Csoportházirend II.
2004/08/05 19:59
2263 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A Csoportházirend beépülő modul (MMC) segítségével a számítógépekre és a felhasználókra vonatkozó házirend-beállításokat lehet meghatározni.

Csoportházirend infrastruktúra
A rendszergazdák a csoportos házirendet a különálló Group Policy MMC modul segítségével, vagy az Active Directory Users and Computers-ből vagy magasabb szinten az Active Directory Domains and Trust-ból szabályozhatják. Minden Group Policy beállítást az egyes Active Directory objektumokhoz (telephely, tartomány, szervezeti egység) hozzárendelt Group Policy objektumok tartalmaznak.

Az üzemeltető a biztonsági csoportok és az ACL hozzáférési jogok segítségével képes korlátozni a Group Policy hatását. Ez a megoldás gyorsabb Group Policy műveleteket biztosít, miközben a Group Policy-t hozzárendelhetjük a biztonsági csoportokhoz. A biztonsági csoportok és az ACL lista korlátozhatja a Group Policy Object hatókörét is, ha pl. az általunk kiválasztott csoportnak/felhasználónak nem adunk Read/Apply jogot a kérdéses GPO-n, akkor a hatása nem érvényesül, így pl. a rendszergazdákra nem fognak hatni a megszorító intézkedések.

A Group Policy-nek a felhasználói felület (és a mögötte található logika) létrehozásához adatforrásra van szüksége. Ez az adatforrás lehet a Group Policy MMC modul egy bővítése (MMC bővítmény), vagy egy ASCII sablon fájl (.adm). Az .adm fájlok a Group Policy modul Software Policies bővítésében módosítható beállításokat és azok regisztrációs adatbázisbeli helyét tartalmazzák. Az .adm fájl kategóriák hierarchikus rendjét tartalmazza, ez a hierarchia jelenik meg a Group Policy felhasználói felületén. A fentieken kívül még a beállítható értékekre vonatkozó megkötéseket, és az egyes beállítások alapértelmezett értékét tartalmazza.

Csoportházirend szabályok és sajátosságok
A csoportházirend végrehajtási sorrendje a következő:

1. Számítógép indulása
2. GP számítógép beállítások
3. GP startup script futása (mindez befejeződik addig, mire a bejelentkezési ablak megjelenik)
4. Felhasználó bejelentkezése
5. GP felhasználói beállítások
6. GP logon script futása
7. felhasználói fiókhoz rendelt szkript
A csoportházirend frissülésével kapcsolatos tudnivalók:

- a klienseknél minden 90 percben (30 perces véletlen szám hozzáadásával)
- Windows 2000/2003 tartományvezérlőknél: minden 5 percben
- a szoftvertelepítés és a mappa átirányítás csak a következő belépéskor
- GPO-változáskor csak a változások töltődnek le (kivéve ha használjuk az "/enforce" illetve az XP-től kezdve a "/force" kapcsolókat)
- a frissítési időket a házirendben szabályozhatjuk
- a csoportházirend érvényesülését meggyorsíthatjuk a secedit - vagy Windows XP esetén a gpupdate - parancssori programmal
- a secedit parancs kétféle lehet "secedit refreshpolicy /machine v. user policy"
- a módosítások akár azonnal érvényesülhetnek, ezért szerkesztés alatt tiltsuk le a hatásukat
- lehetőleg mindig a PDC emulátor szerepet betöltő DC-n szabályozzuk
- replikálódik a többi DC-re az FRS (File Replication Service) segítségével
- mindig az utolsó változtatás érvényesül
- kb. 430 opció áll rendelkezésünkre, Windows 2003/XP esetén még plusz 200

A hatáskör alapján történő sorrend (a legelső a "leggyengébb"):

1. az egyedi helyi csoportházirend-objektum
2. helyi csoportházirend-objektumok(a rendszergazda által megadott sorrendben)
3. tartományi csoportházirend-objektumok(a rendszergazda által megadott sorrendben)
4. szervezeti egységre vonatkozó csoportházirend-objektumok, a legnagyobb szervezeti egységektől kezdve a legkisebbekig (szülő-gyermek szervezeti egység), továbbá az egyes szervezeti egység szinteken a rendszergazda által megadott sorrendben

Gál Tamás
gtamas@tjszki.hu

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek