Rozwiązania natychmiastowe na stronie:
Łączenie zasad grupowych (Group Policy) ze strukturą Active Directory
Konfigurowanie przystawki Zarządzanie zasadami grupowymi (Group Policy Management)
Tworzenie obiektu zasad grupowych (Group Policy Object)
Edycja obiektu zasad grupowych
Nadawanie użytkownikowi prawa do logowania się lokalnie (log -on locally) na kontrolerze domeny
Zarządzanie zasadami grupowymi
Dodawanie lub przeglądanie obiektu zasad grupowych
Ustanawianie dziedziczenia i zastępowania (override) zasad grupowych
Wyłączanie części obiektu zasad grupowych (GPO)
Dołączanie obiektu zasad grupowych (GPO) do wielu lokacji (Ssites), domen i jednostek organizacyjnych (OUs)
Administrowanie zasadami korzystającymi z Rejestru (Registrybased registry-based policies)
Przygotowywanie skryptów
Ustawianie odpowiednich uprawnień dla poszczególnych członków grup zabezpieczeń (Security security Ggroup filtering)
Dopasowanie zasad (policies) do danego komputera za pomocą przetwarzania sprzężenia zwrotnego (loopback processing)
Konfigurowanie zasad inspekcji (audit policy)
Zasady grupowe w systemie Windows 2000 służą do określania ustawień poszczególnych użytkowników i komputerów, członków odpowiednich grup. W rozdziale 2. opisano krótko przystawkę (snap-in) konsoli MMC (Microsoft Management CConsole) EEdytor Zasad Zasad Grupowych Grupowych (Group Policy EEditor), służącą do tworzenia konfiguracji właściwych dla danego komputera lub ustanawiania zasad grupowych (Group Policyy) dla poszczególnych grup użytkowników i komputerów. Zasady grupowe (Group Policyy) są zawarte w obiektach zasad grupowych (Group Policy Objects -— GPOs). Obiekty te kontrolują zasady grupowe (Group Policies) dotyczące obiektów Active Directory, takich jak lokacje (sites), domeny czy jJednostki organizacyjne (OUs), z którymi są związane.
Za pomocą EEdytora Zasad Zasad Grupowych Grupowych (Group Policy EEdditor) można określić ustawienia dla następujących elementów:
· ZZasady Oprogramowania Oprogramowania (Software Policies) — Ww ich skład wchodzą ustawienia Rejestru dotyczących zasad grupowych (Group Policy) dla składników systemu Windows 2000 i aplikacji,.
· SSkrypty (ScriptsScripts) — Oobejmują uruchamianie i zamykanie systemu oraz logowanie i wylogowywanie,.
· OOpcje Zarządzania Oprogramowaniem (Software Management Options) — Ookreślają, które aplikacje są dostępne dla użytkowników. Dotyczy to zarówno aplikacji opublikowanych, (published applications) jak również takich, które są przypisane do konkretnymch komputeromów,.
· DDokumenty i Ustawienia Użytkownika (UUser Documents and Settings) — Sstosowane do instalowania plików na komputerach plików, które mają być są dostępne na danym komputerze lub tylko dla konkretnych użytkowników, oraz służą do określenia folderów specjalnych, takich jak Moje dokumenty (My My Documentsdocuments),.
· UUstawienia Zabezpieczeń (SSecurity Settings) — Sstosowane są do określania środowiska pracy użytkownika lub grupy. System wyegzekwuje (enforce) zasady zdefiniowane za pomocą tych ustawień.
Stosowanie zasad grupowych (Group Policy) daje następujące korzyści:
· Iintegracja z usługami Active Directory i korzystanie z narzędzi (facilities) systemowych Active Directory,
· Mmożliwość scentralizowanego lub zdecentralizowanego zarządzania opcjami zasad (policy options),.
· Eelastyczność ioraz możliwości rozbudowy oraz możliwość i stosowania wielu różnych scenariuszy implementacji zarówno dla małych przedsiębiorstw, jak i wielkich firm,.
· Pproste, zintegrowane narzędzia do zarządzania zasadami,.
