Kao savjetnik, neprekidno sam svjestan važnosti ...
Upravljanje Ovlastima
Korisničkih Grupa
Kao savjetnik, neprekidno sam svjestan važnosti korporacijskih politika. Primjerice, ako ja parkiram preblizu zgradi netko požuri da mi kaže: "Ta parkirna mjesta su rezervirana za zaposlenike. Vi poduzetnici morate parkirati ondje." Ili ako ja napravim prijedlog koji odstupi predaleko od zadovoljstva kupca, upravitelj obično ukaže na važnost potpisanog ugovora i strpljivo objasni da " to ne funkcionira samo tako".
Ja sam dijete šezdesetih pa me sputava biti vezan nekakvom politikom i pravilima, ali ja sam svjestan njihove koristi. Bilo koja organizacija s više od dva zaposlena treba nekakvu politiku koja će odrediti uloge i način ponašanja. Ista stvar je i kod računala. Korisnici imaju određena očekivanja od svojih računala i mi računarci ne možemo udovoljiti tim očekivanjima, osim ukoliko ne provodimo mjere ujednačenosti na korisničkim računalima i poslužiteljima koji podržavaju te korisnike.
Microsoft je prepoznao ovu potrebu i unutar OS Windows 95 ugradio je dodatak za upravljanje koji se temelji na policama te ga nazvao System Policies. Zapravo, te police su bile zapakirana Registarska ažuriranja. Korisnici bi skidali (downloadali) dokument sa novostima (update-ima) prilikom prijave na računalo, nakon čega bi se te novosti primjenile na Registar računala.
Standardne sistemske police su bile samo korak u pravom smjeru, ali su imale nekoliko ozbiljnijih ograničenja:
➢ Sistemske police trajno bi promjenile Registar na lokalnom računalu. Microsoft ovo naziva tetoviranje (tattooing). Ako ste barem jednom krivo postavili sistemsku policu i nesvjeno je prosljedili na neko računalo onda sigurno znate koliko je zapravo teško ispraviti nastalu grešku iz razloga što se ta greške primjenila na Registar lokalnog računala.
➢ Sistemske police mogu upravljati samo određenim brojem procesa. Broj Registarskih zapisa koji su uključeni u standardni oblik sistemskih polica je jako malen, pa tako sistemske police ne mogu upravljati procesima koji se ne oslanjaju na Registarske postavke
➢ Sistemske police mogu biti distribuirane samo kao dio jednog dokumenta. U Windows NT taj document je Ntconfig.pol. U Windows 9x taj document je Config.pol. Ovo ograničenje da se sve promjene zapakiraju unutar jednog dokumenta čini sistemske police nefleksibilnima i problematičnima za upravljanje. Unutar .pol dokumenta moguće je stvoriti zasebne grupe, ali tada ovaj dokument postaje nezgrapan za održavanje i vrijeme njegovog skidanja naglo raste.
Počevši sa Windows 2000, Microsoft je uvelike promijenio upravljanje temeljeno na policama. Izbacio je nezgrapne, statične sistemske police koje su se temeljile samo na promjenama Registra i predstavio nove police koje je nazvao Ovlasti Korisničkih Grupa (Group Policy). Windows Server 2003 uključuje sve police koje su bile sastavni dio Windows 2000 plus dodatne police kako bi se što više iskoristile prednosti koje pružaju Windows 2000 poslužitelji i Windows XP stolna računala.
Ovo poglavlje govori o tome kako kreirati, distribuirati i upravljati Ovlastima Korisničkih Grupa. Usredotočio sam se na operativne karakteristike: Kako police funkcioniraju? Koji uvjeti moraju biti zadovoljeni kako bi se omogućilo njihovo korištenje? Što može uzrokovati njihovu neispravnost, I kako to najlakše popraviti?
Za opsežna objašnjenja ovlasti korisničkih grupa koja uključuju I mnoge primjere I savjete kako implementirati osobne police (individual policies) predlažem Vam knjigu autora Jeremy Moskowitza Windows 2000: Group Policy, Profiles, IntelliMirror.
Nove Karakteristike Windows Server 2003
Microsoft je dodao značaj broj polica u Windows Server 2003 zajedno sa novim karakteristikama koji poboljšavaju fleksibilnost i mogućnost otklanjanja pogrešaka.
➢ Preko 160 novih polica koji služe za kontroliranje dinamične DNS prijave, lutajućih profila, terminalnih poslužitelja i operacija unutar Kontrolne Ploče (Control Panel).
➢ Potpuno integrirani RSoP (Resultant Set of Policies) kalkulator. Ovaj kalkulator pojednostavljuje planiranje i otklanjanje pogrešaka ovlasti korisničkih grupa u tvrtkama koje imaju mnogo spremnika na koje se veže mnogo polica. RSoP kalkulacije se mogu izvršavati preko korisničkog sučelja (UI, User Interface) ili preko naredbene linije.
➢ Cjeloviti dnevnik rada RSoP računica koje se izvode na svakom računalu prilikom prijave korisnika. Dnevik rada (log file) je pohranjen u istoj bazi podataka koja pohranjuje parametre hardvera i operacijskog sustava koji su dostupni korištenjem WMI-a (Windows Management Instrumentation).
➢ Mogućnost filtriranja polica temeljenih na Registru kako bi se prikazale samo one police koje su dostupne za određenu verziju Windows-a. Ovim se smanjuje natrpavanje upravljačke konzole (MMC) i olakšava povezivanje polica sa određenim platformama.
➢ Mogućnost zabrane pokretanja određene aplikacije na korisničkom računalu. Zabrane se mogu temeljiti na određenim aplikacijama, mjestu (path) odakle se aplikacija pokreće ili na digitalnom certifikatu koji je dodjeljen aplikaciji.
➢ Uslužni program GPUPDATE koji služi za ažuriranje polica zamjenjuje Secedit uslužni program koji se koristio u Windows 2000. Secedit se sada koristi samo kada se želi primjeniti sadržaj iz sigurnosne baze.
Operativni Pregled Ovlasti Korisničkih Grupa
Politika računala ima mnogo zajedničkoga sa politikom tvrtki. Ako pitate nekoga iz HR odjela reći će vam da politika može imati učinka samo u slučaju da se prate neke smjernice:
➢ Politika tvrtke mora biti u obliku koji je razumljiv primaocu.
➢ Nešto što politika traži od primaoca mora biti realno i u domeni sposobnosti primaoca.
➢ Primaoca se često mora podsjećivati na politiku tvrtke da se nebi opustio.
U sljedećih nekoliko poglavlja razmatrat ćemo kako Ovlasti Korisničkih Grupa u Windows Server 2003 zadovoljavaju ove uvjete.
Svrha Ovlasti Korisničkih Grupa
U svojoj najjednostavnijoj namjeni ovlasti korisničkih grupa nam omogućavaju efikasno upravljanje velikim brojem računala. Točna definicija riječi "upravlja " u ovom slučaju može biti malo varljiva. Na primjer, škole za biznismene uče svoje polaznike da se ljudima zapravo ne može upravljati upravljati. Ljudi će vam dopustiti da ih vodite, da ih razapinjete, da im laskate, ali neće nikada izgubiti svoju svojeglavost.
Računala su ipak malo više "podložna", ali u konačnici su jako slična ljudima. Vi ne upravljate računalima; oni vam dopuštaju da ih vodite. Kao što ćete vidjeti, svako Windows Server 2003, Windows XP ili Windows 2000 računalo ima skupinu usluga koje znaju na koji način obraditi naredbe koje se nalaze unutar ovlasti korisničkih grupa. Na vama je, kao administratoru, da u pravo vrijeme pošaljete pravu naredbu na pravo mjesto.
U slijedećih nekoliko poglavlja vidjet ćete kako se stvaraju ovlasti korisničkih grupa, kako korinička računala znaju gdje ih pronaći, kako ih skinuti (downloadati) i što se dogodi kada se obrade. Znajući ovu informaciju, vidjete ćete kako implementirati različite tipove ovlasti korisničkih grupa i kako ukloniti greške ukolike police ne rade kako je predviđeno.
Komponente Ovlasti Korisničkih Grupa
Razmještanje ovlasti korisničkih grupa u velikoj tvrtki brzo i lako postane labirint prepun različitih, malih i zapletenih prolaza. Mišljenja sam da je Microsoft zakomplicirao stvar više nego je potrebno dodjeljujući pretenciozne stručne nazive komponentama ovlasti korisničkih grupa. Za početak ću ih predstaviti samo ukratko, a nakon toga ćemo ih objasniti do detalja.
➢ Objekt Ovlasti Korisničkih Grupa (Group Policy Object, GPO) Ne zamarajte se pretraživajući Aktivni Imenik (Active Directory) u potrazi za "objektom" koji nosi ime GPO. Micosoft upotrebljava termin GPO kao okrilje pod kojim se nalaze dvije komponente ovlasti korisničkih grupa: Spremnik Ovlasti Korisničkih Grupa (Group Policy Container) i Predložak Ovlasti Korisničkih Grupa (Group Policy Template). Objekti spremnika u Aktivnom Imeniku, kao što su primjerice lokacije, domene i organizacijske jedinice (Ogranization Units, OU) mogu biti povezani sa GPO-om. Ovo znači da će se postavke GPO-a primjeniti na korisnike i računala koja se nalaze pod okriljem toga spremnika.
➢ Predložak Ovlasti Korisničkih Grupa (Group Policy Template, GPT) GPT je zapravo skup naredbi koji služi za implementaciju skupa polica. Primjerice, police koje ažuriraju Registar su pohranjene unutar GPT dokumenta pod imenom Registry.pol. GPT-i koji se temelje na dokumentima su pohranjeni u direktorijima police unutar Sysvol direktorija koji se nalaze na svakom domenskom kontroloru. Slika 1 prikazuje primjer:
Slika 1. Standardni Sysvol direktorij prikazuje direktorije ovlasti korisničkih grupa i GPT dokument
[pic]
➢ Spremnik Ovlasti Korisničkih Grupa (Group Policy Containrer, GPC). GPC je objekt Aktivnog Imenika koji izlistava imena GPT-a koji su povezani sa određenim GPO-om. Korisnici Windows-a koriste informacije koje se nalaze unutar GPC-a da bi odredili koji GPT trebaju skinuti (downloadati) i obraditi. (U Microsoftovoj dokumentaciji se može pojaviti da se izrazi GPO i GPC koriste naizmjenično.)
➢ Nastavci na Strani Korisnika (Client-Side Extensions, CSE). Pomoću ovlasti korisničkih grupa moguće je upravljati različitim funkcijama na strani Windows korisnika. Ove funkcije imao usluge koje znaju kako dobiti i obraditi ovlasti korisničkih grupa koje su njima namjenjene. Ove usluge se nazivaju Nastavci na Strani Korisnika (Client-Side Extensions, CSE) i dolaze u obliku Dynimic Link Libraries ili skraćeno DLL. Primjerice, police koje služe za preusmjeravanje direktorija obrađuje Fdeploy.dll CSE.
➢ Uređivač Ovlasti Korisničkih Grupa (Group Policy Editor, GPE). GPE je MMC (Microsoft Managment Console ) dodatak koji kreira i upravlja GPO-ima. Slika 2 prikazuje GPE od Police Unaprijed Zadane Domene (Default Domain Policy),jedan od ukupno dva GPO-a je instaliran u svakoj domeni.
Slika 2. Konzola Uređivača Ovlasti Korisničkih Grupa prikazuje sadržaj Police Unaprijed Zadane Domene
[pic]
➢ Police računala i police korisnika (Computer policies and User policies). Postavke polica iz GPO-a mogu se primjeniti i na računala, ali i na korisnike. Računala skidaju svoje police prilikom svog pokretanja. Korisnici skidaju svoje police kada se prijavljuju na domenu. Razmještanje ovlasti korisničkih grupa može biti jako složeno zbog dvostruke podjele GPO-a.
➢ Grupne i lokalne police (Group policies and local policies). Ne skidaju se sve police sa domene. Svaki korisnik ima svoju vlastitu bazu lokalnih polica koje se primjenjuju kada korisnik nije član domene ili kada se korisnik radije prijavi na SAM (Security Account Manager) bazu nego na domenu.
Pogledajmo sada operativne detalje ovih komponenti kako bi dobili bolji uvid u to kako one zajedno funkcioniraju poradi kreiranja, razmještanja i upravljanja ovlastima korisničkih grupa.
Objekti Ovlasti Korisničkih Grupa
Izraz Objekt Ovlasti Korisničkih Grupa (Group Policy Object, GPO) je fraza koja objedinjuje dva sastavna dijela ovlasti korisničkih grupa: Spremnike Ovlasti Korisničkih Grupa (Group Policy Container, GPC) i Predloške Ovlasti Korisničkih Grupa (Group Policy Templates, GPT). Izraz GPO se koristi kako bi se objedinile dvije navedene komponente iz razloga što bi GPC i GPT uvijek trebali biti usklađeni.
Promatranje i mijenjanje GPO-a
Možete vidjeti GPO-e koji su povezani sa određenim spremnikom Aktivnog Imenika tako da otvorite Properties prozora spremnika koji se nalazi unutar AD Users and Computers (ili AD Sites and Services, u tom slučaju pokretanjem Properties prozora Site Policies-a) i odaberete karticu Group Policy. Slika 3 pokazuje listu GPO-a neke organizacijske jedinice (OJ).
Svaka domena sa Aktivnim Imenikom ima dva unaprijed zadana (defaultna) GPO-a:
➢ GPO Unaprijed Zadane Domene. Ovaj GPO sadrži sigurnosne postavke koje zahvaćaju svako računalo unutar domene. GPO je povezan sa objektom Domene.
➢ GPO Kontrolora Unaprijed Zadane Domene. Ovaj GPO sadrži sigurnosne i konfiguracijske postavke koje zahvaćaju domenske kontrolore. GPO je povezan sa OJ Domenski Kontrolori.
Slika 3. Properties prozor neke organizacijske jedinice koji prikazuje izlist GPO-a
[pic]
Uglavnom, ovlasti korisničkih grupa zahvaćaju one objkete koji se nalaze unutar spremnika koji je povezan sa GPO-m (djeluje i na sve podspremnike, zahvaljujući nasljeđivanju). Police GPO kontrolora unaprijed zadane domene funkcioniraju malo drukčije. Ovaj GPO sadrži mnogo važnih sigurnosnih postavki koje su ključne za ispravno funkcioniranje domenskog kontrolora. Zato, GPO kontrolor unaprijed zadane domene doslovno stjera objekte domenskog kontrolora bez obzira gdje se nalaze u Aktivnom Imeniku. Dok Organizacijska jedinica Domenski Kontrolor zapravo samo služi kao sidro GPO-a.
Primjenjivanje Ovlasti Korisničkih Grupa Korištenjem GPUPDATE-a
Korisničke police nemaju nikakvog učinka dok se korisnik ne odjavi i nakon toga ponovno prijavi, isto tako ni police računala nemaju učinka sve dok se računalo ne resetira. Ovlasti Korisničkih Grupa se također mogu primjeniti kao rezultat povremenog pozadinskog osvježavanja.
Ukoliko želite da se ovlasti korisničkih grupa primjene odmah, upotrijebite GPUPDATE uslužni program. Potrebno je otvoriti “command prompt” i utipkati gpupdate. Ovaj uslužni program zamjenjuje Secedit “prekidače” (switch-eve) koji su korišteni u Windows 2000 a imali su svrhu primjene nove ovlasti korisničkih grupa. Pomoću /target "prekidača" možete odlučiti da li nove ovlasti korisničkih grupa želite primjeniti na računala (gpupdate /target:computer) ili na korisnika (gpupdate /target:user).
Ako želite primjeniti ovlasti korisničkih grupa na korisnika, a to traži odjavu/prijavu da bi se zaista vidjeli rezultati, koristite /logoff "prekidač". Sintaksa naredbe je: gpupdate /target: user /logoff. Ako nakon ove naredbe željene police nemaju učinka, tada se zapravo i nije izvršila odjava.
Ako želite primjeniti ovlasti korisničkih grupa na računalo, a to traži reset računala da bi se zaista vidjeli rezultati, koristite /boot "prekidač". Sintaksa naredbe je: gpupdate /target: computer /boot. Ako nakon ove naredbe željene police nemaju učinka, tada se zapravo i nije izvršio reset računala.
Logično, GPUPDATE uslužni program skida samo one ovlasti korisničkih grupa koje su se promijenile od posljednjeg skidanja. Ova kvaliteta GPUPDATE-a nam štedi širinu pojasa (bandwidth) ne poduzimajući nepotrebne akcije koje bi dodatno opteretile mrežu. Ako želite skinuti i primjeniti sve postojeće police, upotrijebite /force "prekidač”. Sintaksa korištenja je: gpupdate /force.
Brojevi Verzija GPO-a
Sustav prati promjene koje su nastale u određenom GPO-u tako da svaki put kada dođe do promjene poveća vrijednost atributa broj verzije (version number). Broj verzije dolazi u zanimljivom obliku jer sustav pronalazi novosti odvojeno za Korisnički Konfigurirane police i Računalno Konfigurirane police sa istim brojem verzije. Ovako izgleda način povećavanja broja verzije GPO-a:
➢ Kada napravite promjenu unutar postavki Računalno Konfigurirane police, broj verzije GPO-a se poveća za jedan.
➢ Kada napravite promjenu unutar postavki Korisnički Konfigurirane police, broj verzije GPO-a se poveća za 65536.
Sustav prepoznaje dva dijela broja verzije GPO-a kao razinu provjere (revision level) svakog dijela. Kada korisnik prepozna broj verzije GPO-a, prvo što napravi je da taj broj podijeli sa 65536. Rezultat je razina provjere Korisnika. Ostatk je razina provjere Računala. Na primjer, broj verzije GPO-a 131075 bi dobio razinu provjere Korisnika 2 i razinu provjere Računla 3.
Razine provjere pridružene GPO-u možete vdjeti unutar Properties prozora GPO-a. Slika 4 prikazuje primjer.
Slika 4. Prozor Svojstava prikazuje razinu provjere za oba dijela GPO-a
[pic]
Pohranjivanje Broja Verzije GPO-a
Zapravo, ne postoji GPO u koji se pohranjuju brojevi verzija. GPO se sastoji od GPC-a i GPT-a, pa se primjerak broja verzije pohranjuje u svakom po sljedećem sustavu:
➢ GPC objekt u Aktivnom Imeniku pohranjuje broj verzije unutar VersionNumber atributa. Ovo je ulomak liste atributa GPC-a koja prikazuje i VersionNumber atribut:
versionNumber: 65538;
gPCFunctionalityVersion: 2;
gPCFileSysPath: \\\SysVol\\Policies\
{5D769292-2424-4D93-A8BC-3EDD73BC58FB};
gPCMachineExtensionNames: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
{0F6B957D-509E-11D1-A7CC-0000F87571E3}];
gPCUserExtensionNames: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
{0F6B957E-509E-11D1-A7CC-0000F87571E3}];
gPCWQLFilter: [;{F76FB374-E3B3-434E-953D-0FDDFB634FCF};0];
➢ Broj verzije GPT-a je pohranjen unutar Gpt.ini dokumenta koji se nalazi unutar Syvol direktorija. Ovo je primjer kako to izgleda:
[General]
Version=65538
displayName=TestGPO
Rješavanje Problema GPO Usklađivanja
Brojevi verzija GPC-a i GPT-a bi uvijek trebali biti ukoliko se nalaze unutar istog GPO-a. Također, sadržaj dvaju komponenti GPO-a bi uvijek trebao biti isti na bilo kojem domenskom kontroloru. Nekakva razlika izmđu ove dvije komponente upućuje na to da je došlo do replikacijske pogreške.
Brojevi verzija GPT-a i GPC-a moge se razlkovati kratko vrijeme na što utječe različitost replikacijskih metoda korištenih za izvršavanje promjena:
➢ GPC promjene se repliciraju korištenjem replikacijskog stroja Aktivnog Imenika. Ažuriranje unutar same lokacije traje 15 minuta, a ažuriranje imeđu više različitih lokacija potraje i do 3 sata.
➢ GPT promjene unutar Sysvol-a se repliciraju korištenjem Usluge za Repliciranje Dokumenata (FIle Replication Servica , FRS). FRS je puno brži replikator od replikatora Aktivnog Imenika. U većini slučajeva, promjene unutar Sysvola repliciraju se gotovo trenutno.
Da bi se izbjegli problemi koji nastaju zbog male brzine GPC repliciranja u odnosu na GPT, korisnici skidaju sadržaj ažuriranog GPT-a čak i ako se broj verzije ne poklapa sa pripadajućim GPC-om. Ovo znači da ne postoje nekakve moguće indikacije o različitosti berojeva verzija GPC-a i GPT-a. Trebali biste često provjeravati brojeve verzija.
Najbolji uslužni program za pronalaženje različitosti između brojeva verzija GPC-a i GPT-a, i razlika između sadržaja GPO-a odvojenih domenskih kontrolora je GPOTOOL koji se nalazi unutar Resource Kit-a. Pomoću Raspoređivača Zadaća (Task Scheduler) trebali biste postaviti da se GPOTOOL pokreće svake večeri i da pritom spremi rezultate tako da ih možete pregledati narednog dana.
Za brzu i točnu provjeru brojeva verzija GPC-a i GPT-a, možete koristiti Replikacijski Monitor (Replmon) uslužni program koji se nalazi unutar Alata za Podršku (Support Tools). Kliknite desnom tipkom miša na ikonu Poslužitelja (Server) i odaberite SHOW GROUP POLICY STATUS iz padajućeg izbornika. Slika 5 prikazuje primjer:
Slika 5. Status GPO usklađenosti prikazan pomoću Replmon-a
[pic]
|Dijagnostičko Praćenje Usluge za Repliciranje Dokumenata |
| |
|Ako mislite da probleme u održavanju dosljednosti izmjeđu verzija GPT-a i GPC-a i domenskog kontrolora uzrokuje FRS, omogućite izvođenje |
|uklanjanja pogrešaka FRS-a. Za ovo su potrebne promjene Registra. Dodajte sljedeću vrijednost (broj 5 omogućava najpotpuniju prijavu): |
| |
|Ključ: HKLM | System | CurrentControlSet | Services NtFrs | Parameters |
|Vrijednost: DebugLogSeverity (REG_DWORD) |
|Podaci: 5 |
Nastavci na Strani Korisnika (Client-Side Extensions, CSE)
Ako ste roditelj, ili ako vas je roditelj odgojio ili ako možda poznajete nekog roditelja (…nekog sam zaboravio?) onda bi mogli lako shvatiti kako je to upravljati Ovlastima Korisničkih Grupa.
Ako kažete petogodišnjem djetetu : "Ne vuci noge po toj prljavštini! ", očekujete da će vas dijete poslušsati i prestati to raditi. Nećete mu morati objašnjavati da bi trebao noge podizati malo više, ili kako da održi ravnotežu dok stoji na jednoj nozi, jer dijete već posjeduje te vještine. Vaša kratka "naredba" trebala bi biti jasna djetetu da se tako počne ponašati. (U ovom poglavlju pogledajte kako riješiti probleme ukoliko se vaša računala krenu ponašati kao petogodišnjaci.)
Windows Server 2003 sadrži 11 funkcija koje su upravljane Ovlastima Korisničkih Grupa. Sve te funkcije osim RIS-a (Remote Installation Services-a) i programskih zabrana (software restrictions) imaju uslugu koja se pokreće na strani korisnika koji obrađuje Ovlasti Korisničkih Grupa. Ove usluge se nazivaju nastavci na strani korisnika (Client Side Extensons, CSE). Svaki CSE se pokreće kao dio DLL-a (Dynamic Link Library). Tablica 1 prikazuje listu funkcija koje kontroliraju ovlasti korisničkih grupa i njihovu povezanost sa CSE-om.
Tablica 1. Vrste Ovlasti Korisničkih Grupa i Nastavci na Strani Korisnika
|Tip Ovlasti Korisničkih Grupa |Pripadajući DLL |
|Administrativni Predlošci (Administrative Templates), Registar |Userenv.dll |
|Preusmjeravanje Direktorija (Folder Redirection) |Fdeploy.dll |
|Logon/Logoff (startup/shutdown) Skripte |Gptext.dll |
|Sigurnosne Postavke (Security Settings) |Scecli.dll |
|Instalacija Programa (Software Installation) |Appmgmt.dll |
|Kvote Diskova (Disk Quotas) |Dskquota.dll |
|EFS Recovery i PKI |Scecil.dll |
|Održavanje IE (IE Maintenance) |Iedkcs32.dll |
|IP Sigurnost (IP Security) , IPSEC |Gptext.dll |
|Usluga za Udaljenu Instalaciju (Remote Installation Service), RIS |Prva Zabilješka |
|QoS Packet Scheduling |Gptext.dll |
|Programske Zabrane (Software Restrictions) |Druga Zabilješka |
|Bežično Umrežavanje (Wireless Networking) |Gptext.dll |
|Prva Zabilješka: RIS police nemaju nastavak na strani korisnika. RIS poslužitelj dobije sadržaj police kada BINL (Binary Negotiation |
|Layer) primi zahtjev za spajanjem od strane RIS korisnika. Ova polica određuje koje OSC dokuemnte će RIS poslužitelj uključiti kao dio |
|Korisničkog Čarobnjaka za Instalaciju. |
| |
|Druga Zabilješka: Programske zabrane su implementirane direktno u OS kao odgovor na Registarske zapise koji su stavljeni na mjesto od |
|strane polica. Ne postoji odvojeni nastavak na strain korisnika. |
Nije potrebno pamtiti sve nastavke, ali bilo bi poželjno upamtiti da svaki ima određene metode pomoću kojih rukuje ovlastima korisničkih grupa koje primi. Metode rukovanja uključuje sljedeće:
➢ Pozadinsko osvježavanje (background refresh)
➢ Usklađeno obrađivanje (synchronous processing)
➢ Obrađivanje sporih veza (slow link processing)
➢ Prisilna ažuriranja (forced updates)
➢ Obrađivanje skripti (script processing)
U nastavku pogledajte pojedinosti o posebnim metodama rukovanja i načinu na koji ih konfigurirati.
|Savjet za Registar: Lista Nastavaka na Strani Korisnika |
| |
|Listu nastavaka na strani korsnika možete pronaći u Registru na lokaciji: HKLM | Software | Microsoft | Windows NT | CurrentVersion | |
|Winlogon | GPExtensions. |
|Popis koristi ClassID (drugi izraz za GUID) kako bi prepoznao CSE-ove. Sa jednom iznimkom, (Unaprijed Određeni) vrijednosti CSE ključa |
|imaju poznat (prijateljski) naziv. Ova iznimka je polica Administrativnog Predloška, podebljana u narednoj listi, i ona nema unaprijed |
|određenu vrijednost ključa: |
| |
|{25537BA6-77A8-11D2-9B6C-0000F8080861} = Folder Redirection |
|{35378EAC-683F-11D2-A89A-00C04FBBCFA2} = |
|{3610eda5-77ef-11d2-8dc5-00c04fa31a66} = Microsoft Disk Quota |
|{426031c0-0b47-4852-b0ca-ac3d37bfcb39} = QoS Packet Scheduler |
|{42B5FAAE-6536-11d2-AE5A-0000F87571E3} = Scripts |
|{827D319E-6EAC-11D2-A4EA-00C04F79F83A} = Security |
|{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B} = Internet Explorer |
|Branding |
|{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A} = EFS recovery |
|{c6dc5466-785a-11d2-84d0-00c04fb169f7} = Software Installation |
|{e437bc1c-aa7d-11d2-a382-00c04f991e27} = IP Security |
|{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63} = Wireless |
| |
|Upotrijebite ovu listu da omogućite pronalaženje i uklanjanje pogreški kako bi riješili problem u ovlastima korisničkih grupa. Neki |
|programi za pronalaženje pogreški (debugger) prepoznaju CSE-ove po njihovom ključu prije nego po njihovom poznatom imenu. |
|Ako u Regedit-u pogledate listu CSE-ova, primjetit će te kako četiri CSE-a kontrolira isti DLL. Gptext.dll sadrži funkcije koje |
|kontroliraju QoS Packet Scheduler, IPSec, bežično umrežavanje i skripte. Ovo nema negativne učinke na sam sustav, ali može biti jako |
|zbunjujuće kada pregledavate dnevnik rada otklanjanja pogrešaka. |
Pozadinsko osvježavanje
Police računala se primjenjuju kada se računalo pokreće. Police korisnka se primjenjuju prilikom prijave korisnika. Izgleda prilično jednostavno, a da li je to zapravo tako? Police se mogu primjeniti i tokom radnog dana, bez prisiljavanja korisnika da se odjavi/prijavi ili da resetira računalo. Baš iz ovoga razloga svaki CSE zahtjeva povremeno ažuriranje svoje ovlasti korisničkih grupa.
Po unaprijed zadanoj vrijednosti, domenski kontrolori osvježavaju svoje police svakih 5 minuta, dok serveri i korisnička računala osvježavaju svoje police svakih 90 do 120 minuta. (Točan interval varira kako bi se spriječilo da svi korisnici pristupaju serveru u isto vrijeme.) Dva se tipa polica ne osvježavaju u pozadini jer bi to prouzrokovalo nestabilnost i zbrku:
➢ Preusmjeravanje Direktorija
➢ Distribucija programa
Police skripti se obrađuju tijekom pozadinskog osvježavanja ali nemaju učinka sve dok se korsinik ne odjavi i zatim ponovno prijavi. (Ili dok se, u slučaju računalnih skripti, računalo ne resetira.)
Police programskih zabrana se osvježavaju u pozadini i odmah imaju učinak. Međutim, može se dogoditi da primjetite neobično ponašanje koje je uzrokovano načinom na koji je sustav implementirao programske zabrane.
Kad se pokrene proces na strani korisnika, on čita programske zabrane iz Registra. Privremno sprema (cachinng) zabrane kako bi ubrzao obrađivanje kada se sljedeći put pokrene. To znači da trenutni procesi neće vidjeti određenu zabranu sve dok se ti procesi ponovno ne reinicijaliziraju. Iz razloga što se većina aplikacija pokreće iz Explorera, ova reinicijalizacija obično traži odjavu. (Možete zaustaviti i resetirati Explorer koristeći Upravitelja Zadaća (Task Manager), ali ovo nije akcija koju će biti u stanju izvršiti prosječni korisnici koji se služe mrežom.)
Pravilo odjave kod programske zabrane ima jednu iznimku. CMD konzola radi neovisno od Explorera, pa kada nova programska zabrana bude dodjeljene računalu, dodjeli se CMD-u, a ne Exporeru. Ovo može dovesti do zbrke, pa se pripremite za HelpDesk (pozive za pomoć) pozive svojih power-korisnika ako budete implementirali police programske zabrane.
Usklađeno Obrađivanje
Kada nastavci na strani korisnika skidaju i obrađuju svoje police, treba proći neko vrijeme kako bi obavile svoj posao. Obavljanje toga posla korisnici vide kao određeno kašnjenje prilikom “jutarnje” prijave. Jedna od glavnih zamisli u Windows XP (i u Windows Serveru 2003, samo u manjoj mjeri) OS je bila da se to kašnjenje smanji. Kako bi razumjeli način na koji je Microsoft odlučio smanjiti ta kašnjenja prouzrokovanih novim ovlastima korisničkih grupa, moramo obratiti pažnju na dvije metode obrađivanja:
➢ Usklađen (Synchronous). Koristeći se ovim načinom obrađivanja svi nastavci na strani korisnika moraju odraditi svoj posao prije nego se kontrola što ih je pozvala vrati procesu. U slučaju polica na strani računala, pozivajući proces je Winlogon. U slučaju polica na strani računala pozivajući proces je Userenv. Izraz usklađen je malo proturječan, jer se pri spomenu ovog izraza obično misli da ima značenje "u isto vrijeme". No, u ovom kontekstu se misli na to da se procesi odvijaju u nizu.
➢ Neusklađen (Asynchronous). Koristeći ovaj izbor obrade, kontrola je vraćena pozivnom procesu toliko čim svi nastavci na strani korisnika budu obavješteni da započinje obrađivanje.
|Promjena intervala Pozadinskog Osvježavanja |
| |
|Možete promijeniti unaprijed određeni interval pozadinskog osvježavanja preko dvije police koje su smještne unutar Computer Configuration|
|| Administrative Templates | System | Group Policy: |
| |
|Group Policy Refresh Interval for Computers |
|Group Policy Refresh Interval for Domain Controllers |
| |
|Osim uobičajenih intervala osvježavanja (90 do 120 minuta), korisnici također osvježavaju svoje sigurnosne police svakih 16 sati. Tijekom|
|ovog osvježavanja korisnik skida sve sigurnosne police, bez obzira na to da li su se one promijenile od prošlog puta. |
|Za razliku od petominutnog i devedesetminutnog pozadinskog osvježavanja, koje kontroliraju vrijednosti koje se nalaze unutar “hlapljivih”|
|ključeva polica u Registru, 16-satno pozadinsko osvježavanje je teško-kodirano (hard-coded) u Registru unutar Winlogon | Parameters |
|ključa. Registarski zapis koji kontrolira interval pozadinskog osvježavanja izgleda ovako: |
| |
|Ključ: HKLM | Software | Microsoft | WindowsNT | CurrentVersion | Winlogon | GPExtensions | {82…} |
|Podaci: MaxNoGPOListChangesInterval |
|Vrijednost: 3c0 (960) |
Krajnji rezultat usklađenog obrađivanja je taj da se korisniku ne prikazuje prozor za prijavu (logon window) dok ne završi obrađivanje svih polica na strani računala i ne pokreće se sustav sve dok ne završi obrađivanje polica na strani korisnika. Ovo je unaprijed zadan parametar obrađivanja za Windows 2000, osim za skripte na strani korisnika koje se obrađuju neusklađeno.
Krajnji rezultat neusklađenog obrađivanja je taj da se korisniku prikaže prozor za prijavu dok se police na strani računala još obrađuju, ili mu se prikaže desktop nakon što se obrade police na strani korisnika. Ovo ubrzava prijavu na sustav i ovo je unaprijed određeni oblik obrađivanja u Windows XP i u Windows Server 2003 OS.
Neusklađeno obrađivanje može izazvati nepravilnosti u radu ukoliko se postavke računala ili dijelovi iz korisničkog okruženja oslone na postavke koje ste definirali unutar Ovlasti Korisničkih Grupa. Zbog ovoga razloga dvije police za posebno rukovanje su izdvojene: preusmjeravanje direktorija i razmještaj programa. Ako želite da se vaše skripte pokreću uzastopno, ili ako želite da se izvrše prije nego što se korisnicima prikaže njihov desktop, omogućite izvođenje ovlasti korisničkih grupa koje nose naziv: Pokretanje Logon Skripti Usklađeno (Run Logon Script Synchronously).
