Csoportházirend vs. XPSP2
2004/12/19 11:27
745 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Az új szervizcsomag révén az XP sokat változott, mert a szándékosan szigorú megoldások beépítése mellett új lehetőségek is rendelkezésre állnak. Szemezgessünk tehát: milyen változások történtek a Csoportházirendben?

609

Azaz szám szerint ennyi új beállításunk lesz a Csoportházirendben, ha "ráhúzzuk" az SP2-es sablonokat. Eléggé hihetetlen érték ez, különösen, ha abból indulunk ki, hogy a Windows 2000 Server RTM változatában is kb. ennyi volt - összesen. Megtehetjük azt is, hogy a Windows Server 2003 gyári sablonjainak a lemezen elfoglalt méretével hasonlítjuk össze, akkor az arány kb. 1,75MB / 3MB, azaz valamivel több, mint 3MB helyet foglal el a Sysvol megosztásban az új sablonokkal felülírt, kiegészített sablonkönyvtár. Ha jól megnézzük a lenti képeket (alul van az új), kiemelkedik az inetres.adm sablon, amely kb. hatszorosára nőtt. Persze rögtön érthetővé válik ez a növekedés, ha tudjuk, hogy ebben a sablonból táplálkozik maga az Internet Explorer is. A Windows Server 2003-as és az XP SP2-vel frissített sablonok méretei A méretnövekedéshez még egy - fontosnak is számítható - megjegyzést tennék. Ha figyelmesen megtekintjük a Sysvol megosztást, azaz az itt található mappákat:

%SYSTEMROOT%sysvol artománynévPolicies

akkor észrevehetjük, hogy több is van, többféle méretben, akár komolynak is vehető helyfoglalással, ami esetlegesen kihathat a Sysvol megosztás replikációjára is. Viszont használhatjuk a Csoportházirend két opcióját a kordában tartásra. Ezek pedig a következőek és az alábbi helyen találhatóak:

  • "Always use local ADM files for Group Policy Editor"
  • "Turn off automatic update of ADM files".

Computer ConfigurationAdministrative Templates SystemGroup Policy

Ha az elsőt bekapcsoljuk, akkor a helyi Administrative Templates állományok nem másolódnak be automatikusan a Sysvol megosztásba, ha a másodikat is, akkor a %Systemroot%inf mappában található sablonok tartalma alapján mutatja a rendszer a Csoportházirend beállításokat. Mindkét parancs hordoz magában figyelemreméltó veszélyeket, ezért mielőtt alkalmazzuk ezeket, olvassuk el a fontos információkat, a mellékhatásokról illetve a két beállítás variálásáról. Ahhoz, hogy visszatérhessünk a lényegre, azaz az újításokra, bővítések megtekintésére a Csoportházirend sablonokkal kapcsolatban, még el kell hárítanunk egy korábbi cikkben már részletesen ismertetett problémát, amely az új, SP2-es sablonokkal és az ezekkel nem kompatibilis szerkesztőkkel kapcsolatos.

Windows Firewall

Computer ConfigurationAdministrative Templates NetworkNetwork ConnectionsWindows Firewall

Mivel az új tűzfal alapból bekapcsolt állapotban van, ez azt jelenti, hogy egy tartományon belül (is) minden hálózati forgalmat, alkalmazást és szolgáltatást blokkol, ezért duplán érdemes odafigyelnünk rá. (Kis kitérő: a jelenleg még béta állapotban lévő Windows Server 2003 SP1-ben viszont kb. ugyanez a tűzfal, frissítés esetén ki lesz kapcsolva, kivéve az új telepítést (slipstream), de ennél is csak addig, amíg automatikusan letölti a szükséges frissítéseket.) A ki- és bekapcsolástól kezdve a port kivételekig az összes beállítása kezelhető a Csoportházirendből, ám van egy érdekes újdonsága is, a két profil beállításának lehetősége. Rendelkezésünkre áll egy tartományi profil és egy standard, amely a tartományba nem kötött számítógépekre hat (szintén az összes WF beállítással), azaz pl. arra a laptopra, amelyet esténként hazaviszünk. Ezt a lehetőséget nyilván úgy kell használnunk, hogy az elvileg központilag, erősen védett tartományunkban többet engedünk meg (főleg, mert sokszor muszáj is), míg az otthoni, általában sebezhetőbb körülmények közötti használatra egy agresszívebb beállítást alkalmazunk.

Tesszük ezt azért is, hogy előzetesen elkerüljük azt a közismert szituációt, hogy egy-egy esetleges problémát (vírust, férget, ads programot, stb.) behoz a tartományba a felhasználó. (Újabb kis kitérő: ha megvalósul a VPN karantén mintájára a "LAN karantén" is (van erre már kezdeményezés, ez lesz/lehet a Windows Server 2003 R2-be kerülő NAP, azaz Network Access Protection, akkor ez a problémahalmaz is csökkeni fog.)

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek