Upload
tnt-tntt
View
39
Download
0
Embed Size (px)
DESCRIPTION
dacs
Citation preview
SVEUILITE U SPLITU
ODJEL ZA STRUNE STUDIJE
STUDIJ RAUNARSTVA
KOLEGIJ UPRAVLJANJE POSLUITELJSKIM RAUNALIMA
Kreiranje korisnikog okruenja koritenjem tehnike korisnikih grupa
(Group Policy)
Student: Goran Semren
Mentor: Valentini Koica, dipl.ing.
Split, lipanj 2006.
2
Sadraj: 1. Uvod u grupna pravila............................................................................................................................................................ 3 2. to su grupna pravila? ............................................................................................................................................................ 5
2.1. GPO - Objekt grupnih pravila ...................................................................................................................................... 5 2.2. Parametri grupnih pravila............................................................................................................................................... 7
2.2.1. vorovi konfiguracije raunala i korisnika ............................................................................................................ 7 2.2.2. vor Sofware Settings ........................................................................................................................................... 7 2.2.3. vor Windows Settings ......................................................................................................................................... 8 2.2.3. vor Administrative Templates ............................................................................................................................. 8
2.3. Kako grupna pravila utjeu na podizanje sustava........................................................................................................... 9 2.3. Primjena grupnih pravila................................................................................................................................................ 9
3. Strategija planiranja grupnih pravila .................................................................................................................................... 11 3.1. Planiranje GPO-a ......................................................................................................................................................... 11
3.1.1. Decentralizirani model GPO-a............................................................................................................................. 11 3.1.2. Centraliziran model GPO-a.................................................................................................................................. 12
3.2. Planiranje administrativne kontrole nad GPO-ima....................................................................................................... 13 4. Implementiranje GPO-a ....................................................................................................................................................... 14
4.1. Zadaci implementiranja GPO-a.................................................................................................................................... 14 4.1.1. Formiranje GPO-a................................................................................................................................................ 14 4.1.2. Formiranje Microsoftove upravljake konzole za GPO....................................................................................... 15 4.1.3. Delegiranje administrativne kontrole nad GPO-om............................................................................................. 15 4.1.4. Konfiguriranje parametara grupnih pravila za GPO ............................................................................................ 16 4.1.5. Deaktiviranje neupotrijebljenih parametara grupnih pravila................................................................................ 17 4.1.6. Oznaavanje svih izuzetaka pri obradi GPO-a..................................................................................................... 18 4.1.7. Filtriranje dometa GPO-a sigurnosnih grupa ....................................................................................................... 18 4.1.8. Povezivanje GPO-a za lokaciju, domenu ili organizacijsku jedinicu.................................................................. 19
4.2. Mijenjanje GPO-a ........................................................................................................................................................ 20 4.2.1. Uklanjanje veze GPO-a........................................................................................................................................ 20 4.2.2. Brisanje GPO-a.................................................................................................................................................... 20 4.2.3. Ureivanje GPO-a njegovih parametara .............................................................................................................. 21 4.2.4. Osvjeavanje GPO-a............................................................................................................................................ 21
5. Administriranje grupnih pravila ........................................................................................................................................... 22 5.1. Upravljanje grupnim pravilima pomou alata RSoP .................................................................................................... 22
5.1.1. Resultant Set of Policy (RSoP) ............................................................................................................................ 22 5.1.2. Generiranje RSoP upita pomou arobnjaka Resultant Set of Policy Wizard...................................................... 23 5.1.3. Generiranje RSoP upita pomou alata Gpresult................................................................................................... 25 5.1.4. Generiranje RSoP upita pomou alata Advanced System Information-Policy..................................................... 25
5.2. Upravljanje posebnim direktorijima pomou grupnih pravila...................................................................................... 26 5.2.1. Preusmjeravanje direktorija ................................................................................................................................. 26
5.3. Otklanjanje pogreaka kod grupnih pravila.................................................................................................................. 27 6. Distribucija programa pomou grupnih pravila.................................................................................................................... 28
6.1. IntelliMirror (Software Installation And Maintenance) ............................................................................................... 28 6.1.1. Proirenje alata Software Installation................................................................................................................... 28 6.1.2. Add Or Remove Programs................................................................................................................................... 30 6.1.3. Pristupi uvoenju programa ................................................................................................................................. 31 6.1.4. Distribucija paketa Windows Installer ................................................................................................................. 31
6.2. Distribucija programa pomou grupnih pravila............................................................................................................ 32 7. Kreiranje okruenja na Windows 2003 posluitelju koritenjem tehnike grupna pravila..................................................... 35
7.1. Postavljanje neophodnih postavki na serveru za primjenu grupnih pravila.................................................................. 35 7.1.1. Postavljanje statike IP adrese i prioritetnog DNS servera .................................................................................. 35 7.1.2. Instalacija servisa aktivni imenik ......................................................................................................................... 36
7.2. Kreiranje OU strukture i korisnikih rauna unutar domene oss.local ......................................................................... 39 7.3. Primjena grupnih pravila na okruenje OSS ................................................................................................................ 40
7.3.1. Primjena grupnih pravila na OU OSS.................................................................................................................. 41 7.3.2. Primjena grupnih pravila na OU level 0 (gosti) ................................................................................................... 41 7.3.3. Primjena grupnih pravila na OU level 1 (raunovostvo)...................................................................................... 44 7.3.4. Primjena grupnih pravila na OU level 2 (studenti i profesori) ............................................................................. 46 7.3.5. Primjena grupnih pravila na OU level 3 (poweruser) .......................................................................................... 48 7.3.6. Primjena grupnih pravila na OU level 4 (administrator)...................................................................................... 49
8. Zakljuak.............................................................................................................................................................................. 50 9. Literatura.............................................................................................................................................................................. 51
3
1. Uvod u grupna pravila
Grupna pravila prvi put pojavljuju se s Windows 2000 sustavom. Stoga primjena grupnih pravila nije mogua na sustavima starijim od Windows 2000. Kod sustava starijih od Windows 2000 koriste se starije tehnologije npr. kod NT 4.0 koristi se tehnologija System Policy Editor (poledit.exe). Administratorima pruaju mogunost definiranja postavki, doputenih i nedoputenih radnji za korisnike i raunala. Za razliku od lokalnih, grupna se pravila mogu koristiti za uspostavljanje pravila koja e se primjenjivati diljem odreenog mjesta, domene ili organizacijske jedinice u sustavu Active Directory-a. Upravljanje temeljeno na pravilima pojednostavljuje zadatke kao to su operacija auriranja sustava, instalacija aplikacije, korisniki profili i blokiranje stolnih sustava. Za administriranje grupnih pravila koristi se konzola Group Policy Management Console (GPMC), koja omoguuje nove okvire za upravljanje grupnim pravilima. Uz GPMC grupna pravila postaju mnogo jednostavnija za uporabu, a to je prednost koja e mnogim organizacijama omoguiti bolju uporabu sustava aktivnog imenika, te iskoritavanje njegovih monih upravljakih znaajki.
Grupna pravila se definiraju kao kolekcija parametara konfiguracije korisnika i raunala koja se mogu vezati za raunala, lokacije, domene i organizacijske jedinice da bi se definiralo ponaanje radnih povrina korisnika. Za organiziranje i upravljanje parametrima grupnih pravila za svaki objekt grupnih pravila (GPO eng. Group Policy Object) koristi se Group Policy Object Editor.
Grupna pravila se mogu izgraditi koritenjem decentraliziranog ili centraliziranog modela. Decentralizirani model koristi osnovni objekt grupnih pravila primijenjen na domenu, koji sadri parametre prava za to je mogue vie korisnika i raunala u domeni. Zatim, ovaj model koristi dodatne objekte grupnih pravila koji su ureeni po opim zahtjevima svake organizacijske jedinice i primijenjeni na odgovarajue organizacijske jedinice. Centralizirani model koristi jedan objekt grupnih pravila koji sadri sve parametre prava za pridruenu lokaciju, domenu ili organizacijsku jedinicu. Parametri grupnih pravila se prvo primjenjuju u redoslijedu lokalnih prava (onih koji su konfigurirani na samom raunalu). Zatim se redom prijavljuju grupna pravila za lokaciju, domenu i na kraju za organizacijske jedinice od najvieg vora u hijerarhiji, pa do organizacijske jedinice koja sadri objekte. Ukoliko se nadreenoj skupini dodijeli neki parametar grupnih pravila, taj parametar grupnih pravila se primjenjuje na sve podreene skupine, ukljuujui objekte korisnika i raunala u skupini. Meutim, ako se podreenoj skupini naznai parametar grupnih pravila, parametar grupnih pravila podreene skupine ponitava parametar naslijeen od roditeljskog objekta.
Kod postavljanja grupnih pravila nude se mnoge opcije. Mogue je: distribuirati program, mijenjati bazu Registry, preusmjerivati posebne direktorije, uvesti sigurnosne parametre te osigurati skripte koje e se izvravati prilikom podizanja ili iskljuivanja sustava, odnosno prilikom prijavljivanja ili odjavljivanja korisnika. Postoje dva tipa parametara grupnih pravila: parametri konfiguracije raunala i parametri konfiguracije korisnika. Parametri konfiguracije raunala se koriste za postavljanje grupnih pravila za raunala, bez obzira na to tko se na njih prijavljuje, a primjenjuju se kad se operacijski sustav podie. Parametri konfiguracije korisnika se koriste za postavljanje grupnih pravila za korisnike bez obzira na koje se raunalo korisnik prijavljuje, a primjenjuju se kada se korisnici prijavljuju na sustav.
Kod primjene grupnih pravila treba znati koje pravilo na kojeg korisnika primijeniti stoga je potrebno isplanirati grupna pravila. Postoje tri oblasti planiranja grupnih pravila: planiranje parametara grupnih pravila, planiranje GPO i planiranje administrativne kontrole nad GPO-ima kada se planiraju prava, treba imati na umu kako svaka primjena moe utjecati na slijedee pravo u nizu. Ukoliko na primjer, imamo prava na nivou domene koja ograniava
4
pristup Control Panelu , a zatim imamo grupna pravila za organizacijsku jedinicu koja doputa pristup Control Panelu, tada posljednje pravo pobjeuje i korisnici iz te organizacijske jedinice moi e pristupiti Control Panelu. Jedan od alata koje pomau u planiranju izmjena grupnih pravila je Resultant Set of Policy (RSoP). RSoP ima dva reima: Logging (reim prijavljivanja) za rjeavanje problema postojeeg skupa prava i Planning (reim planiranja) za pregledavanje postojeih prava i testiranje novog skupa prava. Kreiranje RSoP upita nad postojeim grupnim pravilima korisnika ili objektima raunala koristi se arobnjak Resultant Set of Policy Wizard, bilo da su prava primijenjena na lokaciju, domenu ili organizacijsku jedinicu. Takoer je mogue simulirati efekt novih grupnih pravila na objekte raunala i korisnike.
Diplomski rad je organiziran na nain da je prvo odabrana tehnologija kreiranja korisnikog okruenja koritenjem tehnike korisnikih grupa. Tehnologija je predstavljena u dvije cjeline. Prva cjelina bazirana je na teoriji, a druga je opisana izradom praktinog rada. Praktini dio diplomskog rada baziran je na okruenje Odjela za Strune Studije. Pri izradi navedenog dijela, koritena je platforma Windows 2000 Server. S obzirom na jednostavnost, kvalitetu te dobru primjenjivost tehnologije, moe se zakljuiti da ju je relativno lako primijeniti na gotovo sva okruenja.
5
2. to su grupna pravila?
Grupna pravila su kolekcija parametara konfiguracije korisnika i raunala koja odreuju kako programi, mreni resursi i operativni sustav rade za korisnike i raunala u organizaciji.
Grupna pravila se mogu postaviti za raunala, lokacije, domene i organizacijske jedinice. Na primjer, koritenjem grupnih pravila moemo odrediti programe koji su dostupni korisnicima, programe koji se prikazuju na korisnikovoj radnoj povrini te opcije Start menija. Iako se grupna pravila ne primjenjuju na grupe, lanstvo u grupi moe utjecati na promjenu grupnih pravila. Na primjer, ako korisniki ili raunalni nalog pripada grupi kojoj je izriito uskraena mogunost primjene grupnih pravila, taj nalog nee primiti grupna pravila. Ovaj koncept poznat je kao filtriranje dometa GPO-a pomou sigurnosnih grupa.
2.1. GPO - Objekt grupnih pravila
Da bismo napravili odreenu konfiguraciju radne povrine za korisnike, pravimo GPO-e, koji predstavljaju kolekcije parametara grupnih pravila. Svako raunalo koje radi pod Microsoft Windows Serverom 2003 ima jedan lokalni GPO i moe dodatno biti predmet bilo kojeg broja nelokalnih GPO-a. Lokalni GPO-i Jedan lokalni GPO uva se na svakom raunalu bez obzira na to da li je raunalo dio okruenja aktivnog imenika (eng. Active Directory) ili umreenog okruenja. Lokalno GPO utjee samo na raunalo na kojem je uskladiten. Budui da parametre lokalnog GPO-a mogu prenositi nelokalni GPO-i, lokalni GPO ima najmanji utjecaj ako je raunalo u okruenju aktivnog imenika. U okruenju koje nije umreeno, parametri lokalnog GPO-a su vaniji jer ih ne premouju nelokalni GPO-i.
Lokalni GPO uskladiten je na putanji (%Systemroot%\System32\GroupPolicy). Nelokalni GPO-i Nelokalni GPO-i prave se u aktivnom imeniku i moraju biti vezani za lokaciju, domenu ili organizacijsku jedinicu da bi se primijenili na korisnike, odnosno raunala. Da bismo koristili ne lokalne GPO-e, morate imati instaliran Windows 2000 ili Windows Server 2003. Kada se postavi servis aktivni imenik, naprave se dva nelokalna GPO-a:
Default Domain Policy (pretpostavljena pravila domene) Ovaj GPO vezan je za domenu i utjee na sve korisnike i raunala u domeni (ukljuujui raunala koja su kontrolori domena) kroz nasljeivanje grupnih pravila.
Default Domain Controllers Policy (pretpostavljena pravila kontrolora domena) Ovaj GPO vezan je za organizacijske jedinice i uglavnom utjee samo na kontrolore domena, budui da se raunalni nalozi za kontrolore domena uvaju iskljuivo unutar organizacijskih jedinica Domain Controllers.
6
Nelokalni GPO-i uvaju se na putanji %Systemroot%\Sysvol\DomainName\ Policies\GPO GUID\Adm, gdje GPO GUID predstavlja globalni jedinstveni identifikator GPO-a.
GPO vezan za lokaciju utjee na sva raunala unutar lokacije. Prema tome, GPO se moe primijeniti na vie domena unutar ume, ak i ako postoji samo kao entitet uskladiten na jednoj domeni i mora se uitati sa te domene kada klijenti itaju svoja grupna pravila vezana za lokaciju. Group Policy Object Editor (editor objekata grupnih pravila) Group Policy Object Editor (GPOE) koristimo za organiziranje i upravljanje parametrima grupnih pravila u svakom GPO-u. GPOE za GPO Default Domain Policy prikazan je na slici 2-1.
Slika 2-1: Group Policy Object Editor
Kako emo otvoriti GPOE zavisi od toga gdje elimo primijeniti grupna pravila. Postoji nekoliko naina za otvaranje GPOE-a.
Primjena GPO-a na to treba napraviti Lokalno raunalo (lokalni GPO)
Otvorimo lokalni GPO koji je smjeten na lokalnom raunalu.
Drugo raunalo (lokalni GPO)
Otvorimo lokalni GPO koji je uskladiten na mrenom raunalu koje radi pod Windows Server 2003. Da bismo otvorili MMC konzolu za lokalni GPO moramo imati administratorske ovlasti.
Lokaciju GPO za lokaciju otvaramo preko Active Directory Sites And Services.
Domenu ili organizacijsku jedinicu
GPO za domenu otvaramo preko Active Directory Users And Computers.
7
2.2. Parametri grupnih pravila Parametri grupnih pravila sadrani su u GPO-u i odreuju korisnikovo okruenje radne povrine. Parametre moemo pogledati u GPOE. Postoje dvije vrste parametara za grupna pravila: parametri konfiguracije raunala i parametri konfiguracije korisnika. Oni su obuhvaeni vorovima u GPO-u.
2.2.1. vorovi konfiguracije raunala i korisnika vor Computer Configuration (konfiguracije raunala) sadri parametre koji se koriste za postavljanje grupnih pravila za raunala, bez obzira na to tko se na njih prijavljuje. Parametri konfiguracije raunala primjenjuju se kada se operacijski sustav inicijalizira. vor User Configuration (konfiguracije korisnika) sadri parametre koji se koriste za postavljanje grupnih pravila za korisnike, bez obzira na koje se raunalo korisnik prijavljuje. Parametri konfiguracije korisnika primjenjuju se kada se korisnici prijavljuju na sustav. I vor Computer Configuration i User Configuration obuhvaaju parametre za instaliranje programa, te parametre za instaliranje i pristupanje operacijskom sustavu Windows Server 2003 i parametre baze Registry. Ove parametre sadre vorovi:
Sofware Settings Windows Settings i Administrative Templates.
Na slici 2-2. prikazani su vorovi Computer Configuration i User Configuration.
Slika 2-2: vorovi Computer Configuration i User Configuration
2.2.2. vor Sofware Settings
8
vor Software Settings (programske postavke) omoguuje administratoru distribuciju programa i upravljanje aplikacijama kroz GPO koji je povezan sa lokacijom aktivnog imenika, domenom ili organizacijskom jedinicom. Aplikacijama se moe upravljati u jednom od dva reima: dodijeljeni ili objavljeni. Kada je potrebno da raunala i korisnici kojima upravlja GPO imaju aplikaciju ona se dodjeljuje raunalu. Aplikacija se objavljuje kad je potrebno da bude dostupna korisnicima kojima upravlja GPO, u sluaju da korisnik zatreba aplikaciju. Aplikaciju nije mogue objaviti raunalima.
2.2.3. vor Windows Settings vor Windows Settings (postavke windowsa) sadri dodatne vorove Scripts (skripte) i Security Settings (sigurnosne postavke).
vor Scripts omoguuje da se navedu dva tipa skripta: podizanje/iskljuivanje sustava (u voru Computer Configuration ) i prijavljivanje /odjavljivanje (u voru User Configuration). Skripte za podizanje /iskljuivanje sustava izvravaju se prilikom ukljuivanja ili iskljuivanja raunala. Skripte za prijavljivanje/odjavljivanje izvravaju kad se korisnik prijavljuje na raunalo ili odjavljuje sa raunala. Ukoliko postoji vie dodijeljenih skripta za prijavljivanje /odjavljivanje ili podizanje /iskljuivanje sustava korisniku ili raunalu, Windows Server 2003 izvrava skripte redoslijedom od vrha prema dnu. Redoslijed izvravanja skripta moe se podesiti pomou opcije Properties.
vor Security Settings omoguuje administratoru runo konfiguriranje sigurnosnih nivoa dodijeljenih lokalnom ili nelokalnom GPO-u.
Samo u voru User Configuration, direktorij Windows Settings sadri dodatne vorove:
Remonte Instalations Services (Servisi za udaljeno instaliranje, RIS)
koristi se za kontroliranje ponaanja udaljene instalacije operacijskog sustava. Folder Redirection (preusmjeravanje direktorija) koristi se za
preusmjeravanje posebnih direktorija (Application Internet, Desktop, My Documents i Start Menu) sa njihove podrazumijevane lokacije korisnikog profila na alternativnu lokaciju na mrei.
Internet Explorer Maintance (Odravanje internet explorera) koristi se
za podeavanje Microsoft Internet Explorer-a omoguuje korisniku na raunalima koja rade pod Windows Serverom 2003.
2.2.3. vor Administrative Templates
9
vor Administrative Templates (administrativni predloci) sadri parametre grupnih pravila koji su zasnovani na bazi Registry. Unutar Administrative Templates postoji vie od 550 parametara, koji su na raspolaganju za konfiguriranje korisnikog okruenja. Svaki od tih parametara moe se podesiti na:
Not Configured (nije konfigurirano) Baza Registry nije mjenjana.
Enabled (omogueno) - Baza Registry pokazuje da je parametar grupnih pravila odabran.
Disabled (onemogueno) - Baza Registry pokazuje da je parametar grupnih
pravila zabranjen.
Parametri u voru Administrative Templates pod vorom Computer Configuration uvaju se u direktoriju baze Registry HKEY_LOCAL_MACHINE (HKLM), a parametri u voru Administrative Templates pod vorom User Configuration uvaju se u direktoriju baze Registry HKEY_CURRENT_USER (HKCU).
2.3. Kako grupna pravila utjeu na podizanje sustava Kada se raunalo pokrene i korisnik prijavi, primjenjuju se parametri konfiguracije sljedeim redoslijedom:
1. Mrea se pokree. Pokreu se Remonte Procedure Call System Service (RPCSS) i multiple Universal Naming Convention Provider (MUP)
2. Pribavlja se ureena lista GPO-a za raunalo. 3. Obrauju se parametri konfiguracije raunala. Ovo se dogaa sljedeim
redoslijedom: lokalni GPO, GPO-i lokacije, GPO-i domena i GPO-i OU-a (organizacijskih jedinica). Dok se parametri raunala obrauju ne prikazuje se korisniko suelje.
4. Izvravaju se skriptovi za pokretanje sustava. Ovo je sakriveno i sinkrono: svaki skript mora se izvriti ili mu mora istei rok prije nego to se sljedei pokrene.
5. Korisnik pritie Ctrl+Alt+Del da bi se prijavio. 6. Nakon to se korisnik provjeri uita se korisniki profil ime upravlja parametar
grupnih pravila. 7. Pribavlja se ureena lista GPO-a za korisnika. 8. Obrauju se parametri konfiguracije korisnika. Ovo se dogaa sinkrono i to
sljedeim redoslijedom: : lokalni GPO, GPO-i lokacije, GPO-i domena i GPO-i OU-a. Dok se parametri raunala obrauju ne prikazuje se korisniko suelje.
9. Izvravaju se skriptovi za prijavljivanje. Za razliku od Windows NT 4 skriptova, skriptovi za prijavljivanje zasnovani na grupnim pravilima izvravaju se skriveno i asinkrono. Posljednji se izvrava skript objekta korisnika.
10. Pojavljuje se korisniko suelje operacijskog sustava predvien grupnim pravilima.
2.3. Primjena grupnih pravila
10
Budui da se ne lokalni GPO-i primjenjuju hijerarhijski, konfiguracija korisnika, odnosno raunala, rezultat je GPO-a primijenjenih na njegovu lokaciju, domenu ili OU. Parametri grupnih pravila primjenjuju se sljedeim redoslijedom:
1. Lokalni GPO. Svako raunalo koje radi pod Windows Serverom 2003 ima tono jedan uskladiten GPO.
2. GPO-i lokacije. Svi GPO-i koju su vezani za lokaciju primjenjuju se sljedei. Priprema GPO-a je sinkrona; administrator odreuje redoslijed GPO-a vezanih za lokaciju.
3. GPO-i domena. Vie GPO-a vezanih za domenu primjenjuju se sinkrono; administrator odreuje redoslijed GPO-a vezanih za domenu.
4. GPO-i OU-a(organizacijskih jedinica). Prvo se primjenjuju GPO-i vezani za OU koji je najvii u hijerarhiji aktivnog imenika, zatim slijede GPO-i vezani za njegov podreeni OU itd. Na kraju se primjenjuju GPO-i vezani za OU koji sadri korisnika ili raunalo.
Ovaj redoslijed znai da se lokalni GPO primjenjuje prvi, a GPO-i vezani za OU ije je raunalo ili korisnik direktan lan, primjenjuju se posljednji, preko ranijih GPO-a. Na primjer, postavimo domenski GPO da bismo omoguili bilo kojem korisniku da se interaktivno prijavljuje. Meutim GPO OU-a postavljen za kontrolor domena sprjeava prijavljivanje svih, osim izvjesnih administrativnih grupa.
11
3. Strategija planiranja grupnih pravila Prije implementiranja grupnih pravila, treba napraviti plan upravljanja tim pravilima. Moemo planirati parametre grupnih pravila, GPO-e i administrativnu kontrolu nad GPO-ima da bismo osigurali najdjelotvorniju implementaciju grupnih pravila za vau organizaciju. Postoje tri oblasti planiranja grupnih pravila:
Planiranje parametara grupnih pravila potrebnih za raunala i korisnike na svakoj razini (lokaciji, domeni i OU)
Planiranje GPO-a potrebnih za raunala i korisnike na svakoj razini (lokaciji,
domeni i OU)
Planiranje administrativne kontrole nad GPO-ima
Precizna i organizirana dokumentacija o parametrima grupnih pravila i GPO-ima moe dobro doi kada doe do potrebe da ponovno pogledamo ili izmijenimo nau konfiguraciju grupnih pravila.
3.1. Planiranje GPO-a
Za svaku lokaciju, domenu i OU moramo odrediti kako parametri grupnih pravila trebaju biti svrstani u GPO-e. Ureenje parametara grupnih pravila napravimo prema korisnicima i raunalima kojima su potrebni.
Na slici 3-1. su opisani ovi tipovi GPO-a.
GPO za softver
GPO za scriptove
GPO za sigurnost
Sales
Jednostruki tip pravila
GPO za softversigurnost i scriptove
GPO sa raunalnim parametrima
GPO sa korisnikimparametrima
Sales
Sales
Vies truki t ip pravila
Namjenski tip pravila
Slika 3-1: Tipovi postavljanja GPO-a
3.1.1. Decentralizirani model GPO-a
12
Cilj decentraliziranog pristupa GPO-ima (prikazan na slici 3-2.) je odreeni parametar grupnih pravila ukljuiti u to je manje mogue GPO-a. Kad je potrebna izmjena, samo se jedan GPO (ili nekoliko njih) mora izmijeniti da bi se promjena provela. Da bi ste dostigli ovaj cilj, napravimo osnovni GPO koji e se primjenjivati na domenu i koji sadri parametre pravila za to je mogue vie korisnika i raunala u domeni. Npr. osnovni GPO bi mogao sadravati parametre sigurnosti cjelokupne korporacije, kao to su ogranienja naloga i lozinki. Zatim napravimo dodatne GPO-e skrojene po zahtjevima svakog OU-a i primijenimo ih na odgovarajue OU-ove. Ovaj model najpogodniji je za okruenja u kojima grupe unutar organizacije imaju zajednike sigurnosne preokupacije u kojima su izmjene grupnih pravila iste.
Osnovni GPO
GPO East
GPO West
Slika 3-2: Decentralizirani model GPO-a
3.1.2. Centraliziran model GPO-a Cilj centraliziranog pristupa GPO-ima (prikazan na slici 3-3.) je da se vrlo malo GPO-a (idealno samo jedan) koristi za bilo kojeg danog korisnika ili raunala. Svi parametri grupnih pravila trebaju se implementirati unutar jednog GPO-a. Ako lokacija, domena ili OU posjeduje grupe korisnika ili raunala sa razliitim zahtjevima grupnih pravila, tada je potrebno primijeniti GPO na svaku zasebnu OU, umjesto na roditelja. Izmjena u centraliziranom modelu GPO-a povlai sa sobom vie administracije nego kod decentraliziranog modela, jer moe biti potrebno da se parametri izmjene u vie GPO-a, ali je vrijeme prijavljivanja krae. Ovaj model je pogodan za okruenja u kojima se korisnici i raunala mogu kvalificirati u mali broj OU-ova za dodjelu pravila.
Bez GPO-a
GPO East
GPO West
Slika 3-3: Centralizirani model GPO-a
13
3.2. Planiranje administrativne kontrole nad GPO-ima Kad planiramo parametre grupnih pravila i GPO-e koji e se koristiti u organizaciji, treba isplanirati tko e upravljati njima. Odgovarajui nivo administrativne kontrole moe se delegirati koritenjem modela administrativne kontrole koji je centraliziran, decentraliziran ili zasnovan na zadacima. Kod centraliziranog modela administrativne kontrole administriranje grupnih pravila delegira se samo administratorima OU-a najvieg nivoa. Administratori OU-a drugog nivoa nemaju mogunost upravljanja GPO-ima. Kod decentraliziranog modela administrativne kontrole administriranje grupnih pravila delegira se administratorima OU-a drugog nivoa. Administratori OU-a drugog nivoa imaju mogunost upravljanja GPO-ima u svojim OU-ovima drugog nivoa. Ovo moemo postii dodjeljivanjem dozvole Full Control administratorima OU-a najvieg nivoa. Kod administrativne kontrole zasnovane na zadacima administriranje odreenih pravila grupnih pravila delegira se administratorima koji se bave povezanim specifinim zadatcima, kao to su sigurnost ili aplikacije. U ovom sluaju GPO-i se projektiraju tako da sadre samo jedan tip parametara grupnih pravila.
14
4. Implementiranje GPO-a
4.1. Zadaci implementiranja GPO-a
4.1.1. Formiranje GPO-a Prvi korak u implementaciji grupnih pravila je formiranje GPO-a. Podesimo da GPO
predstavlja kolekciju parametara grupnih pravila. Da bi formirali GPO, potrebno je napraviti sljedee korake: 1. Odredimo da li e GPO koji formiramo biti vezan za lokaciju, domenu ili OU.
Zatim uinimo jedno od sljedeeg:
Da bismo napravili GPO vezan za domenu ili OU, otvorimo Administrative Tools te kliknemo na Active Directory Users and Computers.
Da bismo napravili GPO vezan za lokaciju, takoer otvorimo Administrative Tools i kliknemo na Active Directory Sites and Services.
2. Pritisnemo desnom tipkom mia na lokaciju, domenu ili OU-u za koju elimo
formirati GPO i potom kliknemo na Properties. 3. U okviru za dijalog Properties za objekt izaberemo karticu Group Policy. Zatim na
odabranoj kartici kliknemo na New i upiemo ime koje elimo za ovaj GPO. Podrazumijeva se, novi GPO vezan je za lokaciju, domenu ili OU koji je oznaen u MMC konzoli u vrijeme formiranja GPO-a, i njegovi parametri primjenjuju se na danu lokaciju, domenu ili OU.
Slika 4-1: Okvir za dijalog Properties za OU OSS, kartica Group Policy
4. Pritisnemo Close.
15
4.1.2. Formiranje Microsoftove upravljake konzole za GPO Microsoftova upravljaka konzola (Microsoft Managment Console, MMC ) omoguava administriranje i upravljanje aktivnog imenika sa udaljenih lokacija. Dakle MMC slui za pravljenje, pohranjivanje i otvaranje administrativnih alata koje nazivamo konzolama. Nakon to smo formirali GPO, potrebno je za njega napraviti MMC konzolu. Potom ju moemo otvoriti iz menija Administrative Tools kada je to potrebno. Da bismo formirali MMC konzolu za GPO, poduzimaju se sljedei koraci:
1. Kliknemo na Start, a zatim na Run. 2. U okviru za dijalog Run upiemo MMC u polje Open i potom kliknemo na OK. 3. U novoj MMC konzoli iz menija File izaberemo Add/Remove Snap-In. 4. U okviru za dijalog Add/Remove Snap-In kliknemo na Add. 5. U okviru za dijalog Add Standalone Snap-In odaberemo GPOE i zatim kliknemo
na Add. 6. Na stranici Select Group Policy Object kliknemo na Browse da bismo pronali
GPO za koji elimo formirati MMC konzolu. 7. U okviru za dijalog Browse For a Group Policy Object otvorimo karticu All,
izaberemo ime GPO-a i kliknemi na OK. 8. Na stranici Select Group Pplicy Object kliknemo na Finish, a zatim u okviru za
dijalog Add Standalone Snap-In kliknemo na Close. 9. U okviru za dijalog Add Remove Snap-In kliknemo na OK. 10. U MMC konzoli iz menija File, izaberemo Save As. 11. U okviru za dijalog Save As upiemo ime GPO-a u polje File Name te kliknemo
na Save. GPO je sad dostupan u meniju Administrative Tools.
4.1.3. Delegiranje administrativne kontrole nad GPO-om Nakon to smo formirali GPO, vano je odrediti koje grupe administratora imaju pravo pristupa GPO-u. Dozvole koje se podrazumijevaju za GPO-e prikazane su u sljedeoj tablici. Sigurnosna grupa Podrazumijevane dozvole Authenticated Users Read, Apply Group Policy, Special
Permissions Group Policy Creator Owners (takoer se prikazuje kao Creator Owner)
Special Permissions
Domain Administrators Read, Write, Create All Child Objects, Delete All Child Objects, Special Permissions
Enterprise Administrators Read, Write, Create All Child Objects, Delete All Child Objects, Special Permissions
Enterprise Domain Controllers Read, Special Permissions System Read, Write, Create All Child Objects, Delete
All Child Objects, Special Permissions
16
Samo grupe Domain Administrator, Enterprise Administrators u Group Policy Creator Owners, te sam operativni sustav, mogu formirati nove GPO-e. Ne administrativnim korisnicima ili grupama moemo dati mogunost formiranja GPO-a tako to emo korisnike ili grupe dodati u sigurnosnu grupu Group Policy Creator Owners. lanstvo u grupi Group Policy Creator Owners daje korisniku potpunu kontrolu samo nad GPO-ima koje korisnik napravi ili su mu eksplicitno delegirani. Ovo lanstvo ne daje ne administrativnom korisniku prava nad bilo kojim drugim GPO-ima. Ukoliko administrator napravi GPO, grupa Domain Administrator postaje Creator Owner (vlasnik i tvorac) GPO-a.
Za dodavanje sigurnosnih grupa kojima elimo dodijeliti ili uskratiti administrativni pristup koristi se okvir za dijalog Properties za odabrani GPO i kartica Security Slika 4-2.
Slika 4-2: Okvir za dijalog Properties za GPO OSS OU, kartica Security
GPO Default Domain Policy ne moe izbrisati ni jedan administrator. Time se sprijeava sluajno brisanje tog GPO-a, koji sadri vane i neophodne parametre za domenu.
4.1.4. Konfiguriranje parametara grupnih pravila za GPO Da bismo konfigurirali parametre grupnih pravila za GPO, potrebno je poduzeti slijedee korake:
1. Pristupimo GPOE za GPO. 2. U stablu odaberemo vor koji predstavlja pravilo koje elimo konfigurirati. 3. U okviru s detaljima kliknemo desnom tipkom mia na parametar koji elimo
konfigurirati i zatim odaberemo Properties. 4. U okviru za dijalog Properties (slika 4-3) za parametar grupnih pravila odaberemo
Enabled da bismo parametar primijenili na korisnike ili raunala koji podlijeu ovom GPO-u i zatim kliknemo OK. Not Configured znai da se nee mijenjati baza Registry u pogledu ovog parametra. Disabled znai da e baza Registry
17
ukazivati na to da se parametar ne primjenjuje na korisnike ili raunala koji podlijeu ovom GPO-u.
Slika 4-3: Okvir za dijalog Properties za pravilo Prohibit access to the Control Panel
4.1.5. Deaktiviranje neupotrijebljenih parametara grupnih pravila Ukoliko vor Computer Configuration ili vor User Configuration imaju samo parametre koji su oznaeni s Not Configured, onda deaktiviranjem vora moemo izbjei obradu ovih parametara. Deaktiviranje neupotrijebljenih parametara grupnih pravila se preporuuje jer poboljava podizanje sustava i prijavljivanje za one korisnike koji podlijeu danom GPO-u. Da bismo deaktivirali parametre konfiguracije raunala ili korisnika za GPO, potrebno je poduzeti slijedee korake:
1. Otvorimo GPOE za GPO. 2. Kliknemo desnom tipkom mia na korijen vora i zatim izaberemo Properties. 3. Na kartici General u okviru za dijalog Properties napravimo jedno od slijedeeg:
Da bismo deaktivirali parametre konfiguracije raunala odaberemo Disable Computer Configuration Settings.
Da bismo deaktivirali parametre konfiguracije raunala odaberemo Disable User Configuration Settings.
4. Kliknemo na OK.
18
4.1.6. Oznaavanje svih izuzetaka pri obradi GPO-a GPO-i se primjenjuju u skladu s hijerarhijom u servisu aktivnog imenika: lokalni GPO, GPO-i lokacije, GPO-i domena i GPO-i OU-a. Meutim, podrazumijevani redoslijed obrade parametara moe se izmijeniti promjenom redoslijeda GPO-a za objekt, odabiranjem opcije Block Policy Inheritance, odabiranjem opcije No Override ili aktiviranjem parametara Loopback.
4.1.7. Filtriranje dometa GPO-a sigurnosnih grupa Postoje dva naina za filtriranje GPO-a:
Obriemo dozvolu Apply Group Policy (koja je trenutno postavljena na Allow) za grupu Authenticated Users, ali bez postavljanja ove dozvole na Deny. Zatim odredimo grupe na koje treba primijeniti GPO i za njih postavimo dozvole Read i Apply Group Policy na Allow.
Odredimo grupe na koje treba primijeniti GPO i za njih postavimo dozvolu Apply Group Policy na Deny.
Da bismo filtrirali domet GPO-a, potrebno je poduzeti sljedee korake: 5. Otvorimo GPOE za GPO. 6. Kliknemo desnom tipkom mia na korijen vora i zatim izaberemo Properties. 7. U okviru za dijalog Properties otvorimo karticu Security i izaberemo sigurnosnu
grupu kroz koju e se filtrirati dani GPO. Ukoliko je potrebno izmijeniti listu sigurnosnih grupa kroz koje e se filtrirati ovaj GPO, moemo dodati ili izbaciti sigurnosne grupe koristei Add i Remove.
8. Postavimo dozvole kako je prikazano u sljedeoj tablici i kliknemo OK. Domet GPO-a Postavke dozvola Rezultat Na lanove ove sigurnosne grupe treba se primijeniti samo ovaj GPO
Postavimo Apply Group Policy na Allow.
Postavimo Read na Allow
Ovaj GPO se primjenjuje na lanove ove sigurnosne grupe osim ako su oni lanovi bar jo jedne sigurnosne grupe koja ima dozvolu Apply Group Policy postavljenu na Deny ili dozvolu Read postavljenu na Deny, ili obje.
lanovi ove sigurnosne grupe nisu u sklopu primjene ovog GPO-a
Postavimo Apply Group Policy na Deny.
Postavimo read na Deny.
Ovaj GPO se nikad ne primjenjuje na lanove ove sigurnosne grupe bez obzira na dozvole koje ovi lanovi imaju u drugim sigurnosnim grupama.
lanstvo u ovoj sigurnosnoj grupi je nevano u pogledu toga da li GPO treba primijeniti
Postavimo Apply Group Policy tako da ne bude ni Allow ni Deny.
Postavimo Read tako da ne bude ni Allow ni Deny.
Ovaj GPO se primjenjuje na lanove ove sigurnosne grupe ako i samo ako imaju i dozvolu Apply Group Policy i dozvolu Read postavljene na Allow kao lanovi bar jo jedne sigurnosne grupe. Oni takoer ne smiju imati dozvole Apply Group Policy i Read
19
postavljene na Deny kao lanovi bilo koje druge sigurnosne grupe.
4.1.8. Povezivanje GPO-a za lokaciju, domenu ili organizacijsku jedinicu Novi GPO vezan je za lokaciju, domenu ili OU koji je bio odabran u MMC konzoli u vrijeme formiranja GPO-a. Prema tome, parametri GPO-a primjenjuju se na tu lokaciju, domenu ili OU. Meutim ako je potrebno GPO vezati za dodatne lokacije, domene ili OU-ove, koristi se kartica Group Policy u okviru za dijalog Properties za lokaciju, domenu ili OU. Da bismo povezali GPO za lokaciju, domenu ili OU, potrebno je poduzeti sljedee korake:
1. Otvorimo konzolu Active Directory Users and Computers da bismo GPO povezali za domenu ili OU, odnosno otvorimo konzolu Active Directory Sites and Servises da bismo GPO povezali za lokaciju.
2. U konzoli kliknemo desnom tipkom mia na lokaciju, domenu ili OU za koju treba vezati GPO. Kliknemo na Properties i zatim kliknemo na karticu Group Policy.
3. U okviru za dijalog Properties za objekt na kartici Group Policy kliknemo na Add. 4. U okviru za dijalog Add A Group Policy Object Link (slika 4-4) kliknemo na
karticu All te odaberemo eljeni GPO i zatim kliknemo OK.
Slika 4-4: Kartica All u okviru Add a Group Policy Object Link 5. U okviru za dijalog Properties za lokaciju, domenu ili OU kliknemo na OK.
20
4.2. Mijenjanje GPO-a Zadaci mijenjanja GPO-a su:
Uklanjanje veze GPO-a Brisanje GPO-a Ureivanje GPO-a i njihovih parametara Osvjeavanje GPO-a
4.2.1. Uklanjanje veze GPO-a Uklanjanjem veze GPO-a, GPO se odvaja od odreene lokacije, domena ili OU-a. GPO ostaje u servisu aktivnog imena sve dok se ne obrie. Da bismo uklonili vezu GPO-a, potrebno je poduzeti sljedee korake:
1. Otvorimo konzolu Active Directory Users and Computers da bismo uklonili vezu GPO-a s domenom ili OU-om odnosno otvorimo konzolu Active Directory Sites and Servises da bismo GPO odvojili od lokacije.
2. U konzoli kliknemo desnom tipkom mia na lokaciju, domenu ili OU iju vezu s GPO-om treba ukloniti. Kliknemo Properties a zatim na karticu Group Policy.
3. U okviru za dijalog Propertis za objekt, na kartici Group Policy, odaberemo GPO iju vezu elimo ukloniti i zatim kliknemo na Delete.
4. U okviru za dijalog Delete odaberemo Remove The Link From The List. GPO ostaje u aktivnom imeniku, ali vie nije vezan.
4.2.2. Brisanje GPO-a Ukoliko obriemo GPO, on se uklanja iz aktivnog imenika i vie ne utjee ni na jednu lokaciju, domenu ili OU za koje je bio vezan. Da bismo obrisali GPO, potrebno je poduzeti sljedee korake:
1. Otvorimo konzolu Active Directory Users and Computers da bismo obrisali GPO s domena ili OU-a, odnosno otvorimo konzolu Active Directory Sites and Services da bismo obrisali GPO s lokacije.
2. U konzoli kliknemo desnom tipkom mia na lokaciju, domenu ili OU-u s kojeg treba obrisati GPO. Kliknemo na Properties i zatim otvorimo karticu Group Policy.
3. U okviru za dijalog Properties za objekt, na kartici Group Policy, odaberemo GPO koji elimo obrisati i kliknemo na Delete.
4. U okviru za dijalog Delete kliknemo na Remove The Link And Delete The Group Policy Object Permanently i zatim na OK. GPO se uklanja iz aktivnog imenika.
21
4.2.3. Ureivanje GPO-a njegovih parametara Da bismo preuredili GPO, odnosno njegove parametre, potrebno je slijediti procedure za formiranje GPO-a i za oznaavanje parametara grupnih pravila.
4.2.4. Osvjeavanje GPO-a
Svaki GPO osvjeava se kada ponovno pokrenemo raunalo. Nakon to izmijenimo parametre unutar GPO-a, oni se osvjeavaju svakih 90 minuta na radnoj stanici ili serveru i svakih 5 minuta na kontroloru domena. Parametri se takoer osvjeavaju svakih 16 sati, bez obzira na to da li su nastupile bilo kakve promjene.
Da bismo GPO-e osvjeili, potrebno je poduzeti sljedee korake: 1. Kliknemo na Start, a zatim na Run. 2. U okviru za dijalog Run u polju Open upiemo gpupdate i zatim kliknemo na OK.
22
5. Administriranje grupnih pravila Najvaniji alat za upravljanje grupnim pravilima je generiranje rezultirajueg skupa pravila (Resultant Set of Policies, RSoP). Koritenje ovog alata olakava implementiranje pravila i otklanjanje greaka kod grupnih pravila. RSoP moemo koristiti u planiranju parametara grupnih pravila koji se primjenjuju na korisnika i raunalo. Planiranje strategije grupnih pravila je neophodno za osiguravanje najefikasnije implementacije grupnih pravila. Drugi dio efikasnog upravljanja grupnim pravilima je preusmjeravanje direktorija, to korisnicima osigurava pristupnu toku za uvanje i traenje informacija. Pomou vora Folder Rediction u okviru grupnih pravila moemo preusmjeriti lokaciju za Application Data, Desktop, My Documents, My Pictures i Start menu.
5.1. Upravljanje grupnim pravilima pomou alata RSoP RSoP predstavlja ukupni utjecaj Grupnih pravila koja se primjenjuju na korisnika ili raunalo. Odreivanje RSoP za raunalo ili korisnika moe predstavljati sloen zadatak. Kod Microsoft Windows Servera 2003 postoji mogunost generiranja RSoP upita kako bi se mogla odrediti grupna pravila koja se primjenjuju na odreenog korisnika ili raunalo.
5.1.1. Resultant Set of Policy (RSoP) RSoP je skup pravila koja se primjenjuju na korisnika ili raunalo, ukljuujui primjenu filtara, kao to je primjena filtara preko sigurnosnih grupa. Zbog kumulativnih utjecaja objekata GPO-a, filtara i izuzetaka, odreivanje RSoP za korisnika ili raunalo moe biti veoma teko. Ali, mogunost generiranja RSoP upita u okviru Windows Servera 2003 olakava odreivanje RSoP. U okviru Windows Servera 2003 RSoP mehanizam upita je na raspolaganju za povezivanje postojeih objekata GPO i izvjetavanje o utjecajima objekata GPO-a na korisnike i raunala. Mehanizam upita takoer, provjerava sigurnosne grupe i WMI (Windows Managment Instrumentation) upite koji se koriste za filtriranje dometa GPO-a i provjerava Software Instalation za svaku aplikaciju koja je u vezi sa odreenim korisnikom ili raunalom. Te informacije skuplja baza podataka objektnog modela za upravljanje zajednikim informacijama (Common Information Managment Object Model, CIMOM). Kod Windows Server 2003 postoje tri alata za generiranje RSoP upita:
arobnjak Resultant Set of Policy Wizard Alat Gpresult koja se pokree iz komandne linije Alat Advanced System Information-Policy
Svaki od ovih alata koristi drugaiju unutranjost i osigurava drugaije nivoe
informacija RSoP upita.
23
5.1.2. Generiranje RSoP upita pomou arobnjaka Resultant Set of Policy Wizard Windows Server 2003 posjeduje arobnjaka Resultant Set of Policy Wizard, koji koristi postojee parametre GPO-a za izvjetavanje o utjecajima objekata GPO na korisnike i raunala. arobnjak RSoP Wizard koristi dva reima za prijavljivanje RSoP upita, reim evidentiranja i reim planiranja.
Reim evidentiranja RSoP reim evidentiranja omoguuje nam pregledanje postojeih parametara objekta GPO, instalacijske aplikacije programa i sigurnost za raunalni ili korisniki nalog. Reim evidentiranja koristi se za:
Pronalaenja neuspjenih ili izmijenjenih parametara pravila Promatranje naina na koji sigurnosne grupe utjeu na parametre pravila Otkrivanje naina na koji lokalna pravila utjeu na grupna pravila
Kada radimo upit u reimu evidentiranja, dobijemo izvjee o svakoj aplikaciji koja je
na raspolaganju za instalaciju, o direktorijima koji e biti preusmjereni (i mjestima na koja e biti preusmjereni) i svakom parametru pravila koji e se primijeniti na korisnika ili raunalo, kao i o utjecaju sigurnosnih grupa na ta pravila.
Reim planiranja RSoP reim planiranja nam omoguuje planiranje rasta i organizacije. Pomou RSoP
reima planiranja moemo pozvati sljedee objekte GPO-a kako bismo dobili parametre pravila, aplikacije za instalaciju programa i sigurnost, te koristiti upite sa WMI filtrima kako bi proitali hardverska i programska svojstva. Reim planiranja treba koristiti u sljedeim situacijama:
Ukoliko elimo testirati prioritete u okviru pravila u sluajevima kada: o Korisnik i raunalo pripadaju razliitim sigurnosnim grupama. o Korisnik i raunalo pripadaju razliitim jedinicama OU. o Korisnik i raunalo se premjetaju na novu lokaciju.
Ukoliko elimo simulirati sporu vezu. Ukoliko elimo simulirati povratnu vezu.
Opcije za RSoP reim planiranja Postoji nekoliko opcija za RSoP reim planiranja.
Svako od opcija moe se pokrenuti zasebno ili zajedno sa drugim opcijama. Kako napredujemo pomou arobnjaka pokazivat e se opcije za reim planiranja sljedeim redoslijedom:
1. Slow network connection Ova opcija simulira sporu vezu. Veza je spora, ako
je brzina prijenosa podataka manja od brzine koja je navedena u okviru tog objekta. GPO.
24
2. Loopback processing Ova opcija simulira opciju u kojoj je objektu GPO omogueno podeavanje reima User Group Policy Loopback Processing Mode, koji se nalazi u okviru konfiguracije raunala , Administrative Templates, System, Group Policy. Simulacija se moe postaviti na Marge ili Replace. Ukoliko izaberemo Marge simulirat emo dodavanje spiska GPO dobivenog za raunala pri pokretanju raunala, spisku GPO dobijenom za korisnika. Ukoliko izaberemo Replace simulirati emo zamjenu spiska GPO za korisnika spiskom GPO koji je ve dobiven za raunalo pri pokretanju raunala.
3. Site name Ova opcija simulira primjenu podmrea koje se upotrebljavaju za
pokretanje ili prijavljivanje, ime se omoguuje predvianje RsoP-a ako se podmrea promjeni.
4. Alternate user and computer locations Ova opcija simulira primjenu
lokacija koje se izmjenjuju za korisnike i raunala, to omoguuje predvianje RsoP-a ako se korisnik ili raunalo premjeste.
5. Alternate user and computer security groups Ova opcija simulira primjenu
sigurnosnih grupa koje se primjenjuju za konfiguriranje korisnika i raunala, to omoguuje da predvianje RsoP-a koji koristi sigurnosne grupe za filtriranje GPO dometa.
6. WMI filters for users and computers Ova opcija simulira koritenje WMI
filtara kao pomoi za definiranje parametara grupnih pravila koji se primjenjuju, to omoguuje da predvidimo RSoP pomou WMI upita za filtriranje GPO dometa.
Kreiranje RSoP upita
RSoP upite kreiramo tako to napravimo konzolu RSoP upita, a zatim ga konfiguriramo pomou arobnjaka Resultant Set Of Policy Wizard. Takoer postoji mogunost kreiranja RSoP-a upit na osnovu konzole Active Directoriy Users And Computers ili na osnovu konzole Active Directory Sites And Srvices. Ukoliko kreiramo RSoP upite na osnovu konzole Active Directory Users And Computers ili na osnovu konzole Active Directory Sites And Srvices moramo spremiti upit u okviru %systemroot%\Documents and Setings\Administrator\Start Menu\Programs\Administrative Tools kako bi nam bio na raspolaganju. Kako bismo napravili RSoP upit za postojeeg korisnika i postojee raunalo moramo biti prijavljeni na lokalno raunalo sa administratorskim ovlastima za generiranje RSoP upita za domenu ili OU u okviru kojih se promatrani korisniki ili raunalni nalozi nalaze.
uvanje RSoP upita i podataka koji se dobiju iz tih upita Nakon to kreiramo RSoP upit pomou arobnjaka postoji mogunost da se taj RSoP upit i podatci dobiveni pomou njega spreme. Spremljeni RSoP upit se moe ponovno upotrijebiti kasnije, za obradu drugog RSoP upita. Upit se uva na konzoli za RSoP upite. Podaci dobiveni pomou RSoP upita se arhiviraju u okviru RSoP konzole.
25
Prikazivanje RSoP upita Nakon to smo kreirali i spremili RSoP upit informacije tog upita pojavljuju se na konzoli RSoP upita. Konzola RSoP upita sadri etiri tipa koji se mogu prikazati. To su:
o Parametri pojedinanih pravila o Spisak objekata GPO tog upita o Domet upravljanja tog upita o Informacije o reviziji objekta GPO
Prikazivanje parametara pojedinanih pravila Rezultati RSoP upita mogu se
prikazati za razliite tipove parametara pravila u okviru sa detaljima na konzoli RSoP upita. Rezultati u Windows Settings Okvir Windows Settings sadri rezultate parametara skriptova, parametre za Internet Explorer Maintanace i sigurnosne parametre.
5.1.3. Generiranje RSoP upita pomou alata Gpresult Gpresult je alat koji se pokree i prikazuje u komandnoj liniji. Pored toga, alat Gpresult osigurava ope informacije o operativnom sustavu, korisniku i raunalu. Gpresult osigurava sljedee informacije o grupnim pravilima:
Posljednji trenutak kada su grupna pravila primijenjena i informacije o kontroloru domena koji je primijenio grupna pravila za korisnika ili za raunalo;
Kompletan spisak primijenjenih objekata GPO i detalje o tim objektima, ukljuujui saeti pregled oznaka tipova datoteka koje svaki objekt GPO sadri;
Parametre baze Registry koji su primijenjeni i detalje o tim parametrima; Direktoriji koji su preusmjereni i detalje o tim direktorijima; Informacije o upravljanju programom, ukljuujui detalje o dodijeljenim i
objavljenim aplikacijama Informacije o kvoti diska; Sigurnosne parametre protokola za Internet (Internet Protocol, IP); Skriptove;
5.1.4. Generiranje RSoP upita pomou alata Advanced System Information-Policy Alat Advanced System Information-Policy nam omoguuje kreiranje RSoP upita i prikazivanje rezultata tih upita u vidu HTML izvjea koji se pojavljuju u okviru prozora Help And Support Center. To izvjee se moe ispisati i moe se sauvati kao .html datoteka.
26
Rezultati RSoP upita generiranog pomou alata Advanced System Information-Policy su dobiveni preko reima evidentiranja RSoP za korisnika koji je trenutno prijavljen na raunalo na kojem se upit izvrava. Izvjee koje je generirano prikazuje informacije o pravilima za sljedee kategorije:
ime raunala, odgovarajuu domenu i trenutnu lokaciju; korisniko ime i odgovarajuu domenu; objekti GPO koji su primijenjeni na promatrano raunalo i korisnika; pripadnost sigurnosnoj grupi za promatrano raunalo i korisnika; parametri za Microsoft Internet Explorer; skriptovi: logon, logoff, startup, shutdown; sigurnosni parametri; instalirani programi; preusmjeravanje direktorija; parametri baze Registry.
5.2. Upravljanje posebnim direktorijima pomou grupnih pravila Windows Server 2003 nam omoguava da direktorije koji sadre profile preusmjeravamo na lokacije u mrei pomou vora Folder Rediction na konzoli GPOE. Opcija Offline Files korisnicima osigurava pristup preusmjerenim direktorijima ak i kad nisu povezane sa mreom i moe se podesiti runo ili pomou vora Offline Folder u okviru Group Policy.
5.2.1. Preusmjeravanje direktorija Korisnike direktorije preusmjeravamo kako bi osigurali centraliziranu lokaciju za kljune direktorije operativnog sustava. Ta centralizirana lokacija koja se naziva tokom dijeljenja, korisnicima osigurava pristupnu toku za uvanje i pronalaenje informacija, a administratorima osigurava upravljanje informacijama. vor Folder Rediction na konzoli GPOE omoguava nam preusmjeravanje nekih posebnih direktorija na lokacije na mrei.
Windows 2003 Server omoguava nam preusmjeravanje sljedeih direktorija: Application Data Desktop My documents My pictures Start menu
Prednosti preusmjeravanja direktorija
Preusmjeravanje direktorija My documents ima posebne prednosti zato to se taj direktorij s vremenom znatno uvea.
Ako se korisnik prijavi na neko drugo raunalo na mrei njegovi dokumenti su mu uvijek na raspolaganju.
Kada se koriste roaming (putujui) profili samo je mrena putanja do direktorija My documents dio roaming profila, a ne sam direktorij.
27
Tehnologija Offline Files korisnicima osigurava pristup direktoriju ak i kad nisu povezani s mreom, a posebno je korisna za korisnike prijenosnih raunala.
Podaci sauvani na dijeljenom mrenom serveru mogu se uvati radi zatite kao dio upravljanja sustavom preko rutina.
Administrator sustava moe koristiti grupna pravila za postavljanje kvota diska ograniavajui koliinu prostora koju mogu zauzeti posebni direktoriji korisnika.
Podaci koji su specifini za korisnika mogu se preusmjeriti na neki drugi vrsti disk na lokalnom raunalu sa vrstog diska koji uva datoteke operativnog sustava. Time su korisniki podaci sigurniji u sluaju da se srui operativni sustav.
5.3. Otklanjanje pogreaka kod grupnih pravila
Kako bi odrali efikasnu konfiguraciju grupnih pravila moramo imati mogunost otklanjanja pogreaka grupnih pravila. Otklanjanje pogreaka grupnih pravila obuhvaa koritenje arobnjaka RSoP Wizard alata koji se pokreu iz komandne linije, kao to su Gpresult i Gpupdate, alati Event Viewer i log datoteka, za rjeavanje problema u vezi sa grupnim pravilima.
Kad se pojave problemi, potrebno je napraviti neka testiranja kako bismo provjerili da li konfiguracija za grupna pravila radi na odgovarajui nain, kao to su:
Potvrda da se objekti GPO primjenjuju na odgovarajue korisnike i raunala. Potvrda da se direktoriji koji su konfigurirani za preusmjeravanje,
preusmjeravaju na odgovarajue mjesto Potvrda da su datoteke i direktoriji koji su konfigurirani tako da su na
raspolaganju i u offline reimu zaista na raspolaganju kada je raunalo u ofline.
Takoer trebamo imati mogunost utvrivanja i rjeavanja problema, kao to su: Objekti GPO se ne primjenjuju. Objektima GPO se ne moe pristupiti. Stavke u vezi sa nasljeivanjem kod objekata GPO izazivaju neoekivane
rezultate. Direktoriji nisu preusmjereni ili su preusmjereni na neoekivano mjesto Datoteke i direktoriji nisu na raspolaganju u offline reimu. Datoteke nisu sinkronizirane.
Kod Windows Server 2003 postoje sljedei alati za otklanjanje pogreaka kod grupnih
pravila koji nam pomau pri provjeri konfiguracije, utvrivanju i rjeavanju problema: Resultant Set Of Policy Wizard Gpresult Gpupdate Event Viewer Log datoteke
28
6. Distribucija programa pomou grupnih pravila Karakteristika alata IntelliMirror, koja se naziva Software Installation And Maintenance (instalacija i odravanje programa) je osnovni alat administratora za upravljanje programom unutar organizacije. Upravljanje programom pomou alata Software Installation And Maintenance, omoguava korisnicima neposredan pristup programu koji im treba za obavljanje poslova i osigurava im lako i dosljedno iskustvo sa programom.
IntelliMirror koristi se za kreiranje upravljanog programskog okruenja sa sljedeim karakteristikama:
Da bi korisnici imali pristup aplikacijama koje im trebaju za obavljanje poslova bez obzira na to s kojeg se raunala prijavljuju na mreu.
Da bi raunala imala potrebne aplikacije. Da bi aplikacije mogle biti aurirane, odravane ili uklonjene u skladu s
potrebama organizacije.
6.1. IntelliMirror (Software Installation And Maintenance) IntelliMirror (Software Installation And Maintenance) radi u spoju sa grupnim
pravilima i servisom aktivni imenik, uspostavljajui sustav upravljanja programom koji se zasniva na politici grupe. Kako bi organizacija uvela program pomou grupnih pravila mora koristiti operativni sustav Microsoft Windows 2000 Server ili noviji, sa servisom aktivni imenik i grupnim pravilima na serveru, i operativnim sustavom Microsoft Windows 2000 Server ili novijim na klijentskim raunalima.
Alati koji su predvieni za uvoenje programa pomou grupnih pravila:
Proirenje alata Software Installation Nalazi se na konzoli GPOE na serveru, a koriste ga administratori za upravljanje programom.
Add Or Remove Programs Nalazi se u Control Panelu klijentskog raunala.
Ovu opciju koriste korisnici za upravljanje programom na svojim raunalima.
6.1.1. Proirenje alata Software Installation
Proirenje alata Software Installation na konzoli GPOE je kljuni upravljaki alat za uvoenje programa, koji administratorima omoguava centralno upravljanje
Poetnim uvoenjem programa Nadogradnjama, ispravcima i brzim popravcima programa Uklanjanjem programa
Pomou proirenog alata Softvare Instalation moe se centralno upravljati instalacijom
programa na klijentskom raunalu dodjeljivanjem aplikacija korisnicima ili raunalima. Pa tako administrator dodjeljuje zahtijevani ili obavezni program korisnicima ili raunalima.
29
Administrator objavljuje program koji je korisnicima potreban za obavljanje poslova. I dodijeljeni i objavljeni program je smjeten u toci distribucije programa (software distribution point, SDP), na mrenoj lokaciji sa koje korisnici mogu dobiti program koji im je potreban.
Dodjela aplikacija Kada se korisniku dodjeljuje aplikacija, ona se oglaava u okviru Start izbornika kad
se sljedei put korisnik prijavi na radnu stanicu, a lokalni parametri baze Registry, ukljuujui oznake tipa datoteka, su aurirani. Oglaavanje aplikacije prati korisnika bez obzira na koje se raunalo on prijavljuje. Ova aplikacija se instalira kada korisnik prvi put pokrene aplikaciju na raunalu ili biranjem aplikacije u izborniku Start ili otvaranjem dokumenta koji je u vezi s tom aplikacijom.
Kada se aplikacija dodjeljuje raunalu, aplikacija je objavljena i instalacija se izvodi obino odmah nakon to se raunalo pokrene, jer nema konkurentnih procesa koji se izvravaju na raunalu. Dodijeljeni program je u potpunosti instaliran kad se raunalo sljedei put pokrene.
Objavljivanje aplikacija Kada se korisnicima objavi aplikacija, ona se ne pojavljuje instalirana na korisnikim
raunalima. Objavljene aplikacije smjetaju svoje atribute oglaavanja u aktivni imenik. Nakon toga, informacije kao to su imena aplikacija i veze datoteka izlau se korisnicima u okviru aktivnog imenika. Aplikacija je raspoloiva za korisnika i on je moe instalirati pomou opcije Add Or Remove Programs u okviru Control Panela ili klikom na datoteku koja je vezana s aplikacijom (npr., .xls za Microsoft Exsel).
Servis Windows Installer
Proirenje Software Installation koristi servis Windows Installer za odravanje programa. Servis Windows Installer se izvrava u pozadini i dozvoljava operacijskom sustavu upravljanje procesom instaliranja u skladu sa informacijama u okviru paketa Windows Installer. Paket Windows Installer je datoteka koja sadri informacije koje opisuju instalirano stanje aplikacije. Kako servis Windows Installer upravlja stanjem instalacije, on uvijek zna stanje programa. Ukoliko postoji problem kod instaliranje programa, Windows Installer moe vratiti raunalo u posljednje dobro stanje koje je poznato. Windows Installer omoguuje jednostavno ulanjanje programa kada on vie nije potreban. Na sam servis Windows Installer utjeu parametri grupnih pravila. Ti parametri se nalaze u voru Windows Components. Paketi Windows Installer Paket Windows Installer je datoteka koja sadri eksplicitna upustva za instaliranje i uklanjanje odreenih aplikacija. Postoje dva tipa paketa Windows Installer:
Datoteke (.msi) poetnog paketa Windows Installer Ove datoteke su razvijene kao dio aplikacije i koriste sve prednosti paketa Windows Installer.
30
Datoteke (.msi) prepakovane aplikacije Ove datoteke se koriste za prepakiranje aplikacija koje nemaju poetni paket Windows Installer. Iako prepakovani paketi Windows Installer rade isto kao i poetni paketi Windows Installer, prepakovani paketi Windows Installer sadre jedan proizvod sa svim komponentama i aplikacijama koje su povezane s tim proizvodom, a instalirane su kao pojedinane karakteristike.
Podeavanje paketa Windows Installer Pakete Windows Installer moemo
podeavati pomou modifikacija. Format paketa Windows Installer osigurava podeavanje tako to omoguuje transformacije originalnog paketa pomou alata za autorizaciju i prepakiranje.
Za modifikaciju postojeeg paketa Windows Installer mogue je koristiti sljedee tipove datoteka:
Transformacine (.mst) datoteke Ove datoteke osiguravaju sredstvo za
podeavanje instaliranja aplikacije.
Datoteke (.msp) ispravki Ove datoteke se koriste za auriranje postojeih .msi datoteka za programske ispravke, servisne datoteke i neke datoteke za auriranje programa, ukljuujui ispravke greaka.
Datoteke aplikacije (.zap) Program moemo uvoditi pomou Software Installation koristei datoteke aplikacije.
Datoteke aplikacije su tekstualne koje sadre instrukcije o tome kako objaviti tu aplikaciju, a uzete su iz postojeeg instalacijskog programa (Setup.exe ili Install.exe). Datoteke aplikacije koriste datoteku s ekstenzijom .zap. Datoteke .zap treba koristiti kada ne moemo opravdati razvijanje poetnog paketa Windows Installer radi kreiranja prepakiranog paketa Windows Installer. Datoteka .zap ne podrava karakteristiku Windows Installer. Kada uvodimo aplikaciju pomou datoteke .zap, aplikacija se instalira pomou svog originalnog programa Setup.exe ili Install.exe. Program moe bit samo objavljen a korisnici ga mogu izabrati samo pomou opcije Add Or Remove Programs u okviru Control Panela. Poeljno je datoteke .msi koristiti za uvoenje Programa pomou grupnih pravila kada god je to mogue.
6.1.2. Add Or Remove Programs Opcija Add Or Remove Programs u okviru Control Panela omoguuje korisnicima
instaliranje, modificiranje ili uklanjanje postojee objavljene aplikacije ili popravljanje oteene aplikacije. Moe se kontrolirati izbor programa koji e korisnicima biti na raspolaganju u okviru Add Or Remove Programs u okviru Control Panela pomou parametara grupnih pravila. Korisnici vie ne trebaju traiti mrenu lokaciju, koristiti CD-ROM, instalirati, popravljati i nadograivati program.
31
6.1.3. Pristupi uvoenju programa S obzirom na to da program moe biti ili dodijeljen ili objavljen, i usmjeren ka korisnicima ili raunalima, moemo ustanoviti kombinacije koje mogu funkcionirati, kako bismo postigli ciljeve upravljanja programom. Detalji s razliitim pristupima uvoenju programa prikazani su u sljedeoj tablici.
Pristup uvoenju Objavljivanje (samo za korisnike)
Dodjela (korisnik)
Dodjela (raunalo)
Nakon razvoja, program je na raspolaganju za instaliranje
Sljedei put kada se korisnik prijavi
Sljedei put kada se korisnik prijavi
Sljedei put kada se raunalo pokrene
Obino korisnik instalira program pomou
Opcije Add Or Remove Programs u okviru Control Panela
Izbornika Start ili preice na radnoj povrini
program je ve instaliran (program se automatski instalira kada se raunalo ponovno pokrene)
Ako program nije instaliran, a korisnik otvara datoteku koja je povezana s tim programom, da li se program instalira?
Da (ako je ukljuena opcija za automatsko instaliranje)
Da Ne primjenjuje se; program je ve instaliran
Moe li korisnik ukloniti program pomou opcije Add Or Remove Programs u okviru Control Panela?
Da, i korisnik moe izabrati da ga opet instalira pomou opcije Add Or Remove Programs u okviru Control Panela
Da, i program je opet na raspolaganju za instaliranje s tipinih instalacijskih toaka
Ne. Samo lokalni administrator moe ukloniti program; korisnik moe pokrenuti popravljanje programa
Podrane instalacijske datoteke
Paketi Windows Installer (.msi datoteke), .zap datoteke.
Paketi Windows Installer (.msi datoteke)
Paketi Windows Installer (.msi datoteke)
Modifikacije (.mst ili .msp datoteke) su podeavanja koja se primjenjuju na pakete Windows Installer. Modifikacija mora biti primijenjena u vrijeme dodjele ili objavljivanja, a ne u vrijeme instalacije.
6.1.4. Distribucija paketa Windows Installer Budui da je Windows Installer dio operacijskog sustava nije bitno kako paketi Windows Installer dolaze do klijentskih raunala. Ukoliko se program distribuira veem broju korisnika, a pritom se koristi Windows Server 2003 i aktivni imenik, a sve radne stanice koriste Windows 2000 Profesional ili noviju verziju, program je mogue distribuirati pomou grupnih pravila.
32
Kod distribucije programa pomou grupnih pravila koristi se model preuzimanja, koji program stavlja na raspolaganje svim korisnicima kojima je potreban. Programi se u potpunosti instaliraju kada korisnik prvi put odabere taj program koji mu je dodijeljen (npr. MS Word.exe) ili ako izabere datoteku dodijeljenog programa (npr. dokument.doc). Za distribuciju programa pomou grupnih pravila potrebna je lokana mrea (Local Area Network, LAN) velike brzine izmeu klijentskog raunala i servera koji distribuira program.
6.2. Distribucija programa pomou grupnih pravila
Zadaci uvoenja programa pomou grupnih pravila:
Planiranje i priprema distribucije programa Podeavanje toke SDP Kreiranje objekta GPO i konzole GPO za distribuciju programa Opisivanje svojstava uvoenja programa za odreeni objekt GPO Dodavanje paketa Windows Installer objektu GPO i izbor naina za distribuciju
paketa Planiranje i priprema distribucije programa Prije nego to se pone sa distribucijom programa pomou grupnih pravila, potrebno je isplanirati distribuciju. Kod planiranja distribucije programa treba:
Provjeriti programske potrebe na osnovu cijele organizacijske strukture unutar aktivnog imenika i raspoloivih objekata GPO.
Odrediti nain na koji e se distribuirati potrebne aplikacije. Napraviti sustave za testiranje naina na koje e se distribuirati program
korisnicima i raunalima. Pripremiti program koristei format koji omoguuje upravljanje i testiranje
svih paketa Windows Installer.
Podeavanje toke SDP (software distribution point)
Nakon to je isplanirano upravljanje programom, sljedei korak je kopiranje programa na jednu ili vie toaka SDP, tj. mrenih mjesta sa kojih korisnici mogu dobiti program koji im je potreban.
Za podeavanje toke SDP, potrebno je napraviti sljedei postupak:
1. Na file serveru kreirati direktorije za program koji e se predstavljati toke SDP i napraviti dijeljene (share) direktorije (npr. \\servername\sharname).
2. Smjestiti ili kopirati program, pakete, modifikacije, sve potrebne datoteke i komponente, na toku SDP.
3. Podesiti odgovarajue dozvole za direktorije. Administratorima treba podesiti pravo s kojim imaju potpunu kontrolu (Full contorl), a korisnicima treba dodijeliti pravo itanja ili izvoenja (Read) datoteka iz dijeljenog direktorija i toke SDP.
33
Kreiranje objekta GPO i konzole GPO za distribuciju programa
Nakon podeavanja toke SDP potrebno je kreirati GPO i MMC konzolu za GPO. Postupak je objanjen u 4. poglavlju u odlomcima 4.1.1. i 4.1.2.
Opisivanje svojstava distribucije programa za odreeni objekt GPO U ovom postupku definiraju se podrazumijevani parametri za sve pakete Windows Installer u objektu GPO u okviru za dijalog Software Installation Properties, koji se sastoji od sljedeih kartica: General, Advenced, File Exstensions i Categories.
Na karticama General i Advenced navodi se nain na koji elimo distribuirati i upravljati svim paketima Windows Installer u objektu GPO.
Na kartici File Exstensions navodi se koju e aplikaciju korisnici instalirati pri izboru datoteke sa nepoznatom oznakom tipa. Takoer, mogue je konfigurirati prioritet za instaliranje aplikacija kada je vie aplikacija povezano sa nepoznatom oznakom tipa datoteke.
Na kartici Categories mogue je oznaiti kategorije za organiziranje dodijeljenih ili objavljenih aplikacija kako bi korisnicima olakali pronalaenje aplikacije unutar opcije Add Or Remove Programs.
Neki parametri unutar opcije Software Installations Properties mogu se podesiti na nivou paketa mjenjanjem opcije Properties za odreeni paket Windows Installer. Dodavanje paketa Windows Installer objektu GPO i izbor naina za distribuciju paketa
U ovom koraku potrebno je specificirati programske aplikacije koje treba distribuirati pomou paketa Windows Installer u GPO, te specificirati kako se paket distribuira, da li je dodijeljen ili objavljen.
Za dodavanje paketa Windows Installer objektu GPO i odabir naina distribucije programa, potrebno je napraviti sljedee korake:
1. Otvoriti konzolu za distribuciju programa. U voru Computer Configuration ili User Configuration otvoriti Software Settings.
2. Desnom tipkom mia kliknuti na Software Installation, odabrati New i zatim
kliknuti na Package. 3. U prozoru Open, u spisak File Name unijeti UNC putanju
(\\servername\sharename) do toke SDP za pakete Windows Installer (.msi datoteke) i kliknuti na Open.
4. U prozoru Deploy Software potrebno je izabrati jednu od opcija:
Published, ako elimo objaviti paket Windows Installer. Assigned, ako elimo dodjeliti paket Windows Installer. Advanced, ako elimo podesiti paket Windows Installer.
34
5. Kliknuti na OK. Ukoliko je prethodno odabrana opcija Published ili Assigned
paket Windows Installer je dodan GPO-u. Ukoliko je odabrana ocija Aedcanced, otvara se prozor Properties za paket Windows Installer u kojem je mogue podesiti parametre paketa Windows Installer, kao to su opcije i modifikacije distrribucije. Podeavanjem paketa Windows Installer mogue je podesiti distribuciju svake aplikacije.
35
7. Kreiranje okruenja na Windows 2003 posluitelju koritenjem tehnike grupna pravila
U nastavku ovog diplomskog rada demonstrirati emo kreiranje okruenja na Windows 2003 posluitelju koritenjem tehnike grupna pravila.
Da bi uope mogli kreirati okruenje na Windows 2003 posluitelju potrebno je imati instalacijski CD-ROM za Windows Server 2003 i raunalo koje zadovoljava performanse potrebne za instalaciju Windows Server 2003 operacijskog sustava.
Minimalne performanse koje raunalo mora imati su: Kompletan hardver koji se koristi mora biti na spisku hardvera kompatibilnog s
Microsoftovim Windows Serverom 2003 i zadovoljavati zahtjeve navedene na adresi http://www.microsoft.com/windowsserver2003/evaluation/sysreqs/default.mspx
Minimalni CPU: 32-bitni procesor na 733 MHz Minimalni RAM: 128 MB Prostor na disku potreban za instalaciju: 2,0 GB CD-ROM ili DVD-ROM jedinica Monitor koji podrava rezoluciju 800 x 600 (preporuuje se 1024 x 768) Napomena u nastavku ovog praktinog rada polazimo od toga da je na raunalu ve
instaliran operacijski sustav Windows Server 2003.
7.1. Postavljanje neophodnih postavki na serveru za primjenu grupnih pravila
Kako bi mogli primijeniti grupna pravila na neko okruenje potrebno je prethodno
postaviti statiku IP adresu, prioritetni DNS server i instalirati aktivni imenik na eljeni server.
7.1.1. Postavljanje statike IP adrese i prioritetnog DNS servera
Prije nego to instaliramo aktivni imenik na server potrebno je postaviti statiku IP adresu i prioritetni DNS server. Za postavljenje statike IP adrese i prioritetnog DNS servera potrebno je napraviti slijedei postupak:
1. U izborniku Start izaberemo Network Connections. 2. Desnom tipkom mia kliknemo na Local Area Connections, a zatim iz padajueg
izbornika izaberemo Properties.
3. U okviru Local Area Connections Properties, na kartici General izaberemo Internet Protocol (TCP/IP), a zatim kliknemo na Properties.
36
4. U okviru za dijalog Internet Protocol (TCP/IP) Properties (slika 7-1), izaberemo
Use The Following IP Adress. Da bismo odredili statiku IP adresu za DNS server, upiemo IP adresu u polje IP Adress, masku podmree u polje Subnet Mask te podrazumijevanu IP adresu u polje Default Gateway.
slika 7-1: Okvir za dijalog Internet Protocol (TCP/IP) Properties s upisanim vrijednostima
5. Izaberemo dugme Use The Following DNS Server Adresses, a zatim u polje
Preferred DNS Server upiemo adresu prioritetnog DNS servera. Ako elimo, moemo odrediti Alternate DNS server kojeg server treba upotrijebiti u sluaju da ne bude primao odgovor od prioritetnog servera.
6. Kliknemo na OK.
7.1.2. Instalacija servisa aktivni imenik
Postoji nekoliko naina za instalaciju servisa aktivnog imena: Pomou arobnjaka Active Directory Instalations Wizard Pomou datoteke s odgovorima kako bi se instaliranje obavilo bez nadzora Pomou mree ili medija s rezervnom kopijom Pomou arobnjaka Configure Your Server
Za instalaciju aktivnog imenika u ovom sluaju instalacija se izvodi pomou arobnjaka Active Directory Instalations Wizard. Kako bi instalirali aktivni imenik potrebno je napraviti slijedee korake.
37
1. Za pokretanje arobnjaka Active Directory Instalations Wizard kliknemo na Start, zatim Run i upiemo naredbu za pokretanje dcpromo te kliknemo na OK.
2. Na stranici Welcome To Active Directory Instalations Wizard kliknemo na Next. 3. Na stranici Operating System Compatibility kliknemo na Next. 4. Na stranici Domain Controller Type (slika 7-2), izaberemo Domain Controller For a
New Domain i kliknemo na Next.
slika 7-2: arobnjak Active Directory Instalations Wizard stranica Domain Controller Type
5. Na stranici Create New Domain izaberemo Domain In A New Forest, i kliknemo na Next.
6. Na stranici New Domain Name (slika 7-3), u polje Full DNS Name For A New Domain upiemo ime domene "OSS.local" i kliknemo na Next.
slika 7-3: arobnjak Active Directory Instalations Wizard stranica New Domain Name
38
7. Na stranici NetBIOS Domain Name upotrijebiti emo podrazumijevano NetBIOS ime
u ovom sluaju to je "OSS" i kliknuti na Next. 8. Na stranici Database and Log Folders upiemo lokaciju za bazu podataka aktivnog
imenika u polje Database Folder, a dnevnik aktivnog imenika u polje Log Folder. Preporuljivo je Database Folder i Log Folder staviti na odvojene NTFS diskove. Zatim kliknemo na Next.
9. Na stranici Shared Syistem Volume, upiemo lokaciju direktorija Sysvol u polje Folder Location. Shared Syistem Volume mora biti smjeten na particiji koja je NTFS formatirana. Zatim kliknemo na Next.
10. Na stranici DNS Registration Diagnostics, kako jo nismo instalirali DNS, izaberemo opciju Install And Configure The DNS Server On This Computer, i kliknemo na Next.
11. Na stranici Permissions (slika 7-4), odaberemo opciju Permissions compatible only whit Windows 2000 or Windows Server 2003 operating systems i kliknemo na Next.
slika 7-4: arobnjak Active Directory Instalations Wizard stranica Permissions
12. Na stranici Directory Services Restore Mode Administrator Password, upiemo lozinku koju elimo dodijeliti administratoru domene i kliknemo na Next.
13. Na stranici Summary, moemo pogledati sve opcije koje smo prethodno izabrali. Nakon to prekontroliramo izabrane opcije kliknemo na Next.
14. I kad se pojavi stranica Completing The Active Directory Installation Wizard kliknemo na Finish, a zatim Restart Now.
15. Nakon ponovnog pokretanja raunala pojavljuje se stranica This Server Is Now A Domain Controller, i kliknemo na Finish. Aktivni imenik je sada instaliran na serveru.
39
7.2. Kreiranje OU strukture i korisnikih rauna unutar domene oss.local
Da bismo mogli formirati parametre grupnih pravila i skriti neke objekte, potrebno je
kreirati organizacijske jedinice. U ovom sluaju kreirati emo glavnu OU (OSS) unutar koje emo kreirati etiri sigurnosne razine OU-a i nazvati ih level 0, , level 4, te im dodati korisnike (Slika 7-5).
slika 7-5: Kreirana struktura OU unutar domene oss.local
Za kreiranje OU strukture prikazane na slici 7-2, potrebno je izvriti slijedee korake: 1. Kliknemo na Start, Administrative Tools i zatim izaberemo Active Directory Users
And Computers. 2. Desnom tipkom mia kliknemo na domenu (oss.local). Iz padajueg izbornika
odaberemo New, a zatim Organizational Unit (slika 7-6).
slika 7-6: Active Directory Users And Computers
40
3. U okviru New Object Organizational Unit (slika 7-7) upiemo ime nove organizacijske jedinice koju emo nazvati OSS i kliknemo na OK.
Slika 7-7: Okvir za dijalog New Object - Organizational Unit
Nakon kreiranja OU-a OSS, potrebno je ponoviti prethodni postupak za sve ostale OU-e (level 0, level 1, level 2, level 3, level 4). Jedina razlika je u tome to se ostale OU umjesto u domeni kreiraju u organizacijskoj jedinici OSS.
Da bi OU bile potpune, kreiraju se korisniki rauni. U ovom sluaju to su sljedei:
Gost za OU level 0 Referada za OU level 1 Student za OU level 2 Poweruser za OU level 3 Administrator za OU level 4
7.3. Primjena grupnih pravila na okruenje OSS
Nakon instaliranja aktivnog imenika, te kreiranja OU-e za primjenu grupnih pravila,
preostalo je formiranje GPO-a i MMC konzole za GPO. Postupak je objanjen u 4. poglavlju u odlomcima 4.1.1. i 4.1.2.
Kreiramo GPO-e za OU-e i MMC konzole za GPO-e te ih nazovemo redom: OSS za OU OSS, level 0 za OU level 0 level 1 za OU level 1 level 2 za OU level 2 level 3 za OU level 3 level 4 za OU level 4
41
7.3.1. Primjena grupnih pravila na OU OSS Na OU OSS potrebno je primijeniti pravilo aktivne radne povrine, s kojim je konfigurirana pozadina (wallpaper). Ovo pravilo se odnosi i na ostale OU-e (level 0, , level 4) budui da je OU OSS roditelj tih OU-a. Podrazumijeva se da svaki korisnik koji se prijavi na domenu ima istu pozadinu na raunalu.
Potrebno je uiniti slijedee: 1. Pokrenemo MMC konzolu OSS 2. Otvorimo OSS [server-2003.oss.local] Policy User Configuration
Administrative Templates Desktop Active Desktop 3. Unutar direktorija Active Desktop podesimo pravila:
Enable Active Desktop Enable Active Desktop Wallpaper Enable
(i u polje Wallpaper Name upiemo putanju do eljene pozadine koju smo prethodno spremili na lokaciju \\server-2003\slika\oss1.JPG)
4. Za premjetanje My Documents direktorija za sve korisnike domene na D:\
particiju potrebno je otvoriti OSS [server-2003.oss.local] Policy User Configuration Windows Setings Folder Redirection. Desnom tipkom mia kliknemo na My Documents i iz padajueg izbornika izaberemo Properties, te na kartici Target podesimo slijedee:
Za polje Setting izaberemo Advaced Specify locations for various user groups
U okviru Security Group Membership kliknemo na Add za dodavanje grupe korisnika (OSS\Domain Users) i odreivanje nove lokacije na kojoj e se direktorij My Documents nalaziti D:\Documents\%Username%\My Documents
7.3.2. Primjena grupnih pravila na OU level 0 (gosti) OU level 0 je razina s najmanjim pravima, emo koristiti za gost korisnike. Dozvoljeno im je koritenje Internet Explorera koji se sam pokree prilikom prijave korisnika na domenu.
Potrebno je uiniti slijedee:
1. Pokrenemo MMC konzolu level 0 2. Za onemoguavanje Windows Installer otvorimo level 0 [server-2003.oss.local]
Policy Computer Configuration Administrative Templates Windows Components Windows Installer i podesimo pravilo:
Disable Windows Installer Enabled
42
3. Za onemoguavanje upotrebe pisaa otvorimo level 0 [server-2003.oss.local] Policy Computer Configuration Administrative Templates Printers i podesimo pravilo:
Allow printers to be published Disabled
4. Za preusmjeravanje Start Menu direktorija za sve korisnike na istu lokaciju otvorimo level 0 [server-2003.oss.local] Policy User Configuration Windows Setings Folder Redirection. Desnom tipkom mia kliknemo na Start Menu i iz padajueg izbornika izaberemo Properties, te na kartici Target podesimo slijedee:
Za polje Setting izaberemo Basic redirect everyone`s folder to the same location
Za polje Target Folder Location izaberemo Redirect to the following location
U polje Root Path upiemo UNC putanju do mjesta na koje elimo preusmjeriti direktorij (\\Server-2003\gost\Start Menu). Prethodno smo napravili dijeljeni gost direktorij.
5. Za zabranu koritenja diskovnih particija i Windows+X hotkeys mogunosti
potrebno je otvoriti level 0 [server-2003.oss.local] Policy User Configuration Administrative Templates Windows Components Windows Explorer i podesiti slijedea prava:
Hide these specified drives in My Computer Enabled (Restrict all drives)
Prevent access to drives from My Computer Enabled (Restrict all drives)
Turn off Windows+X hotkeys Enabled
6. Za organiziranje Start menija potrebno je otvoriti (slika 7-8) level 0 [server-2003.oss.local] Policy User Configuration Administrative Templates Start Menu and Taskbar i podesiti slijedea prava:
Remove user's folders from the Start Menu Enabled Remove links and access to Windows Update Enabled Remove common program groups from Start Menu Enabled Remove My Documents icon from Start Menu Enabled Remove Documents menu from Start Menu Enabled Remove programs on Settings menu Enabled Remove Network Connections from Start Menu Enabled Remove Favorites menu from Start Menu Enabled Remove Search menu from Start Menu Enabled Remove My Pictures icon from Start Menu Enabled Remove My Music icon from Start Menu Enabled Remove My Network Places icon from Start Menu Enabled Remove Help menu from Start Menu Enabled Remove Run menu from Start Menu Enabled Add Logoff to the Start Menu Enabled Remove and prevent access to the Shut Down command Enabled Remove Drag-and-drop context menus on the Start Menu Enabled Prevent changes to Taskbar and Start Menu Settings Enabled Remove access to the context menus for the taskbar Enabled Do not keep history of recently opened documents Enabled
43
Clear history of recently opened documents on exit Enabled Turn off personalized menus Enabled Turn off user tracking Enabled Lock the Taskbar Enabled Force classic Start Menu Enabled Remove Balloon Tips on Start Menu items Enabled Remove pinned programs list from the Start Menu Enabled Remove frequent programs list from the Start Menu Enabled Remove All Programs list from the Start menu Enabled Remove the "Undock PC" button from the Start Menu Enabled Remove user name from Start Menu Enabled Hide the notification area Enabled Do not display any custom toolbars in the taskbar Enabled Remove Set Program Access and Defaults from Start menu Enabled
Slika 7-8: Group Policy za Level 0 vor Start Menu and Taskbar
7. Za organiziranje i izgled radne povrine potrebno je otvoriti level 0 [server-2003.oss.local] Policy User Configuration Administrative Templates Desktop i podesiti slijedea prava:
Remove My Documents icon on the desktop Enabled Remove My Computer icon on the desktop Enabled Remove Recycle Bin icon from desktop Enabled Remove Properties from the My Documents context menu Enabled Remove Properties from the My Computer context menu Enabled Remove Properties from the Recycle Bin context menu Enabled Hide My Network Places icon on desktop Enabled Don't save settings at exit Enabled Remove the Desktop Cleanup Wizard Enabled
8. Za zabranu koritenja Control Panela potrebno je otvoriti level 0 [server-2003.oss.local] Policy User Configuration Administrative Templates Control Panel i podesiti slijedee pravilo:
Prohibit access to the Control Panel Enabled
44
9. Za zabranu ili dozvolu koritenja aplikacija potrebno je otvoriti level 0 [server-
2003.oss.local] Policy User Configuration Administrative Templates System i podesiti slijedea prava:
Prevent access to the command prompt Enabled Run only allowed Windows applications Enabled
(i dodamo Iexplore.exe u listu aplikacija koji imaju dozvolu z