Budite sigurni da su vam skripte ispravne ukoliko omogućite izvođenje ove police. Ako skripta nije ispravna, korisnicima neće biti omogućen pristup u njihov sustav. Maksimalno vrijeme obrađivanja svake pojedinačne skripte je 10 minuta, i sve ovlasti korisničkih grupa moraju završiti u roku od 60 minuta. To je predugo vrijeme za izvršavanje određene skripte.
Vrijeme čekanja od 60 minuta ne može biti promjenjeno pomoću ovlasti korisničkih grupa ili nekakvih promjena unutar Registra. Desetminutno vrijeme obrađivanja za svaku zasebnu skriptu može se mjenjati pomoću police nazvane Maksimalno Vrijeme Čekanja za Skripte Ovlasti Korisničkih Grupa (Maximum Wait Time For Group Policy Scripts). Ova polica se nalazi unutar Computer Configuration | Administrative Templates | System | Scripts.
Obrađivanje Sporom Vezom
Upravo kada ste pomislili da razmještanje ovlasti korisničkih grupa ne može biti kompliciranije od ovoga, zamislite neprilike korisnika koji se spajaju sa udaljenih lokacija putem spore veze kao što je primjerice telefonska linija ili DSL/ADSL.
|Obrađivanje Ovlasti Korisničkih Grupa i Mrežna Inicijalizacija |
| |
|Drugu stvar koju je napravio Microsoft da bi ubrzao vrijeme prijavljivanja bilo dostavljanje desktopa korisniku prije nego što je mreža |
|kompletno inicijalizirana. Ovo je značajno ubrzalo vrijeme prijave, ali ima neke loše nuspojave za Ovlasti Korisničkih Grupa. |
|S odgođenom provjerom mrežne inicijalizacije, morate primjerice, izvršiti dvije prijave da bi implementirali policu za razmještanje |
|programa. Prva postavlja policu, a druga skida programski paket. |
|Drugi primjer koristi napredne dodatke u polici preusmjeravanja direktorija da bi odabrao određenu grupu. U ovakvoj konfiguraciji, morate|
|izvesti tri prijave: jednu za postaviti policu, drugu za odrediti grupu i treću za implementirati preusmjeravanje direktorija. |
|Možete se vratiti natrag na standardnu Windows 2000 provjeru mreže koristeći Always Wait For The Network At Computer Startup And Logon |
|Policy. Ova polica se nalazi unutar Computer Settings | Administrative Templates | Logon. |
Svaki nastavak na strani korisnika ima drugačiji način obrađivanja polica preko spore veze. Sljedeći tipovi polica se uvijek obrađuju bez obzira na brzinu veze:
➢ Sigurnosne Police (uključujući EFS i IPSec police)
➢ Police Administrativnih Predložaka (Registar)
➢ Programske Zabrane
Sljedeće police se ne obrađuju korištenjem spore veze, osim ukoliko nisu konfigurirane drugačije:
➢ Postavke Kvote
➢ Preusmjeravanje Direktorija
➢ Logon/logoff (startup/shutdown) skripte
➢ Održavanje Internet Explorera
➢ QoS Packet Scheduling
➢ Instalacija Programa
Možete odbaciti svojsta vezana za sporu vezu određenog CSE-a koristeći Allow Processing Across A Slow Network Connection postavku za određenu policu koja se nalazi unutar Computer Configuration | Administrative Templates | System | Group Policy.
Prisilna Ažuriranja
Kako je unaprijed zadano, korisnik štedi širinu pojasa i skraćuje vrijeme prijave skidajući i obrađujući samo one ovlasti korisničkih grupa koje su se promijenile od posljednjeg puta.
Korisnik provjerava da li ima najnoviju verziju GPO-a određivanjem broja verzije koji je dodjeljen dvjema GPO komponentama:
➢ Gpt.ini dokument koji se nalazi unutar Sysvol korijenoskog direktorija police
➢ GPC objekt koji se nalazi unutar Aktivnog Imenika
|Mjenjanje Isključujuće Brzine Spore Veze |
| |
|Windows Server 2003 definira svaku vezu koja je sporija od 500Kbps kao sporu vezu. Sustav odredi brzinu veze tako da šalje nizove ICMP |
|(Internet Control Managment Protocol) ponavljajućih zahtjeva (pingova) sa povećom nosivosti prema prolazu (gateway-u) i nakon toga mjeri |
|povratno vrijeme ponavljajućih odgovora. |
|Ako imate korisnike koji se spajaju na posao koristeći VPN (Virtual Private Network) mrežu preko brzog DSL-a ili sa kabelskim modemom, |
|brzina njihove veze može prijeći 500 Kbps tako da imaju mogućnost skidanja ovlasti korisničkih grupa. Također, mogu postojati razlozi |
|zbog kojih biste im željeli onemogućiti downloadanje ovlasti korisničkih grupa. Brzina od 500 Kbps je prilično brza za surfanje |
|Internetom, ali jako spora kada je u pitanju skidanje programa. Također, možda ne želite dopustiti korisnicima implementaciju novih |
|polica od kuće gdje nemaju pripremljen pristup tvrtkinom HelpDesku. |
|Možete podesiti isključujuću brzinu koja služi za određivanje koja je veza spora, a koja nije, pomoću ovlasti korisničkih grupa koje nose|
|naziv Određivanje Spore Veze Ovlastima Korisničkih Grupa (Group Policy Slow Link Detection). Ova polica se nalazi unutar Computer |
|Configuration | Administrative Templates | System | Group Policy. |
Svaki put kada korisnik skida sadržaj GPO-a, sprema broj verzije GPC-a. Vrijednost je pohranjena u Registru unutar HKLM | Software | Microsoft | Windows | CurrentVersion | Group Policy | History.