· EeEdytor zasad Zasad grupowych Grupowych (Group Policy EeEditor), przystawkę (snap-in) konsoli MMC, która jest rozszerzeniem innych narzędzi administracyjnych Active Directory, takich jak przystawki Menedżer Active Directory (Active Directory ManagermManager), Menedżer Active Directory Lokacje i uUsługi (Active Directory Site sSite and Services sServices ManagermManager) oraz Zarządzanie komputerem Komputerem (Computer cComputer ManagementmManagement),.
· Mmożliwość przekazania przez administratora kontroli nad obiektami GPO.
Można zróżnicować zasady grupowe, ustalając odpowiednio członkostwo w grupach zabezpieczeń i nadając odpowiednie uprawnienia na liście kontroli dostępu (Access Control List -— ACL). Edytor lListy kKontroli dDostępu (ACL eEditor) zostałW rozdziale 2 opisano krótko opisany w rozdziale 2., natomiast Edytor listy kontroli dostępu (ACL Editor), w niniejszym rozdziale edytor ten będzie omówiony zostanie dokładniej.
Nadanie uprawnień ACL umożliwia szybkie przetwarzanie obiektów GPO i pozwala na zastosowanie zasad grupowych (Group Policy) do grup zabezpieczeń (security groups). Stosując listy kontroli dostępu (ACL) i grupy zabezpieczeń, można modyfikować zakres obiekty GPO.
Zasady systemowe (system policies) są ustawieniami zapisanymi w Rejestrze, które określają zachowanie różnych składników systemu komputerowego. W systemie Windows NT 4 ustawienia dotyczące użytkowników i komputerów, dokonane za pomocą eEEdytora zasad Zasad systemowych Systemowych (System Policy eEEditor), zapisane są w bazie danych Rejestru systemu Windows NT. Za pomocą eEEdytora zasad Zasad systemowych Systemowych (System Policy EeEditor) można utworzyć zasady systemowe (System Policy) do kontrolowania środowiska pracy użytkownika i jego działań oraz narzucenia konfiguracji systemu. W systemie Windows 2000 wprowadzono EEdytor zasad Zasad grupowych Grupowych (Group Policy EeEditor), narzędzie, które rozszerza zakres funkcjonalny EEdytora zasad Zasad systemowych Systemowych (System Policy eEEditor) i daje większe możliwości konfigurowania ustawień dla poszczególnych elementów w grupach użytkowników i komputerów. Zasady grupowe (Group Policies) określają różne składniki środowiska użytkownika, którymi mają zarządzać administratorzy systemu. Są to ustawienia dotyczące oprogramowania (software Software settingsSettings), opcje instalowania aplikacji, skryptów, ustawień dotyczących użytkowników, opcje dokumentów i ustawienia zabezpieczeń.
Po określeniu ustawień zasad grupowych (Group Policy), są one zapisywane w obiekcie GPO, który z kolei jest związany z wybranym obiektem Active Directory (lokacja, domena lub jednostka administracyjna). Domyślnie zasady grupowe (Group Policy) stosuje się do wszystkich komputerów i użytkowników w wybranym kontenerze Active Directory. Jednakże można filtrować (filter) zasady grupowe (Group Policy) oparte na członkostwie użytkowników lub komputerów w grupach zabezpieczeń systemu Windows 2000. Do filtrowania (filter) wpływuów (effects) zasad grupowych (Group Policy) korzysta się ze standardowego edytora Edytora listy Listy kontroli Kontroli dostępu Dostępu (ACL eEEditor). Można również za pomocą uprawnień znajdujących się na liście kontroli dostępu (ACL) przekazać (delegować) korzystanie z eEEdytora zasad Zasad grupowych Grupowych (Group Policy EeEditor).
Na rysunku 3.1. przedstawiono relację pomiędzy zasadami grupowymi (Group Policy) a usługami Active Directory.
Site -— lokacja
Mydomain.com
Domain boundary -— granica domeny
Slow -— wolny
Yourdomain.com
Rysunek 3.1. Zasady grupowe (Group Policy) zastosowane do lokacji (sites), domen i jednostek organizacyjnych (OUs).
Rozpatrując sytuację z rysunku 3.1., należy wziąć pod ...
b.senni