2019. október 8., kedd

Csoportházirend érvényre jutásának és együttes hatásának módosítása


A csoportházirend (Group Policy) a Microsoft operációs rendszereinek egy funkciója, amivel megoldható a felhasználók, a számítógépek és a felhasználói munkakörnyezetek viselkedésének és jogosultságainak szabályozása. A csoportházirend Active Directory környezetben lehetővé teszi az operációs rendszerek, alkalmazások és a felhasználók beállításainak központosított konfigurálását és menedzsmentjét. Leegyszerűsítve, a csoportházirenddel többek közt megszabható, hogy a felhasználó mit tehet és mit nem tehet meg a számítógépen. Bár a csoportházirendek alkalmazása nagyvállalati környezetben a legelterjedtebb, találkozhatunk vele iskolákban, kis- és középvállalkozásokban is. A csoportházirendeket gyakran arra használják, hogy potenciális biztonsági réseket zárjanak be vele, pl. tiltják a hozzáférést a Windows feladatkezelőjéhez, korlátozzák bizonyos mappákhoz a hozzáférést, tiltják a futtatható fájlok letöltését és így tovább.

A csoportházirend szolgáltatás és a csoportházirend-objektumok elérése a csoportházirend kezelése felügyeleti konzolon (Group Policy Managment Console - GPMC) keresztül történik. A GPMC telepítéséhez a kiszolgálókezelőben (Server Manager), a szolgáltatások hozzáadása szövegre kell kattintani, majd a megjelenő listából a csoportházirend kezelése elemet kiválasztva a tovább (Next), majd a telepít (Install) gombra kell kattintani. Ezek után a csoportházirend-objektumok kezelése a kiszolgálókezelő szolgáltatások (Services) ágán keresztül lesz elérhető.

52_K101.png

1. ábra:        Szolgáltatás hozzáadása

A csoportházirend kezelés alatti struktúrában legfölül az erdő, az alatt pedig a tartományok, illetve helyek látszódnak. A csoportházirend-ojektumok a tartományok neve alatt található csoportházirend-objektumok (Group Policy Objects) mappában helyezkednek el. Azt, hogy melyik csoportházirend-objektum melyik AD-beli tároló objektumhoz (tartományhoz, szervezeti egységhez vagy telephelyhez) van hozzárendelve, a kérdéses tárolókban elhelyezett csoportházirend-objektumhoz kapcsolódó hivatkozások mutatják meg. Egy új csoportházirend-objektum létrehozásánál tehát erre is oda kell figyelni.

52_K102.png

2. ábra:        Csoportházirend kezelés a kiszolgálókezelőben

Csoportházirend-objektum és hivatkozásának létrehozása és törlése

Új csoportházirend-objektumot a hely (Site - telephely), tartomány (Domain) vagy szervezeti egység (Organizational Unit - OU) nevére jobb gombbal kattintva és a helyi menüben megjelenő csoportházirend-objektum létrehozása ebben a tartományban, és hivatkozás létrehozása itt (Create a GPO in this domain, and Link it here) menüpontra kattintva lehet létrehozni. Az új csoportházirend-objektum (New GPO) ablakban az új házirendobjektum nevét (Name) megadva és az OK gombra kattintva az új csoportházirend-objektum létrejön a csoportházirend-objektumok mappában. Ilyen esetben a csoportházirend-objektum létrehozásakor a kérdéses tárolóban (ebben az esetben szervezeti egységben) automatikusan létrejön az új csoportházirend-objektumra mutató hivatkozás is.

A beállítások szabályozásának módosításához az objektum nevére jobb gombbal kattintva, és a helyi menüből a szerkesztés (Edit) menüpontot kell választani. A menüpont kiválasztását követően a megjelenő csoportházirend-objektum szerkesztő (GPO Editor) felügyeleti konzol segítségével kell a beállításokat szerkeszteni.

52_K103.png

3. ábra:        Hivatkozás létrehozása egy létező csoportházirendhez a HR szervezeti egységen

Előfordulhat, hogy létező csoportházirend-objektumot kéne egy pl. szervezeti egységhez rendelni. Ilyen esetben a szervezeti egység (vagy más speciális tároló) nevére jobb gombbal kattintva a megjelenő helyi menü hivatkozás létrehozása egy létező csoportházirend-objektumhoz (Link an Existing GPO) menüpontot kell választani, majd a megnyíló ablakban meg kell adni, hogy melyik házirendobjektumot kell a szervezeti egységhez rendelni.

Ha már nincs igény egy csoportházirendre egy adott szervezeti egységben, akkor el kell dönteni, hogy magát a csoportházirend-objektumot, vagy csak a rámutató hivatkozást kell törölni, hiszen pl. az adott csoportházirend esetleg több szervezet egységhez is tartozhat, és így törlése esetén a többi szervezeti egységben alkalmazott szabályozás is elveszhet. Ezért célszerű mindig először a hivatkozást törölni, majd ha az objektum már semmihez sincs hozzárendelve, akkor abban az esetben, ha már biztosan nem lesz többet szükség rá, törölhető.

A hivatkozás törléséhez a hivatkozásra jobb gombbal kattintva, a megjelenő helyi menüből a törlés (Delete) menüpontot kell kiválasztani. A hivatkozás törléséhez hasonlóan alakul az objektum törlése is, de ilyenkor a csoportházirend-objektumok mappában kell a kérdéses objektumra jobb gombbal kattintani, majd a megjelenő helyi menüből a törlés (Delete) menüpontot választani. Ha az objektumhoz léteztek a tartományban hivatkozások, akkor más tartományok hivatkozásaival ellentétben azok is törlődni fognak.

Több csoportházirend-objektum együttes alkalmazása

Több csoportházirend-objektum együttes alkalmazása esetén gyakran előfordul, hogy a hierarchiában különböző szinteken található csoportházirend-objektumok egyik, vagy másik részét nem szükséges alkalmazni, mert az egy másik szinten lesz majd szabályozva. Ilyenkor gyakori, hogy olyan csoportházirend-objektumok jönnek létre, amelyeknek vagy a számítógépre, vagy a felhasználóra vonatkozó része nem szabályozott. Ebben az esetben célszerű a nem szabályozott részeket letiltani. Olyan is előfordulhat, hogy ideiglenesen ki kell kapcsolni egy adott tárolóra vonatkozó csoportházirendet a hivatkozás, vagy az objektum eltávolítása nélkül. Ilyen esetben akár az egész csoportházirend-objektum is letiltható.



4. ábra:        Az együttes alkalmazás esetén ilyen szabályozások érhetők el

A csoportházirend szóban forgó részének letiltásához ki kell jelölni a kérdéses csoportházirend-objektumot, vagy annak bármelyik hivatkozását, majd a jobb oldalon a részletek (Details) fülre kattintva a csoportházirend-objektum állapota (GPO Status) legördülő listából ki kell választani a megfelelő elemet. A lista elemei a következők:

-          Engedélyezve (Enabled): ilyenkor az egész csoportházirend érvényben van.

-          Felhasználó konfigurációs beállításai letiltva (User configuration settings disabled): ebben az esetben csak a felhasználóra vonatkozó beállítások szabályozása kerül letiltásra.

-          Számítógép konfigurációs beállításai letiltva (Computer configuration settings disabled): ezzel a beállítással csak a számítógépre vonatkozó beállítások szabályozása lesz tiltva.

-          Minden beállítás letiltva (All settings disabled): ha ez egész csoportházirendet tiltani kell, akkor ezt az elemet kell kiválasztani.

Korábban már említésre került, hogy egy adott számítógépre vagy felhasználóra egyidejűleg akár több csoportházirend-objektum beállításai is hatással lehetnek, hiszen minden attól függ, hogy a tartományi hierarchiában hol helyezkedik el, illetve  van-e csoportházirend-objektum rendelve a hierarchiát alkotó tárolókhoz. Arról is szó volt, hogy több csoportházirend-objektum együttes alkalmazása esetén addig nem lehet igazából semmilyen probléma, amíg a különböző házirendek beállításai nem "ütköznek" egymással, azaz ugyanazok a beállítások nem ellentétes hatásúak. Ha ez nem így van, akkor a csoportházirend-objektumok beállításainak együttes hatásai, azaz a házirendek eredője a következő szabályok mentén alakulnak:

Csoportházirend-objektumok öröklődése: a csoportházirend-objektumok hatása a hierarchiában felülről lefelé terjed, azaz a magasabb szintű tárolóhoz rendelt csoportházirend-objektum hatása érvényes lesz az alatta lévő tárolókra is.

A hierarchiában közelebb eső házirend az erősebb: a hierarchiában az adott számítógép vagy felhasználó objektum szintjéhez közelebb eső tárolóhoz rendelt csoportházirend-objektum beállításai felülbírálják a magasabb szinteken található tárolókhoz rendelt házirendekét.

Rendszergazda által beállított prioritás: adott tárolóhoz több csoportházirend-objektum is rendelhető. Hogy ilyen esetben melyik házirendnek lesz nagyobb prioritása a többi felülbírálásához, csak a rendszergazda beállításain múlik.

Öröklés blokkolása: a hierachiában egy adott tárolótól lefelé letiltható az öröklött csoportházirend-objektumok hatásai. Fontos, hogy az adott tárolóra (és annak tartalmára) vonatkozó összes öröklött házirendre történik a blokkolás.

Öröklődés kikényszerítése: egy adott tárolón történő öröklés blokkolás minden öröklött házirendre vonatkozik, ezért ilyen esetekben a központi menedzsment által megadott házirend beállítások megkerülhetőek lennének. Az öröklődés kikényszerítése segítségével ez a helyzet megoldható, hiszen hiába lesz tiltva az adott tárolóra az összes csoportházirend között pl. egy központi csoportházirend is, ha ez utóbbinál be van állítva az öröklődés kikényszerítése, akkor az mindenféleképpen érvényre fog jutni.[52]

A csoportházirend érvényre jutásámak folyamata

A számítógép elindulása után a hozzá legközelebbi tartományvezérlőről letölti a rá vonatkozó (helyi, tartományi ill. szervezeti egységhez tartozó) csoportházirend-objektumokat.

A csoportházirend-objektumok letöltése után, az esetleges felülbírálati szabályok alkalmazásával kiszámításra kerül a számítógépre vonatkozó egyesített csoportházirend. A számítógépen érvényre jutnak a számítógépszintű beállítások. Ezt követően a felhasználó beléphet a számítógépre.

A felhasználó bejelentkezésekor a tartományvezérlőről a felhasználóra vonatkozó (helyi, tartományi ill. szervezeti egységhez tartozó) csoportházirend-objektumokat. Ezek az objektumok akár teljesen más objektumok is lehetnek, mint a számítógép indulásakor érvényre jutottak.

Kiszámításra kerül a felhasználóra vonatkozó egyesített csoportházirend, melyet a számítógép érvényre juttat, majd megjeleníti a felhasználó munkakörnyezetét (Asztal - Desktop).

A számítógép működése során a Windows másfél óránként megvizsgálja, hogy történt-e változás a csoportházirendben (mind a számítógép, mind a felhasználói rész esetén). Ha igen, akkor érvényesíti az új beállításokat.[53]


Az automatikus frissítés alól kivételt képeznek a felhasználói mappák áthelyezésére és a programtelepítésre vonatkozó beállítások. Ezek változásai csak a számítógép indulásakor, illetve a felhasználó bejelentkezésekor jutnak érvényre.


A csoportházirend beállítások nagyrészt a Windows beállításjegyzékében (Registry) helyezkednek el. Abban az esetben, amikor egy számítógépen egy csoportházirend érvényre jut, a beállításjegyzék megfelelő bejegyzései ideiglenesen (pl. a felhasználó bejelentkezésének idejére) megváltoznak. (A felhasználó kijelentkezése után a beállítások visszaállnak az eredeti értékekre.)

A csoportházirendek automatikus érvényre juttatását kézzel is el lehet végezni a gpupdate.exe program futtatásával, pl. a Start menü futtatás (Run) menüpontjából indítva.


¥  Az új csoportházirend beállításokat érdemes az éles alakalmazás előtt kipróbálni. Ehhez érdemes teszt szervezeti egységeket létrehozni és szintén teszt felhasználókkal és teszt számítógép fiókokkal, majd ezeket a teszt számítógépeket indítva és rajtuk a tesztfelhasználókkal bejelentkezve kipróbálni a beállított csoportházirend szabályozásokat.


A csoportházirend-objektumok együttes hatásainak módosítása

A csoportházirend-objektumok együttes hatásának, eredőjének alapértelmezett módon történő kiszámítását több helyen lehet módosítani. A módszerek a már említett öröklés blokkolás, öröklés kikényszerítés, illetve prioritás konfiguráció, amelyeknek beállítása természetesen a csoportházirend kezelése (Group Policy Management) felügyeleti konzolon keresztül valósítható meg.

Egy adott tárolóra és tartalmára vonatkozó csoportházirend öröklődés blokkolása a tárolóra való jobb gombbal történő kattintás után a helyi menüből az öröklődés blokkolása (Block Inheritance) menüpontot kiválasztva történik.

Az öröklés kikényszerítésnél arra kell figyelni, hogy az nem az előző példában leírt módon a tárolóra, hanem a csoportházirend-objektumnak az adott tartományon vagy szervezeti egységen belüli érvényességére vonatkozik. Ezért beállításhoz a csoportházirend-objektumra mutató hivatkozáson kell jobb gombbal kattintani, majd a megjelenő helyi menüből az érvénybe léptetve (Enforced) lehetőséget kell választani.

Abban az esetben pedig, amikor egy tárolóra több csoportházirend-objektum is vonatkozik, akkor a rendszergazda által beállítandó prioritást az adott tároló kijelölése után, a jobb oldalon, a hivatkozott csoportházirend-objektumok (Linked Group Policy Objects) lap bal szélén található nyilakkal lehet beállítani. A listából kijelölt csoportházirend-objektumot a felfelé mutató nyilakkal felfelé, a lefele mutatókkal lefelé lehet mozgatni. A prioritást a hivatkozások sorrendje (Link Order) mutatja meg. Minél előrébb szerepel a listában a kérdéses csoportházirend-objektum, annál nagyobb lesz a kiértékelésben a prioritása. A listában legelső csoportházirend-objektum minden beállítása felülbírálja a listában utána következő csoportházirend-objektum azonos, ám különböző értékű beállításait.

Nincsenek megjegyzések:

Megjegyzés küldése