a
GPO East
GPO West
Slika 3-3: Centralizirani model GPO-a
-
13
3.2. Planiranje administrativne kontrole nad GPO-ima Kad
planiramo parametre grupnih pravila i GPO-e koji e se koristiti u
organizaciji, treba isplanirati tko e upravljati njima. Odgovarajui
nivo administrativne kontrole moe se delegirati koritenjem modela
administrativne kontrole koji je centraliziran, decentraliziran ili
zasnovan na zadacima. Kod centraliziranog modela administrativne
kontrole administriranje grupnih pravila delegira se samo
administratorima OU-a najvieg nivoa. Administratori OU-a drugog
nivoa nemaju mogunost upravljanja GPO-ima. Kod decentraliziranog
modela administrativne kontrole administriranje grupnih pravila
delegira se administratorima OU-a drugog nivoa. Administratori OU-a
drugog nivoa imaju mogunost upravljanja GPO-ima u svojim OU-ovima
drugog nivoa. Ovo moemo postii dodjeljivanjem dozvole Full Control
administratorima OU-a najvieg nivoa. Kod administrativne kontrole
zasnovane na zadacima administriranje odreenih pravila grupnih
pravila delegira se administratorima koji se bave povezanim
specifinim zadatcima, kao to su sigurnost ili aplikacije. U ovom
sluaju GPO-i se projektiraju tako da sadre samo jedan tip
parametara grupnih pravila.
-
14
4. Implementiranje GPO-a
4.1. Zadaci implementiranja GPO-a
4.1.1. Formiranje GPO-a Prvi korak u implementaciji grupnih
pravila je formiranje GPO-a. Podesimo da GPO
predstavlja kolekciju parametara grupnih pravila. Da bi
formirali GPO, potrebno je napraviti sljedee korake: 1. Odredimo da
li e GPO koji formiramo biti vezan za lokaciju, domenu ili OU.
Zatim uinimo jedno od sljedeeg:
Da bismo napravili GPO vezan za domenu ili OU, otvorimo
Administrative Tools te kliknemo na Active Directory Users and
Computers.
Da bismo napravili GPO vezan za lokaciju, takoer otvorimo
Administrative Tools i kliknemo na Active Directory Sites and
Services.
2. Pritisnemo desnom tipkom mia na lokaciju, domenu ili OU-u za
koju elimo
formirati GPO i potom kliknemo na Properties. 3. U okviru za
dijalog Properties za objekt izaberemo karticu Group Policy. Zatim
na
odabranoj kartici kliknemo na New i upiemo ime koje elimo za
ovaj GPO. Podrazumijeva se, novi GPO vezan je za lokaciju, domenu
ili OU koji je oznaen u MMC konzoli u vrijeme formiranja GPO-a, i
njegovi parametri primjenjuju se na danu lokaciju, domenu ili
OU.
Slika 4-1: Okvir za dijalog Properties za OU OSS, kartica Group
Policy
4. Pritisnemo Close.
-
15
4.1.2. Formiranje Microsoftove upravljake konzole za GPO
Microsoftova upravljaka konzola (Microsoft Managment Console, MMC )
omoguava administriranje i upravljanje aktivnog imenika sa
udaljenih lokacija. Dakle MMC slui za pravljenje, pohranjivanje i
otvaranje administrativnih alata koje nazivamo konzolama. Nakon to
smo formirali GPO, potrebno je za njega napraviti MMC konzolu.
Potom ju moemo otvoriti iz menija Administrative Tools kada je to
potrebno. Da bismo formirali MMC konzolu za GPO, poduzimaju se
sljedei koraci:
1. Kliknemo na Start, a zatim na Run. 2. U okviru za dijalog Run
upiemo MMC u polje Open i potom kliknemo na OK. 3. U novoj MMC
konzoli iz menija File izaberemo Add/Remove Snap-In. 4. U okviru za
dijalog Add/Remove Snap-In kliknemo na Add. 5. U okviru za dijalog
Add Standalone Snap-In odaberemo GPOE i zatim kliknemo
na Add. 6. Na stranici Select Group Policy Object kliknemo na
Browse da bismo pronali
GPO za koji elimo formirati MMC konzolu. 7. U okviru za dijalog
Browse For a Group Policy Object otvorimo karticu All,
izaberemo ime GPO-a i kliknemi na OK. 8. Na stranici Select
Group Pplicy Object kliknemo na Finish, a zatim u okviru za
dijalog Add Standalone Snap-In kliknemo na Close. 9. U okviru za
dijalog Add Remove Snap-In kliknemo na OK. 10. U MMC konzoli iz
menija File, izaberemo Save As. 11. U okviru za dijalog Save As
upiemo ime GPO-a u polje File Name te kliknemo
na Save. GPO je sad dostupan u meniju Administrative Tools.
4.1.3. Delegiranje administrativne kontrole nad GPO-om Nakon to
smo formirali GPO, vano je odrediti koje grupe administratora imaju
pravo pristupa GPO-u. Dozvole koje se podrazumijevaju za GPO-e
prikazane su u sljedeoj tablici. Sigurnosna grupa Podrazumijevane
dozvole Authenticated Users Read, Apply Group Policy, Special
Permissions Group Policy Creator Owners (takoer se prikazuje kao
Creator Owner)
Special Permissions
Domain Administrators Read, Write, Create All Child Objects,
Delete All Child Objects, Special Permissions
Enterprise Administrators Read, Write, Create All Child Objects,
Delete All Child Objects, Special Permissions
Enterprise Domain Controllers Read, Special Permissions System
Read, Write, Create All Child Objects, Delete
All Child Objects, Special Permissions
-
16
Samo grupe Domain Administrator, Enterprise Administrators u
Group Policy Creator Owners, te sam operativni sustav, mogu
formirati nove GPO-e. Ne administrativnim korisnicima ili grupama
moemo dati mogunost formiranja GPO-a tako to emo korisnike ili
grupe dodati u sigurnosnu grupu Group Policy Creator Owners.
lanstvo u grupi Group Policy Creator Owners daje korisniku potpunu
kontrolu samo nad GPO-ima koje korisnik napravi ili su mu
eksplicitno delegirani. Ovo lanstvo ne daje ne administrativnom
korisniku prava nad bilo kojim drugim GPO-ima. Ukoliko
administrator napravi GPO, grupa Domain Administrator postaje
Creator Owner (vlasnik i tvorac) GPO-a.
Za dodavanje sigurnosnih grupa kojima elimo dodijeliti ili
uskratiti administrativni pristup koristi se okvir za dijalog
Properties za odabrani GPO i kartica Security Slika 4-2.
Slika 4-2: Okvir za dijalog Properties za GPO OSS OU, kartica
Security
GPO Default Domain Policy ne moe izbrisati ni jedan
administrator. Time se sprijeava sluajno brisanje tog GPO-a, koji
sadri vane i neophodne parametre za domenu.
4.1.4. Konfiguriranje parametara grupnih pravila za GPO Da bismo
konfigurirali parametre grupnih pravila za GPO, potrebno je
poduzeti slijedee korake:
1. Pristupimo GPOE za GPO. 2. U stablu odaberemo vor koji
predstavlja pravilo koje elimo konfigurirati. 3. U okviru s
detaljima kliknemo desnom tipkom mia na parametar koji elimo
konfigurirati i zatim odaberemo Properties. 4. U okviru za
dijalog Properties (slika 4-3) za parametar grupnih pravila
odaberemo
Enabled da bismo parametar primijenili na korisnike ili raunala
koji podlijeu ovom GPO-u i zatim kliknemo OK. Not Configured znai
da se nee mijenjati baza Registry u pogledu ovog parametra.
Disabled znai da e baza Registry
-
17
ukazivati na to da se parametar ne primjenjuje na korisnike ili
raunala koji podlijeu ovom GPO-u.
Slika 4-3: Okvir za dijalog Properties za pravilo Prohibit
access to the Control Panel
4.1.5. Deaktiviranje neupotrijebljenih parametara grupnih
pravila Ukoliko vor Computer Configuration ili vor User
Configuration imaju samo parametre koji su oznaeni s Not
Configured, onda deaktiviranjem vora moemo izbjei obradu ovih
parametara. Deaktiviranje neupotrijebljenih parametara grupnih
pravila se preporuuje jer poboljava podizanje sustava i
prijavljivanje za one korisnike koji podlijeu danom GPO-u. Da bismo
deaktivirali parametre konfiguracije raunala ili korisnika za GPO,
potrebno je poduzeti slijedee korake:
1. Otvorimo GPOE za GPO. 2. Kliknemo desnom tipkom mia na
korijen vora i zatim izaberemo Properties. 3. Na kartici General u
okviru za dijalog Properties napravimo jedno od slijedeeg:
Da bismo deaktivirali parametre konfiguracije raunala odaberemo
Disable Computer Configuration Settings.
Da bismo deaktivirali parametre konfiguracije raunala odaberemo
Disable User Configuration Settings.
4. Kliknemo na OK.
-
18
4.1.6. Oznaavanje svih izuzetaka pri obradi GPO-a GPO-i se
primjenjuju u skladu s hijerarhijom u servisu aktivnog imenika:
lokalni GPO, GPO-i lokacije, GPO-i domena i GPO-i OU-a. Meutim,
podrazumijevani redoslijed obrade parametara moe se izmijeniti
promjenom redoslijeda GPO-a za objekt, odabiranjem opcije Block
Policy Inheritance, odabiranjem opcije No Override ili aktiviranjem
parametara Loopback.
4.1.7. Filtriranje dometa GPO-a sigurnosnih grupa Postoje dva
naina za filtriranje GPO-a:
Obriemo dozvolu Apply Group Policy (koja je trenutno postavljena
na Allow) za grupu Authenticated Users, ali bez postavljanja ove
dozvole na Deny. Zatim odredimo grupe na koje treba primijeniti GPO
i za njih postavimo dozvole Read i Apply Group Policy na Allow.
Odredimo grupe na koje treba primijeniti GPO i za njih postavimo
dozvolu Apply Group Policy na Deny.
Da bismo filtrirali domet GPO-a, potrebno je poduzeti sljedee
korake: 5. Otvorimo GPOE za GPO. 6. Kliknemo desnom tipkom mia na
korijen vora i zatim izaberemo Properties. 7. U okviru za dijalog
Properties otvorimo karticu Security i izaberemo sigurnosnu
grupu kroz koju e se filtrirati dani GPO. Ukoliko je potrebno
izmijeniti listu sigurnosnih grupa kroz koje e se filtrirati ovaj
GPO, moemo dodati ili izbaciti sigurnosne grupe koristei Add i
Remove.
8. Postavimo dozvole kako je prikazano u sljedeoj tablici i
kliknemo OK. Domet GPO-a Postavke dozvola Rezultat Na lanove ove
sigurnosne grupe treba se primijeniti samo ovaj GPO
Postavimo Apply Group Policy na Allow.
Postavimo Read na Allow
Ovaj GPO se primjenjuje na lanove ove sigurnosne grupe osim ako
su oni lanovi bar jo jedne sigurnosne grupe koja ima dozvolu Apply
Group Policy postavljenu na Deny ili dozvolu Read postavljenu na
Deny, ili obje.
lanovi ove sigurnosne grupe nisu u sklopu primjene ovog
GPO-a
Postavimo Apply Group Policy na Deny.
Postavimo read na Deny.
Ovaj GPO se nikad ne primjenjuje na lanove ove sigurnosne grupe
bez obzira na dozvole koje ovi lanovi imaju u drugim sigurnosnim
grupama.
lanstvo u ovoj sigurnosnoj grupi je nevano u pogledu toga da li
GPO treba primijeniti
Postavimo Apply Group Policy tako da ne bude ni Allow ni
Deny.
Postavimo Read tako da ne bude ni Allow ni Deny.
Ovaj GPO se primjenjuje na lanove ove sigurnosne grupe ako i
samo ako imaju i dozvolu Apply Group Policy i dozvolu Read
postavljene na Allow kao lanovi bar jo jedne sigurnosne grupe. Oni
takoer ne smiju imati dozvole Apply Group Policy i Read
-
19
postavljene na Deny kao lanovi bilo koje druge sigurnosne
grupe.
4.1.8. Povezivanje GPO-a za lokaciju, domenu ili organizacijsku
jedinicu Novi GPO vezan je za lokaciju, domenu ili OU koji je bio
odabran u MMC konzoli u vrijeme formiranja GPO-a. Prema tome,
parametri GPO-a primjenjuju se na tu lokaciju, domenu ili OU.
Meutim ako je potrebno GPO vezati za dodatne lokacije, domene ili
OU-ove, koristi se kartica Group Policy u okviru za dijalog
Properties za lokaciju, domenu ili OU. Da bismo povezali GPO za
lokaciju, domenu ili OU, potrebno je poduzeti sljedee korake:
1. Otvorimo konzolu Active Directory Users and Computers da
bismo GPO povezali za domenu ili OU, odnosno otvorimo konzolu
Active Directory Sites and Servises da bismo GPO povezali za
lokaciju.
2. U konzoli kliknemo desnom tipkom mia na lokaciju, domenu ili
OU za koju treba vezati GPO. Kliknemo na Properties i zatim
kliknemo na karticu Group Policy.
3. U okviru za dijalog Properties za objekt na kartici Group
Policy kliknemo na Add. 4. U okviru za dijalog Add A Group Policy
Object Link (slika 4-4) kliknemo na
karticu All te odaberemo eljeni GPO i zatim kliknemo OK.
Slika 4-4: Kartica All u okviru Add a Group Policy Object Link
5. U okviru za dijalog Properties za lokaciju, domenu ili OU
kliknemo na OK.
-
20
4.2. Mijenjanje GPO-a Zadaci mijenjanja GPO-a su:
Uklanjanje veze GPO-a Brisanje GPO-a Ureivanje GPO-a i njihovih
parametara Osvjeavanje GPO-a
4.2.1. Uklanjanje veze GPO-a Uklanjanjem veze GPO-a, GPO se
odvaja od odreene lokacije, domena ili OU-a. GPO ostaje u servisu
aktivnog imena sve dok se ne obrie. Da bismo uklonili vezu GPO-a,
potrebno je poduzeti sljedee korake:
1. Otvorimo konzolu Active Directory Users and Computers da
bismo uklonili vezu GPO-a s domenom ili OU-om odnosno otvorimo
konzolu Active Directory Sites and Servises da bismo GPO odvojili
od lokacije.
2. U konzoli kliknemo desnom tipkom mia na lokaciju, domenu ili
OU iju vezu s GPO-om treba ukloniti. Kliknemo Properties a zatim na
karticu Group Policy.
3. U okviru za dijalog Propertis za objekt, na kartici Group
Policy, odaberemo GPO iju vezu elimo ukloniti i zatim kliknemo na
Delete.
4. U okviru za dijalog Delete odaberemo Remove The Link From The
List. GPO ostaje u aktivnom imeniku, ali vie nije vezan.
4.2.2. Brisanje GPO-a Ukoliko obriemo GPO, on se uklanja iz
aktivnog imenika i vie ne utjee ni na jednu lokaciju, domenu ili OU
za koje je bio vezan. Da bismo obrisali GPO, potrebno je poduzeti
sljedee korake:
1. Otvorimo konzolu Active Directory Users and Computers da
bismo obrisali GPO s domena ili OU-a, odnosno otvorimo konzolu
Active Directory Sites and Services da bismo obrisali GPO s
lokacije.
2. U konzoli kliknemo desnom tipkom mia na lokaciju, domenu ili
OU-u s kojeg treba obrisati GPO. Kliknemo na Properties i zatim
otvorimo karticu Group Policy.
3. U okviru za dijalog Properties za objekt, na kartici Group
Policy, odaberemo GPO koji elimo obrisati i kliknemo na Delete.
4. U okviru za dijalog Delete kliknemo na Remove The Link And
Delete The Group Policy Object Permanently i zatim na OK. GPO se
uklanja iz aktivnog imenika.
