609
Azaz szám szerint ennyi új beállításunk lesz a Csoportházirendben, ha "ráhúzzuk" az SP2-es sablonokat. Eléggé hihetetlen érték ez, különösen, ha abból indulunk ki, hogy a Windows 2000 Server RTM változatában is kb. ennyi volt - összesen. Megtehetjük azt is, hogy a Windows Server 2003 gyári sablonjainak a lemezen elfoglalt méretével hasonlítjuk össze, akkor az arány kb. 1,75MB / 3MB, azaz valamivel több, mint 3MB helyet foglal el a Sysvol megosztásban az új sablonokkal felülírt, kiegészített sablonkönyvtár. Ha jól megnézzük a lenti képeket (alul van az új), kiemelkedik az inetres.adm sablon, amely kb. hatszorosára nőtt. Persze rögtön érthetővé válik ez a növekedés, ha tudjuk, hogy ebben a sablonból táplálkozik maga az Internet Explorer is. A méretnövekedéshez még egy - fontosnak is számítható - megjegyzést tennék. Ha figyelmesen megtekintjük a Sysvol megosztást, azaz az itt található mappákat:
%SYSTEMROOT%sysvol artománynévPolicies
akkor észrevehetjük, hogy több is van, többféle méretben, akár komolynak is vehető helyfoglalással, ami esetlegesen kihathat a Sysvol megosztás replikációjára is. Viszont használhatjuk a Csoportházirend két opcióját a kordában tartásra. Ezek pedig a következőek és az alábbi helyen találhatóak:
- "Always use local ADM files for Group Policy Editor"
- "Turn off automatic update of ADM files".
Computer ConfigurationAdministrative Templates SystemGroup Policy
Ha az elsőt bekapcsoljuk, akkor a helyi Administrative Templates állományok nem másolódnak be automatikusan a Sysvol megosztásba, ha a másodikat is, akkor a %Systemroot%inf mappában található sablonok tartalma alapján mutatja a rendszer a Csoportházirend beállításokat. Mindkét parancs hordoz magában figyelemreméltó veszélyeket, ezért mielőtt alkalmazzuk ezeket, olvassuk el a fontos információkat, a mellékhatásokról illetve a két beállítás variálásáról. Ahhoz, hogy visszatérhessünk a lényegre, azaz az újításokra, bővítések megtekintésére a Csoportházirend sablonokkal kapcsolatban, még el kell hárítanunk egy korábbi cikkben már részletesen ismertetett problémát, amely az új, SP2-es sablonokkal és az ezekkel nem kompatibilis szerkesztőkkel kapcsolatos.
Windows Firewall
Computer ConfigurationAdministrative Templates NetworkNetwork ConnectionsWindows Firewall
Mivel az új tűzfal alapból bekapcsolt állapotban van, ez azt jelenti, hogy egy tartományon belül (is) minden hálózati forgalmat, alkalmazást és szolgáltatást blokkol, ezért duplán érdemes odafigyelnünk rá. (Kis kitérő: a jelenleg még béta állapotban lévő Windows Server 2003 SP1-ben viszont kb. ugyanez a tűzfal, frissítés esetén ki lesz kapcsolva, kivéve az új telepítést (slipstream), de ennél is csak addig, amíg automatikusan letölti a szükséges frissítéseket.) A ki- és bekapcsolástól kezdve a port kivételekig az összes beállítása kezelhető a Csoportházirendből, ám van egy érdekes újdonsága is, a két profil beállításának lehetősége. Rendelkezésünkre áll egy tartományi profil és egy standard, amely a tartományba nem kötött számítógépekre hat (szintén az összes WF beállítással), azaz pl. arra a laptopra, amelyet esténként hazaviszünk. Ezt a lehetőséget nyilván úgy kell használnunk, hogy az elvileg központilag, erősen védett tartományunkban többet engedünk meg (főleg, mert sokszor muszáj is), míg az otthoni, általában sebezhetőbb körülmények közötti használatra egy agresszívebb beállítást alkalmazunk.
Tesszük ezt azért is, hogy előzetesen elkerüljük azt a közismert szituációt, hogy egy-egy esetleges problémát (vírust, férget, ads programot, stb.) behoz a tartományba a felhasználó. (Újabb kis kitérő: ha megvalósul a VPN karantén mintájára a "LAN karantén" is (van erre már kezdeményezés, ez lesz/lehet a Windows Server 2003 R2-be kerülő NAP, azaz Network Access Protection, akkor ez a problémahalmaz is csökkeni fog.)