-
21
4.2.3. Ureivanje GPO-a njegovih parametara Da bismo preuredili
GPO, odnosno njegove parametre, potrebno je slijediti procedure za
formiranje GPO-a i za oznaavanje parametara grupnih pravila.
4.2.4. Osvjeavanje GPO-a
Svaki GPO osvjeava se kada ponovno pokrenemo raunalo. Nakon to
izmijenimo parametre unutar GPO-a, oni se osvjeavaju svakih 90
minuta na radnoj stanici ili serveru i svakih 5 minuta na
kontroloru domena. Parametri se takoer osvjeavaju svakih 16 sati,
bez obzira na to da li su nastupile bilo kakve promjene.
Da bismo GPO-e osvjeili, potrebno je poduzeti sljedee korake: 1.
Kliknemo na Start, a zatim na Run. 2. U okviru za dijalog Run u
polju Open upiemo gpupdate i zatim kliknemo na OK.
-
22
5. Administriranje grupnih pravila Najvaniji alat za upravljanje
grupnim pravilima je generiranje rezultirajueg skupa pravila
(Resultant Set of Policies, RSoP). Koritenje ovog alata olakava
implementiranje pravila i otklanjanje greaka kod grupnih pravila.
RSoP moemo koristiti u planiranju parametara grupnih pravila koji
se primjenjuju na korisnika i raunalo. Planiranje strategije
grupnih pravila je neophodno za osiguravanje najefikasnije
implementacije grupnih pravila. Drugi dio efikasnog upravljanja
grupnim pravilima je preusmjeravanje direktorija, to korisnicima
osigurava pristupnu toku za uvanje i traenje informacija. Pomou
vora Folder Rediction u okviru grupnih pravila moemo preusmjeriti
lokaciju za Application Data, Desktop, My Documents, My Pictures i
Start menu.
5.1. Upravljanje grupnim pravilima pomou alata RSoP RSoP
predstavlja ukupni utjecaj Grupnih pravila koja se primjenjuju na
korisnika ili raunalo. Odreivanje RSoP za raunalo ili korisnika moe
predstavljati sloen zadatak. Kod Microsoft Windows Servera 2003
postoji mogunost generiranja RSoP upita kako bi se mogla odrediti
grupna pravila koja se primjenjuju na odreenog korisnika ili
raunalo.
5.1.1. Resultant Set of Policy (RSoP) RSoP je skup pravila koja
se primjenjuju na korisnika ili raunalo, ukljuujui primjenu
filtara, kao to je primjena filtara preko sigurnosnih grupa. Zbog
kumulativnih utjecaja objekata GPO-a, filtara i izuzetaka,
odreivanje RSoP za korisnika ili raunalo moe biti veoma teko. Ali,
mogunost generiranja RSoP upita u okviru Windows Servera 2003
olakava odreivanje RSoP. U okviru Windows Servera 2003 RSoP
mehanizam upita je na raspolaganju za povezivanje postojeih
objekata GPO i izvjetavanje o utjecajima objekata GPO-a na
korisnike i raunala. Mehanizam upita takoer, provjerava sigurnosne
grupe i WMI (Windows Managment Instrumentation) upite koji se
koriste za filtriranje dometa GPO-a i provjerava Software
Instalation za svaku aplikaciju koja je u vezi sa odreenim
korisnikom ili raunalom. Te informacije skuplja baza podataka
objektnog modela za upravljanje zajednikim informacijama (Common
Information Managment Object Model, CIMOM). Kod Windows Server 2003
postoje tri alata za generiranje RSoP upita:
arobnjak Resultant Set of Policy Wizard Alat Gpresult koja se
pokree iz komandne linije Alat Advanced System
Information-Policy
Svaki od ovih alata koristi drugaiju unutranjost i osigurava
drugaije nivoe
informacija RSoP upita.
-
23
5.1.2. Generiranje RSoP upita pomou arobnjaka Resultant Set of
Policy Wizard Windows Server 2003 posjeduje arobnjaka Resultant Set
of Policy Wizard, koji koristi postojee parametre GPO-a za
izvjetavanje o utjecajima objekata GPO na korisnike i raunala.
arobnjak RSoP Wizard koristi dva reima za prijavljivanje RSoP
upita, reim evidentiranja i reim planiranja.
Reim evidentiranja RSoP reim evidentiranja omoguuje nam
pregledanje postojeih parametara objekta GPO, instalacijske
aplikacije programa i sigurnost za raunalni ili korisniki nalog.
Reim evidentiranja koristi se za:
Pronalaenja neuspjenih ili izmijenjenih parametara pravila
Promatranje naina na koji sigurnosne grupe utjeu na parametre
pravila Otkrivanje naina na koji lokalna pravila utjeu na grupna
pravila
Kada radimo upit u reimu evidentiranja, dobijemo izvjee o svakoj
aplikaciji koja je
na raspolaganju za instalaciju, o direktorijima koji e biti
preusmjereni (i mjestima na koja e biti preusmjereni) i svakom
parametru pravila koji e se primijeniti na korisnika ili raunalo,
kao i o utjecaju sigurnosnih grupa na ta pravila.
Reim planiranja RSoP reim planiranja nam omoguuje planiranje
rasta i organizacije. Pomou RSoP
reima planiranja moemo pozvati sljedee objekte GPO-a kako bismo
dobili parametre pravila, aplikacije za instalaciju programa i
sigurnost, te koristiti upite sa WMI filtrima kako bi proitali
hardverska i programska svojstva. Reim planiranja treba koristiti u
sljedeim situacijama:
Ukoliko elimo testirati prioritete u okviru pravila u sluajevima
kada: o Korisnik i raunalo pripadaju razliitim sigurnosnim grupama.
o Korisnik i raunalo pripadaju razliitim jedinicama OU. o Korisnik
i raunalo se premjetaju na novu lokaciju.
Ukoliko elimo simulirati sporu vezu. Ukoliko elimo simulirati
povratnu vezu.
Opcije za RSoP reim planiranja Postoji nekoliko opcija za RSoP
reim planiranja.
Svako od opcija moe se pokrenuti zasebno ili zajedno sa drugim
opcijama. Kako napredujemo pomou arobnjaka pokazivat e se opcije za
reim planiranja sljedeim redoslijedom:
1. Slow network connection Ova opcija simulira sporu vezu. Veza
je spora, ako
je brzina prijenosa podataka manja od brzine koja je navedena u
okviru tog objekta. GPO.
-
24
2. Loopback processing Ova opcija simulira opciju u kojoj je
objektu GPO omogueno podeavanje reima User Group Policy Loopback
Processing Mode, koji se nalazi u okviru konfiguracije raunala ,
Administrative Templates, System, Group Policy. Simulacija se moe
postaviti na Marge ili Replace. Ukoliko izaberemo Marge simulirat
emo dodavanje spiska GPO dobivenog za raunala pri pokretanju
raunala, spisku GPO dobijenom za korisnika. Ukoliko izaberemo
Replace simulirati emo zamjenu spiska GPO za korisnika spiskom GPO
koji je ve dobiven za raunalo pri pokretanju raunala.
3. Site name Ova opcija simulira primjenu podmrea koje se
upotrebljavaju za
pokretanje ili prijavljivanje, ime se omoguuje predvianje RsoP-a
ako se podmrea promjeni.
4. Alternate user and computer locations Ova opcija simulira
primjenu
lokacija koje se izmjenjuju za korisnike i raunala, to omoguuje
predvianje RsoP-a ako se korisnik ili raunalo premjeste.
5. Alternate user and computer security groups Ova opcija
simulira primjenu
sigurnosnih grupa koje se primjenjuju za konfiguriranje
korisnika i raunala, to omoguuje da predvianje RsoP-a koji koristi
sigurnosne grupe za filtriranje GPO dometa.
6. WMI filters for users and computers Ova opcija simulira
koritenje WMI
filtara kao pomoi za definiranje parametara grupnih pravila koji
se primjenjuju, to omoguuje da predvidimo RSoP pomou WMI upita za
filtriranje GPO dometa.
Kreiranje RSoP upita
RSoP upite kreiramo tako to napravimo konzolu RSoP upita, a
zatim ga konfiguriramo pomou arobnjaka Resultant Set Of Policy
Wizard. Takoer postoji mogunost kreiranja RSoP-a upit na osnovu
konzole Active Directoriy Users And Computers ili na osnovu konzole
Active Directory Sites And Srvices. Ukoliko kreiramo RSoP upite na
osnovu konzole Active Directory Users And Computers ili na osnovu
konzole Active Directory Sites And Srvices moramo spremiti upit u
okviru %systemroot%\Documents and Setings\Administrator\Start
Menu\Programs\Administrative Tools kako bi nam bio na raspolaganju.
Kako bismo napravili RSoP upit za postojeeg korisnika i postojee
raunalo moramo biti prijavljeni na lokalno raunalo sa
administratorskim ovlastima za generiranje RSoP upita za domenu ili
OU u okviru kojih se promatrani korisniki ili raunalni nalozi
nalaze.
uvanje RSoP upita i podataka koji se dobiju iz tih upita Nakon
to kreiramo RSoP upit pomou arobnjaka postoji mogunost da se taj
RSoP upit i podatci dobiveni pomou njega spreme. Spremljeni RSoP
upit se moe ponovno upotrijebiti kasnije, za obradu drugog RSoP
upita. Upit se uva na konzoli za RSoP upite. Podaci dobiveni pomou
RSoP upita se arhiviraju u okviru RSoP konzole.
-
25
Prikazivanje RSoP upita Nakon to smo kreirali i spremili RSoP
upit informacije tog upita pojavljuju se na konzoli RSoP upita.
Konzola RSoP upita sadri etiri tipa koji se mogu prikazati. To
su:
o Parametri pojedinanih pravila o Spisak objekata GPO tog upita
o Domet upravljanja tog upita o Informacije o reviziji objekta
GPO
Prikazivanje parametara pojedinanih pravila Rezultati RSoP upita
mogu se
prikazati za razliite tipove parametara pravila u okviru sa
detaljima na konzoli RSoP upita. Rezultati u Windows Settings Okvir
Windows Settings sadri rezultate parametara skriptova, parametre za
Internet Explorer Maintanace i sigurnosne parametre.
5.1.3. Generiranje RSoP upita pomou alata Gpresult Gpresult je
alat koji se pokree i prikazuje u komandnoj liniji. Pored toga,
alat Gpresult osigurava ope informacije o operativnom sustavu,
korisniku i raunalu. Gpresult osigurava sljedee informacije o
grupnim pravilima:
Posljednji trenutak kada su grupna pravila primijenjena i
informacije o kontroloru domena koji je primijenio grupna pravila
za korisnika ili za raunalo;
Kompletan spisak primijenjenih objekata GPO i detalje o tim
objektima, ukljuujui saeti pregled oznaka tipova datoteka koje
svaki objekt GPO sadri;
Parametre baze Registry koji su primijenjeni i detalje o tim
parametrima; Direktoriji koji su preusmjereni i detalje o tim
direktorijima; Informacije o upravljanju programom, ukljuujui
detalje o dodijeljenim i
objavljenim aplikacijama Informacije o kvoti diska; Sigurnosne
parametre protokola za Internet (Internet Protocol, IP);
Skriptove;
5.1.4. Generiranje RSoP upita pomou alata Advanced System
Information-Policy Alat Advanced System Information-Policy nam
omoguuje kreiranje RSoP upita i prikazivanje rezultata tih upita u
vidu HTML izvjea koji se pojavljuju u okviru prozora Help And
Support Center. To izvjee se moe ispisati i moe se sauvati kao
.html datoteka.
-
26
Rezultati RSoP upita generiranog pomou alata Advanced System
Information-Policy su dobiveni preko reima evidentiranja RSoP za
korisnika koji je trenutno prijavljen na raunalo na kojem se upit
izvrava. Izvjee koje je generirano prikazuje informacije o
pravilima za sljedee kategorije:
ime raunala, odgovarajuu domenu i trenutnu lokaciju; korisniko
ime i odgovarajuu domenu; objekti GPO koji su primijenjeni na
promatrano raunalo i korisnika; pripadnost sigurnosnoj grupi za
promatrano raunalo i korisnika; parametri za Microsoft Internet
Explorer; skriptovi: logon, logoff, startup, shutdown; sigurnosni
parametri; instalirani programi; preusmjeravanje direktorija;
parametri baze Registry.
5.2. Upravljanje posebnim direktorijima pomou grupnih pravila
Windows Server 2003 nam omoguava da direktorije koji sadre profile
preusmjeravamo na lokacije u mrei pomou vora Folder Rediction na
konzoli GPOE. Opcija Offline Files korisnicima osigurava pristup
preusmjerenim direktorijima ak i kad nisu povezane sa mreom i moe
se podesiti runo ili pomou vora Offline Folder u okviru Group
Policy.
5.2.1. Preusmjeravanje direktorija Korisnike direktorije
preusmjeravamo kako bi osigurali centraliziranu lokaciju za kljune
direktorije operativnog sustava. Ta centralizirana lokacija koja se
naziva tokom dijeljenja, korisnicima osigurava pristupnu toku za
uvanje i pronalaenje informacija, a administratorima osigurava
upravljanje informacijama. vor Folder Rediction na konzoli GPOE
omoguava nam preusmjeravanje nekih posebnih direktorija na lokacije
na mrei.
Windows 2003 Server omoguava nam preusmjeravanje sljedeih
direktorija: Application Data Desktop My documents My pictures
Start menu
Prednosti preusmjeravanja direktorija
Preusmjeravanje direktorija My documents ima posebne prednosti
zato to se taj direktorij s vremenom znatno uvea.
Ako se korisnik prijavi na neko drugo raunalo na mrei njegovi
dokumenti su mu uvijek na raspolaganju.
Kada se koriste roaming (putujui) profili samo je mrena putanja
do direktorija My documents dio roaming profila, a ne sam
direktorij.
-
27
Tehnologija Offline Files korisnicima osigurava pristup
direktoriju ak i kad nisu povezani s mreom, a posebno je korisna za
korisnike prijenosnih raunala.
Podaci sauvani na dijeljenom mrenom serveru mogu se uvati radi
zatite kao dio upravljanja sustavom preko rutina.
Administrator sustava moe koristiti grupna pravila za
postavljanje kvota diska ograniavajui koliinu prostora koju mogu
zauzeti posebni direktoriji korisnika.
Podaci koji su specifini za korisnika mogu se preusmjeriti na
neki drugi vrsti disk na lokalnom raunalu sa vrstog diska koji uva
datoteke operativnog sustava. Time su korisniki podaci sigurniji u
sluaju da se srui operativni sustav.
5.3. Otklanjanje pogreaka kod grupnih pravila
Kako bi odrali efikasnu konfiguraciju grupnih pravila moramo
imati mogunost otklanjanja pogreaka grupnih pravila. Otklanjanje
pogreaka grupnih pravila obuhvaa koritenje arobnjaka RSoP Wizard
alata koji se pokreu iz komandne linije, kao to su Gpresult i
Gpupdate, alati Event Viewer i log datoteka, za rjeavanje problema
u vezi sa grupnim pravilima.
Kad se pojave problemi, potrebno je napraviti neka testiranja
kako bismo provjerili da li konfiguracija za grupna pravila radi na
odgovarajui nain, kao to su:
Potvrda da se objekti GPO primjenjuju na odgovarajue korisnike i
raunala. Potvrda da se direktoriji koji su konfigurirani za
preusmjeravanje,
preusmjeravaju na odgovarajue mjesto Potvrda da su datoteke i
direktoriji koji su konfigurirani tako da su na
raspolaganju i u offline reimu zaista na raspolaganju kada je
raunalo u ofline.
Takoer trebamo imati mogunost utvrivanja i rjeavanja problema,
kao to su: Objekti GPO se ne primjenjuju. Objektima GPO se ne moe
pristupiti. Stavke u vezi sa nasljeivanjem kod objekata GPO
izazivaju neoekivane
rezultate. Direktoriji nisu preusmjereni ili su preusmjereni na
neoekivano mjesto Datoteke i direktoriji nisu na raspolaganju u
offline reimu. Datoteke nisu sinkronizirane.
Kod Windows Server 2003 postoje sljedei alati za otklanjanje
pogreaka kod grupnih
pravila koji nam pomau pri provjeri konfiguracije, utvrivanju i
rjeavanju problema: Resultant Set Of Policy Wizard Gpresult
Gpupdate Event Viewer Log datoteke
-
28
6. Distribucija programa pomou grupnih pravila Karakteristika
alata IntelliMirror, koja se naziva Software Installation And
Maintenance (instalacija i odravanje programa) je osnovni alat
administratora za upravljanje programom unutar organizacije.
Upravljanje programom pomou alata Software Installation And
Maintenance, omoguava korisnicima neposredan pristup programu koji
im treba za obavljanje poslova i osigurava im lako i dosljedno
iskustvo sa programom.
IntelliMirror koristi se za kreiranje upravljanog programskog
okruenja sa sljedeim karakteristikama:
Da bi korisnici imali pristup aplikacijama koje im trebaju za
obavljanje poslova bez obzira na to s kojeg se raunala prijavljuju
na mreu.
Da bi raunala imala potrebne aplikacije. Da bi aplikacije mogle
biti aurirane, odravane ili uklonjene u skladu s
potrebama organizacije.
6.1. IntelliMirror (Software Installation And Maintenance)
IntelliMirror (Software Installation And Maintenance) radi u spoju
sa grupnim
pravilima i servisom aktivni imenik, uspostavljajui sustav
upravljanja programom koji se zasniva na politici grupe. Kako bi
organizacija uvela program pomou grupnih pravila mora koristiti
operativni sustav Microsoft Windows 2000 Server ili noviji, sa
servisom aktivni imenik i grupnim pravilima na serveru, i
operativnim sustavom Microsoft Windows 2000 Server ili novijim na
klijentskim raunalima.
Alati koji su predvieni za uvoenje programa pomou grupnih
pravila:
Proirenje alata Software Installation Nalazi se na konzoli GPOE
na serveru, a koriste ga administratori za upravljanje
programom.
Add Or Remove Programs Nalazi se u Control Panelu klijentskog
raunala.
Ovu opciju koriste korisnici za upravljanje programom na svojim
raunalima.
6.1.1. Proirenje alata Software Installation
Proirenje alata Software Installation na konzoli GPOE je kljuni
upravljaki alat za uvoenje programa, koji administratorima omoguava
centralno upravljanje
Poetnim uvoenjem programa Nadogradnjama, ispravcima i brzim
popravcima programa Uklanjanjem programa
Pomou proirenog alata Softvare Instalation moe se centralno
upravljati instalacijom
programa na klijentskom raunalu dodjeljivanjem aplikacija
korisnicima ili raunalima. Pa tako administrator dodjeljuje
zahtijevani ili obavezni program korisnicima ili raunalima.
-
29
Administrator objavljuje program koji je korisnicima potreban za
obavljanje poslova. I dodijeljeni i objavljeni program je smjeten u
toci distribucije programa (software distribution point, SDP), na
mrenoj lokaciji sa koje korisnici mogu dobiti program koji im je
potreban.
Dodjela aplikacija Kada se korisniku dodjeljuje aplikacija, ona
se oglaava u okviru Start izbornika kad
se sljedei put korisnik prijavi na radnu stanicu, a lokalni
parametri baze Registry, ukljuujui oznake tipa datoteka, su
aurirani. Oglaavanje aplikacije prati korisnika bez obzira na koje
se raunalo on prijavljuje. Ova aplikacija se instalira kada
korisnik prvi put pokrene aplikaciju na raunalu ili biranjem
aplikacije u izborniku Start ili otvaranjem dokumenta koji je u
vezi s tom aplikacijom.
Kada se aplikacija dodjeljuje raunalu, aplikacija je objavljena
i instalacija se izvodi obino odmah nakon to se raunalo pokrene,
jer nema konkurentnih procesa koji se izvravaju na raunalu.
Dodijeljeni program je u potpunosti instaliran kad se raunalo
sljedei put pokrene.
Objavljivanje aplikacija Kada se korisnicima objavi aplikacija,
ona se ne pojavljuje instalirana na korisnikim
raunalima. Objavljene aplikacije smjetaju svoje atribute
oglaavanja u aktivni imenik. Nakon toga, informacije kao to su
imena aplikacija i veze datoteka izlau se korisnicima u okviru
aktivnog imenika. Aplikacija je raspoloiva za korisnika i on je moe
instalirati pomou opcije Add Or Remove Programs u okviru Control
Panela ili klikom na datoteku koja je vezana s aplikacijom (npr.,
.xls za Microsoft Exsel).
Servis Windows Installer
Proirenje Software Installation koristi servis Windows Installer
za odravanje programa. Servis Windows Installer se izvrava u
pozadini i dozvoljava operacijskom sustavu upravljanje procesom
instaliranja u skladu sa informacijama u okviru paketa Windows
Installer. Paket Windows Installer je datoteka koja sadri
informacije koje opisuju instalirano stanje aplikacije. Kako servis
Windows Installer upravlja stanjem instalacije, on uvijek zna
stanje programa. Ukoliko postoji problem kod instaliranje programa,
Windows Installer moe vratiti raunalo u posljednje dobro stanje
koje je poznato. Windows Installer omoguuje jednostavno ulanjanje
programa kada on vie nije potreban. Na sam servis Windows Installer
utjeu parametri grupnih pravila. Ti parametri se nalaze u voru
Windows Components. Paketi Windows Installer Paket Windows
Installer je datoteka koja sadri eksplicitna upustva za
instaliranje i uklanjanje odreenih aplikacija. Postoje dva tipa
paketa Windows Installer:
Datoteke (.msi) poetnog paketa Windows Installer Ove datoteke su
razvijene kao dio aplikacije i koriste sve prednosti paketa Windows
Installer.
-
30
Datoteke (.msi) prepakovane aplikacije Ove datoteke se koriste
za prepakiranje aplikacija koje nemaju poetni paket Windows
Installer. Iako prepakovani paketi Windows Installer rade isto kao
i poetni paketi Windows Installer, prepakovani paketi Windows
Installer sadre jedan proizvod sa svim komponentama i aplikacijama
koje su povezane s tim proizvodom, a instalirane su kao pojedinane
karakteristike.
Podeavanje paketa Windows Installer Pakete Windows Installer
moemo
podeavati pomou modifikacija. Format paketa Windows Installer
osigurava podeavanje tako to omoguuje transformacije originalnog
paketa pomou alata za autorizaciju i prepakiranje.
Za modifikaciju postojeeg paketa Windows Installer mogue je
koristiti sljedee tipove datoteka:
Transformacine (.mst) datoteke Ove datoteke osiguravaju sredstvo
za
podeavanje instaliranja aplikacije.
Datoteke (.msp) ispravki Ove datoteke se koriste za auriranje
postojeih .msi datoteka za programske ispravke, servisne datoteke i
neke datoteke za auriranje programa, ukljuujui ispravke greaka.
Datoteke aplikacije (.zap) Program moemo uvoditi pomou Software
Installation koristei datoteke aplikacije.
Datoteke aplikacije su tekstualne koje sadre instrukcije o tome
kako objaviti tu aplikaciju, a uzete su iz postojeeg instalacijskog
programa (Setup.exe ili Install.exe). Datoteke aplikacije koriste
datoteku s ekstenzijom .zap. Datoteke .zap treba koristiti kada ne
moemo opravdati razvijanje poetnog paketa Windows Installer radi
kreiranja prepakiranog paketa Windows Installer. Datoteka .zap ne
podrava karakteristiku Windows Installer. Kada uvodimo aplikaciju
pomou datoteke .zap, aplikacija se instalira pomou svog originalnog
programa Setup.exe ili Install.exe. Program moe bit samo objavljen
a korisnici ga mogu izabrati samo pomou opcije Add Or Remove
Programs u okviru Control Panela. Poeljno je datoteke .msi
koristiti za uvoenje Programa pomou grupnih pravila kada god je to
mogue.
6.1.2. Add Or Remove Programs Opcija Add Or Remove Programs u
okviru Control Panela omoguuje korisnicima
instaliranje, modificiranje ili uklanjanje postojee objavljene
aplikacije ili popravljanje oteene aplikacije. Moe se kontrolirati
izbor programa koji e korisnicima biti na raspolaganju u okviru Add
Or Remove Programs u okviru Control Panela pomou parametara grupnih
pravila. Korisnici vie ne trebaju traiti mrenu lokaciju, koristiti
CD-ROM, instalirati, popravljati i nadograivati program.
-
31
6.1.3. Pristupi uvoenju programa S obzirom na to da program moe
biti ili dodijeljen ili objavljen, i usmjeren ka korisnicima ili
raunalima, moemo ustanoviti kombinacije koje mogu funkcionirati,
kako bismo postigli ciljeve upravljanja programom. Detalji s
razliitim pristupima uvoenju programa prikazani su u sljedeoj
tablici.
Pristup uvoenju Objavljivanje (samo za korisnike)
Dodjela (korisnik)
Dodjela (raunalo)
Nakon razvoja, program je na raspolaganju za instaliranje
Sljedei put kada se korisnik prijavi
Sljedei put kada se korisnik prijavi
Sljedei put kada se raunalo pokrene
Obino korisnik instalira program pomou
Opcije Add Or Remove Programs u okviru Control Panela
Izbornika Start ili preice na radnoj povrini
program je ve instaliran (program se automatski instalira kada
se raunalo ponovno pokrene)
Ako program nije instaliran, a korisnik otvara datoteku koja je
povezana s tim programom, da li se program instalira?
Da (ako je ukljuena opcija za automatsko instaliranje)
Da Ne primjenjuje se; program je ve instaliran
Moe li korisnik ukloniti program pomou opcije Add Or Remove
Programs u okviru Control Panela?
Da, i korisnik moe izabrati da ga opet instalira pomou opcije
Add Or Remove Programs u okviru Control Panela
Da, i program je opet na raspolaganju za instaliranje s tipinih
instalacijskih toaka
Ne. Samo lokalni administrator moe ukloniti program; korisnik
moe pokrenuti popravljanje programa
Podrane instalacijske datoteke
Paketi Windows Installer (.msi datoteke), .zap datoteke.
Paketi Windows Installer (.msi datoteke)
Paketi Windows Installer (.msi datoteke)
Modifikacije (.mst ili .msp datoteke) su podeavanja koja se
primjenjuju na pakete Windows Installer. Modifikacija mora biti
primijenjena u vrijeme dodjele ili objavljivanja, a ne u vrijeme
instalacije.
6.1.4. Distribucija paketa Windows Installer Budui da je Windows
Installer dio operacijskog sustava nije bitno kako paketi Windows
Installer dolaze do klijentskih raunala. Ukoliko se program
distribuira veem broju korisnika, a pritom se koristi Windows
Server 2003 i aktivni imenik, a sve radne stanice koriste Windows
2000 Profesional ili noviju verziju, program je mogue distribuirati
pomou grupnih pravila.
-
32
Kod distribucije programa pomou grupnih pravila koristi se model
preuzimanja, koji program stavlja na raspolaganje svim korisnicima
kojima je potreban. Programi se u potpunosti instaliraju kada
korisnik prvi put odabere taj program koji mu je dodijeljen (npr.
MS Word.exe) ili ako izabere datoteku dodijeljenog programa (npr.
dokument.doc). Za distribuciju programa pomou grupnih pravila
potrebna je lokana mrea (Local Area Network, LAN) velike brzine
izmeu klijentskog raunala i servera koji distribuira program.
6.2. Distribucija programa pomou grupnih pravila
Zadaci uvoenja programa pomou grupnih pravila:
Planiranje i priprema distribucije programa Podeavanje toke SDP
Kreiranje objekta GPO i konzole GPO za distribuciju programa
Opisivanje svojstava uvoenja programa za odreeni objekt GPO
Dodavanje paketa Windows Installer objektu GPO i izbor naina za
distribuciju
paketa Planiranje i priprema distribucije programa Prije nego to
se pone sa distribucijom programa pomou grupnih pravila, potrebno
je isplanirati distribuciju. Kod planiranja distribucije programa
treba:
Provjeriti programske potrebe na osnovu cijele organizacijske
strukture unutar aktivnog imenika i raspoloivih objekata GPO.
Odrediti nain na koji e se distribuirati potrebne aplikacije.
Napraviti sustave za testiranje naina na koje e se distribuirati
program
korisnicima i raunalima. Pripremiti program koristei format koji
omoguuje upravljanje i testiranje
svih paketa Windows Installer.
Podeavanje toke SDP (software distribution point)
Nakon to je isplanirano upravljanje programom, sljedei korak je
kopiranje programa na jednu ili vie toaka SDP, tj. mrenih mjesta sa
kojih korisnici mogu dobiti program koji im je potreban.
Za podeavanje toke SDP, potrebno je napraviti sljedei
postupak:
1. Na file serveru kreirati direktorije za program koji e se
predstavljati toke SDP i napraviti dijeljene (share) direktorije
(npr. \\servername\sharname).
2. Smjestiti ili kopirati program, pakete, modifikacije, sve
potrebne datoteke i komponente, na toku SDP.
3. Podesiti odgovarajue dozvole za direktorije. Administratorima
treba podesiti pravo s kojim imaju potpunu kontrolu (Full contorl),
a korisnicima treba dodijeliti pravo itanja ili izvoenja (Read)
datoteka iz dijeljenog direktorija i toke SDP.
-
33
Kreiranje objekta GPO i konzole GPO za distribuciju programa
Nakon podeavanja toke SDP potrebno je kreirati GPO i MMC konzolu
za GPO. Postupak je objanjen u 4. poglavlju u odlomcima 4.1.1. i
4.1.2.
Opisivanje svojstava distribucije programa za odreeni objekt GPO
U ovom postupku definiraju se podrazumijevani parametri za sve
pakete Windows Installer u objektu GPO u okviru za dijalog Software
Installation Properties, koji se sastoji od sljedeih kartica:
General, Advenced, File Exstensions i Categories.
Na karticama General i Advenced navodi se nain na koji elimo
distribuirati i upravljati svim paketima Windows Installer u
objektu GPO.
Na kartici File Exstensions navodi se koju e aplikaciju
korisnici instalirati pri izboru datoteke sa nepoznatom oznakom
tipa. Takoer, mogue je konfigurirati prioritet za instaliranje
aplikacija kada je vie aplikacija povezano sa nepoznatom oznakom
tipa datoteke.
Na kartici Categories mogue je oznaiti kategorije za
organiziranje dodijeljenih ili objavljenih aplikacija kako bi
korisnicima olakali pronalaenje aplikacije unutar opcije Add Or
Remove Programs.
Neki parametri unutar opcije Software Installations Properties
mogu se podesiti na nivou paketa mjenjanjem opcije Properties za
odreeni paket Windows Installer. Dodavanje paketa Windows Installer
objektu GPO i izbor naina za distribuciju paketa
U ovom koraku potrebno je specificirati programske aplikacije
koje treba distribuirati pomou paketa Windows Installer u GPO, te
specificirati kako se paket distribuira, da li je dodijeljen ili
objavljen.
Za dodavanje paketa Windows Installer objektu GPO i odabir naina
distribucije programa, potrebno je napraviti sljedee korake:
1. Otvoriti konzolu za distribuciju programa. U voru Computer
Configuration ili User Configuration otvoriti Software
Settings.
2. Desnom tipkom mia kliknuti na Software Installation, odabrati
New i zatim
kliknuti na Package. 3. U prozoru Open, u spisak File Name
unijeti UNC putanju
(\\servername\sharename) do toke SDP za pakete Windows Installer
(.msi datoteke) i kliknuti na Open.
4. U prozoru Deploy Software potrebno je izabrati jednu od
opcija:
Published, ako elimo objaviti paket Windows Installer. Assigned,
ako elimo dodjeliti paket Windows Installer. Advanced, ako elimo
podesiti paket Windows Installer.
-
34
5. Kliknuti na OK. Ukoliko je prethodno odabrana opcija
Published ili Assigned
paket Windows Installer je dodan GPO-u. Ukoliko je odabrana
ocija Aedcanced, otvara se prozor Properties za paket Windows
Installer u kojem je mogue podesiti parametre paketa Windows
Installer, kao to su opcije i modifikacije distrribucije.
Podeavanjem paketa Windows Installer mogue je podesiti distribuciju
svake aplikacije.
-
35
7. Kreiranje okruenja na Windows 2003 posluitelju koritenjem
tehnike grupna pravila
U nastavku ovog diplomskog rada demonstrirati emo kreiranje
okruenja na Windows 2003 posluitelju koritenjem tehnike grupna
pravila.
Da bi uope mogli kreirati okruenje na Windows 2003 posluitelju
potrebno je imati instalacijski CD-ROM za Windows Server 2003 i
raunalo koje zadovoljava performanse potrebne za instalaciju
Windows Server 2003 operacijskog sustava.
Minimalne performanse koje raunalo mora imati su: Kompletan
hardver koji se koristi mora biti na spisku hardvera kompatibilnog
s
Microsoftovim Windows Serverom 2003 i zadovoljavati zahtjeve
navedene na adresi
http://www.microsoft.com/windowsserver2003/evaluation/sysreqs/default.mspx
Minimalni CPU: 32-bitni procesor na 733 MHz Minimalni RAM: 128
MB Prostor na disku potreban za instalaciju: 2,0 GB CD-ROM ili
DVD-ROM jedinica Monitor koji podrava rezoluciju 800 x 600
(preporuuje se 1024 x 768) Napomena u nastavku ovog praktinog rada
polazimo od toga da je na raunalu ve
instaliran operacijski sustav Windows Server 2003.
7.1. Postavljanje neophodnih postavki na serveru za primjenu
grupnih pravila
Kako bi mogli primijeniti grupna pravila na neko okruenje
potrebno je prethodno
postaviti statiku IP adresu, prioritetni DNS server i
instalirati aktivni imenik na eljeni server.
7.1.1. Postavljanje statike IP adrese i prioritetnog DNS
servera
Prije nego to instaliramo aktivni imenik na server potrebno je
postaviti statiku IP adresu i prioritetni DNS server. Za
postavljenje statike IP adrese i prioritetnog DNS servera potrebno
je napraviti slijedei postupak:
1. U izborniku Start izaberemo Network Connections. 2. Desnom
tipkom mia kliknemo na Local Area Connections, a zatim iz
padajueg
izbornika izaberemo Properties.
3. U okviru Local Area Connections Properties, na kartici
General izaberemo Internet Protocol (TCP/IP), a zatim kliknemo na
Properties.
-
36
4. U okviru za dijalog Internet Protocol (TCP/IP) Properties
(slika 7-1), izaberemo
Use The Following IP Adress. Da bismo odredili statiku IP adresu
za DNS server, upiemo IP adresu u polje IP Adress, masku podmree u
polje Subnet Mask te podrazumijevanu IP adresu u polje Default
Gateway.
slika 7-1: Okvir za dijalog Internet Protocol (TCP/IP)
Properties s upisanim vrijednostima
5. Izaberemo dugme Use The Following DNS Server Adresses, a
zatim u polje
Preferred DNS Server upiemo adresu prioritetnog DNS servera. Ako
elimo, moemo odrediti Alternate DNS server kojeg server treba
upotrijebiti u sluaju da ne bude primao odgovor od prioritetnog
servera.
6. Kliknemo na OK.
7.1.2. Instalacija servisa aktivni imenik
Postoji nekoliko naina za instalaciju servisa aktivnog imena:
Pomou arobnjaka Active Directory Instalations Wizard Pomou datoteke
s odgovorima kako bi se instaliranje obavilo bez nadzora Pomou mree
ili medija s rezervnom kopijom Pomou arobnjaka Configure Your
Server
Za instalaciju aktivnog imenika u ovom sluaju instalacija se
izvodi pomou arobnjaka Active Directory Instalations Wizard. Kako
bi instalirali aktivni imenik potrebno je napraviti slijedee
korake.
-
37
1. Za pokretanje arobnjaka Active Directory Instalations Wizard
kliknemo na Start, zatim Run i upiemo naredbu za pokretanje dcpromo
te kliknemo na OK.
2. Na stranici Welcome To Active Directory Instalations Wizard
kliknemo na Next. 3. Na stranici Operating System Compatibility
kliknemo na Next. 4. Na stranici Domain Controller Type (slika
7-2), izaberemo Domain Controller For a
New Domain i kliknemo na Next.
slika 7-2: arobnjak Active Directory Instalations Wizard
stranica Domain Controller Type
5. Na stranici Create New Domain izaberemo Domain In A New
Forest, i kliknemo na Next.
6. Na stranici New Domain Name (slika 7-3), u polje Full DNS
Name For A New Domain upiemo ime domene "OSS.local" i kliknemo na
Next.
slika 7-3: arobnjak Active Directory Instalations Wizard
stranica New Domain Name
-
38
7. Na stranici NetBIOS Domain Name upotrijebiti emo
podrazumijevano NetBIOS ime
u ovom sluaju to je "OSS" i kliknuti na Next. 8. Na stranici
Database and Log Folders upiemo lokaciju za bazu podataka
aktivnog
imenika u polje Database Folder, a dnevnik aktivnog imenika u
polje Log Folder. Preporuljivo je Database Folder i Log Folder
staviti na odvojene NTFS diskove. Zatim kliknemo na Next.
9. Na stranici Shared Syistem Volume, upiemo lokaciju
direktorija Sysvol u polje Folder Location. Shared Syistem Volume
mora biti smjeten na particiji koja je NTFS formatirana. Zatim
kliknemo na Next.
10. Na stranici DNS Registration Diagnostics, kako jo nismo
instalirali DNS, izaberemo opciju Install And Configure The DNS
Server On This Computer, i kliknemo na Next.
11. Na stranici Permissions (slika 7-4), odaberemo opciju
Permissions compatible only whit Windows 2000 or Windows Server
2003 operating systems i kliknemo na Next.
slika 7-4: arobnjak Active Directory Instalations Wizard
stranica Permissions
12. Na stranici Directory Services Restore Mode Administrator
Password, upiemo lozinku koju elimo dodijeliti administratoru
domene i kliknemo na Next.
13. Na stranici Summary, moemo pogledati sve opcije koje smo
prethodno izabrali. Nakon to prekontroliramo izabrane opcije
kliknemo na Next.
14. I kad se pojavi stranica Completing The Active Directory
Installation Wizard kliknemo na Finish, a zatim Restart Now.
15. Nakon ponovnog pokretanja raunala pojavljuje se stranica
This Server Is Now A Domain Controller, i kliknemo na Finish.
Aktivni imenik je sada instaliran na serveru.
-
39
7.2. Kreiranje OU strukture i korisnikih rauna unutar domene
oss.local
Da bismo mogli formirati parametre grupnih pravila i skriti neke
objekte, potrebno je
kreirati organizacijske jedinice. U ovom sluaju kreirati emo
glavnu OU (OSS) unutar koje emo kreirati etiri sigurnosne razine
OU-a i nazvati ih level 0, , level 4, te im dodati korisnike (Slika
7-5).
slika 7-5: Kreirana struktura OU unutar domene oss.local
Za kreiranje OU strukture prikazane na slici 7-2, potrebno je
izvriti slijedee korake: 1. Kliknemo na Start, Administrative Tools
i zatim izaberemo Active Directory Users
And Computers. 2. Desnom tipkom mia kliknemo na domenu
(oss.local). Iz padajueg izbornika
odaberemo New, a zatim Organizational Unit (slika 7-6).
slika 7-6: Active Directory Users And Computers
-
40
3. U okviru New Object Organizational Unit (slika 7-7) upiemo
ime nove organizacijske jedinice koju emo nazvati OSS i kliknemo na
OK.
Slika 7-7: Okvir za dijalog New Object - Organizational Unit
Nakon kreiranja OU-a OSS, potrebno je ponoviti prethodni
postupak za sve ostale OU-e (level 0, level 1, level 2, level 3,
level 4). Jedina razlika je u tome to se ostale OU umjesto u domeni
kreiraju u organizacijskoj jedinici OSS.
Da bi OU bile potpune, kreiraju se korisniki rauni. U ovom
sluaju to su sljedei:
Gost za OU level 0 Referada za OU level 1 Student za OU level 2
Poweruser za OU level 3 Administrator za OU level 4
7.3. Primjena grupnih pravila na okruenje OSS
Nakon instaliranja aktivnog imenika, te kreiranja OU-e za
primjenu grupnih pravila,
preostalo je formiranje GPO-a i MMC konzole za GPO. Postupak je
objanjen u 4. poglavlju u odlomcima 4.1.1. i 4.1.2.
Kreiramo GPO-e za OU-e i MMC konzole za GPO-e te ih nazovemo
redom: OSS za OU OSS, level 0 za OU level 0 level 1 za OU level 1
level 2 za OU level 2 level 3 za OU level 3 level 4 za OU level
4
-
41
7.3.1. Primjena grupnih pravila na OU OSS Na OU OSS potrebno je
primijeniti pravilo aktivne radne povrine, s kojim je konfigurirana
pozadina (wallpaper). Ovo pravilo se odnosi i na ostale OU-e (level
0, , level 4) budui da je OU OSS roditelj tih OU-a. Podrazumijeva
se da svaki korisnik koji se prijavi na domenu ima istu pozadinu na
raunalu.
Potrebno je uiniti slijedee: 1. Pokrenemo MMC konzolu OSS 2.
Otvorimo OSS [server-2003.oss.local] Policy User Configuration
Administrative Templates Desktop Active Desktop 3. Unutar
direktorija Active Desktop podesimo pravila:
Enable Active Desktop Enable Active Desktop Wallpaper Enable
(i u polje Wallpaper Name upiemo putanju do eljene pozadine koju
smo prethodno spremili na lokaciju
\\server-2003\slika\oss1.JPG)
4. Za premjetanje My Documents direktorija za sve korisnike
domene na D:\
particiju potrebno je otvoriti OSS [server-2003.oss.local]
Policy User Configuration Windows Setings Folder Redirection.
Desnom tipkom mia kliknemo na My Documents i iz padajueg izbornika
izaberemo Properties, te na kartici Target podesimo slijedee:
Za polje Setting izaberemo Advaced Specify locations for various
user groups
U okviru Security Group Membership kliknemo na Add za dodavanje
grupe korisnika (OSS\Domain Users) i odreivanje nove lokacije na
kojoj e se direktorij My Documents nalaziti
D:\Documents\%Username%\My Documents
7.3.2. Primjena grupnih pravila na OU level 0 (gosti) OU level 0
je razina s najmanjim pravima, emo koristiti za gost korisnike.
Dozvoljeno im je koritenje Internet Explorera koji se sam pokree
prilikom prijave korisnika na domenu.
Potrebno je uiniti slijedee:
1. Pokrenemo MMC konzolu level 0 2. Za onemoguavanje Windows
Installer otvorimo level 0 [server-2003.oss.local]
Policy Computer Configuration Administrative Templates Windows
Components Windows Installer i podesimo pravilo:
Disable Windows Installer Enabled
-
42
3. Za onemoguavanje upotrebe pisaa otvorimo level 0
[server-2003.oss.local] Policy Computer Configuration
Administrative Templates Printers i podesimo pravilo:
Allow printers to be published Disabled
4. Za preusmjeravanje Start Menu direktorija za sve korisnike na
istu lokaciju otvorimo level 0 [server-2003.oss.local] Policy User
Configuration Windows Setings Folder Redirection. Desnom tipkom mia
kliknemo na Start Menu i iz padajueg izbornika izaberemo
Properties, te na kartici Target podesimo slijedee:
Za polje Setting izaberemo Basic redirect everyone`s folder to
the same location
Za polje Target Folder Location izaberemo Redirect to the
following location
U polje Root Path upiemo UNC putanju do mjesta na koje elimo
preusmjeriti direktorij (\\Server-2003\gost\Start Menu). Prethodno
smo napravili dijeljeni gost direktorij.
5. Za zabranu koritenja diskovnih particija i Windows+X hotkeys
mogunosti
potrebno je otvoriti level 0 [server-2003.oss.local] Policy User
Configuration Administrative Templates Windows Components Windows
Explorer i podesiti slijedea prava:
Hide these specified drives in My Computer Enabled (Restrict all
drives)
Prevent access to drives from My Computer Enabled (Restrict all
drives)
Turn off Windows+X hotkeys Enabled
6. Za organiziranje Start menija potrebno je otvoriti (slika
7-8) level 0 [server-2003.oss.local] Policy User Configuration
Administrative Templates Start Menu and Taskbar i podesiti slijedea
prava:
Remove user's folders from the Start Menu Enabled Remove links
and access to Windows Update Enabled Remove common program groups
from Start Menu Enabled Remove My Documents icon from Start Menu
Enabled Remove Documents menu from Start Menu Enabled Remove
programs on Settings menu Enabled Remove Network Connections from
Start Menu Enabled Remove Favorites menu from Start Menu Enabled
Remove Search menu from Start Menu Enabled Remove My Pictures icon
from Start Menu Enabled Remove My Music icon from Start Menu
Enabled Remove My Network Places icon from Start Menu Enabled
Remove Help menu from Start Menu Enabled Remove Run menu from Start
Menu Enabled Add Logoff to the Start Menu Enabled Remove and
prevent access to the Shut Down command Enabled Remove
Drag-and-drop context menus on the Start Menu Enabled Prevent
changes to Taskbar and Start Menu Settings Enabled Remove access to
the context menus for the taskbar Enabled Do not keep history of
recently opened documents Enabled
-
43
Clear history of recently opened documents on exit Enabled Turn
off personalized menus Enabled Turn off user tracking Enabled Lock
the Taskbar Enabled Force classic Start Menu Enabled Remove Balloon
Tips on Start Menu items Enabled Remove pinned programs list from
the Start Menu Enabled Remove frequent programs list from the Start
Menu Enabled Remove All Programs list from the Start menu Enabled
Remove the "Undock PC" button from the Start Menu Enabled Remove
user name from Start Menu Enabled Hide the notification area
Enabled Do not display any custom toolbars in the taskbar Enabled
Remove Set Program Access and Defaults from Start menu Enabled
Slika 7-8: Group Policy za Level 0 vor Start Menu and
Taskbar
7. Za organiziranje i izgled radne povrine potrebno je otvoriti
level 0 [server-2003.oss.local] Policy User Configuration
Administrative Templates Desktop i podesiti slijedea prava:
Remove My Documents icon on the desktop Enabled Remove My
Computer icon on the desktop Enabled Remove Recycle Bin icon from
desktop Enabled Remove Properties from the My Documents context
menu Enabled Remove Properties from the My Computer context menu
Enabled Remove Properties from the Recycle Bin context menu Enabled
Hide My Network Places icon on desktop Enabled Don't save settings
at exit Enabled Remove the Desktop Cleanup Wizard Enabled
8. Za zabranu koritenja Control Panela potrebno je otvoriti
level 0 [server-2003.oss.local] Policy User Configuration
Administrative Templates Control Panel i podesiti slijedee
pravilo:
Prohibit access to the Control Panel Enabled
-
44
9. Za zabranu ili dozvolu koritenja aplikacija potrebno je
otvoriti level 0 [server-
2003.oss.local] Policy User Configuration Administrative
Templates System i podesiti slijedea prava:
Prevent access to the command prompt Enabled Run only allowed
Windows applications Enabled
(i dodamo Iexplore.exe u listu aplikacija koji imaju dozvolu
z