Sljedeći put kada klijent traži GPO, određuje broj verzije unutar Gpt.ini i GPC-a. Ako je bilo koji broj verzije veći od onoga trenutno pohranjenog u Registru, korisnik obrađuje GPO.
Možete prisiliti korisnika da ignorira atribut “broj verzije” kada obrađuje GPO. Rezultat ovoga će biti taj da će korisnik skinuti sve police čak i ako nije došlo do promjena. Ovo se može izvršiti koristeći ovlasti korisničkih grupa koje nose naziv Obradi Iako Se Objekti Ovlasti Korisničkih Grupa Nisu Promijenile (Process Even If The Group Policy Objects Have Not Changed). Morate odrediti ovu policu za svaki pojedinačni CSE. Police vezane za CSE smještene su unutar Computer Configuration | Administrative Templates | System | Group Policy.
Obrađivanje Skripti
U Windows 2000, skripte za prijavu na strani korisnika se pokreću neusklađeno čak i ako se sve druge police, uključujući skripte na strani računala pokreću usklađeno. U Windows Server 2003 i XP-u, kao što smo imali priliku vidjeti sve se police pokreću neusklađeno. Ako želite da se skripte za prijavu na strani korsinika izvedu prije nego što korisnik vidi svoj desktop, omogućite izvođenje ovlasti korisničkih grupa koje nose naziv Pokreni Skripte Za Prijavu Usklađeno (Run Logon Scripts Synchronously). Polica je smještena unutar User Settings | Administrative Templates | System | Scripts.
Budite sigurni da su vam skripte ispravne ukoliko dopustite izvođenje ove police. Ako skripte nisu ispravne, korisnici neće moći pristupiti svojim desktop-ima određeno vrijeme. Normalno vrijeme koje je dodjeljeno skriptama za izvođenje je 10 minuta. Ako se i nakon 10 minuta ne završi izvršavanje skripti, sustav zaustavlja obradu i prebacuje se na sljedeću skriptu. Ako se i ta skripta ne izvršava korektno, kašnjenje će se produžiti za još 10 minuta.
Sve ovlasti korisničkih grupa moraju se izvršiti unutar 60 minuta.. Ovo vremensko ograničenje ne može se mjenjati unuar ovlasti korisničkih grupa ili unutar Registra. Može se jedino mjenjati vrijeme koje je određeno pojedinačno za svaku skriptu (10 minuta) preko ovlasti korisničkih grupa koje nose naziv Maksimalno Vrijeme Čekanja Za Skripte Ovlasti Korisničkih Grupa (Maximum Wait Time For Group Policy Scripts). Polica se nalazi unutar Computer Configuration | Administrative Templates | System | Scripts.
Predlošci Ovlasti Korisničkih Grupa
Police koje sadrže jednake parametre možemo pronaći unutar Predložaka Ovlasti Korisničkih Grupa, ili skraćeno GPT (Group Policy Templates). Većina GPT-a dolazi u obliku dokumenata koje korisnici skidaju i obrađuju. Postoje dvije iznimke. PKI police i IPSec police su pohranjene direktno unutar Aktivnog Imenika. GPT-ovi su pohranjeni unutar Sysvol korijenskog direktorija na svakom domenskom kontroloru.
|Prislino Obrađivanje Polica Korištenjem Komande Linije (CMD) |
| |
|Ako unesete naredbu gpupdate/force preko komandene linije, korisnik će nakon toga početi ignorirati brojeve verzija i skidati sve police |
|bez obzira na CSE postavke. |
Izumemo li binarne .aas dokumente koji se koriste za razmještanje programa, GPT dokumenti su jednostavni tekstualni dokumenti. U ovom slučaju nema "raketne znansti" na djelu. Ovlasti korisničkih grupa ne koriste sofisticiranu korisnik/poslužitelj interakciju. Korisnik skida određeni dokument i tada izvodi ono što piše u dokumentu. U nekim slučajevima, Windows korisnik je poput Lize Dolittle u My Fair Lady koja tada pjeva:
Riječi! Riječi! Riječi! Dosta mi je riječi.
Cijeli dan slušam riječi:
Prvo od njega, sada od tebe.
To je jadnici sve što znate?
Tablica.2 prikazuje tipove Ovlasti Korisničkih Grupa sa svojim pridruženim GPT-om.
|Tip Ovlasti Korisničkih Grupa |GPT |
| | |
|Administrativni Predlošci (Administrative Templates), Registar |Registry.pol |
|Preusmjeravanje Direktorija (Folder Redirection) |Fdeploy.ini |
|Logon/Logoff (startup/shutdown) Skripte |Script.ini i same skripte |
|Sigurnosne Postavke (Security Settings) |Gpttmpl.inf |
|Razmještanje Programa (Software Deployment) |*.aas dokumenti |
|Kvote Diskova (Disk Quotas) |Registry.pol (Zabilješka) |
| |Certifikati pohranjeni u AD |
|EFS Recovery i PKI |Police pohranjene u AD |
| |Install.ins |
|IP Sigurnost (IP Security) , IPSEC |Oscfilter.ini |
|Održavanje IE (IE Maintenance) |Nije primjenjivo |
|Usluga za Udaljenu Instalaciju (Remote Installation Service), RIS |Registry.pol (Zabilješka) |
|QoS Packet Scheduling | |
| | |
|Programske Zabrane (Software Restrictions) | |
|Zabilješka: Postavke Kvote Diskova i Programskih Zabrana su distribuirane unutar Registry.pol dokumenta, ali se obrađuju zasebno. |
Kreiranje GPT-a
Vidjet ćemo primjer kako Uređivač Ovlasti Korisničkih Grupa kreira GPT dokumente. Primjerice, kreirate GPO koji ste nazvali Zaključavanje Desktopa i povežete ovaj GPO sa organizacijskom jedinicom imena Phoenix. Definirate tri postavke police u GPO-u:
➢ Postavku unutar Registra koja će sakriti ikonu My Network Places na desktopu.
➢ Sigurnosnu postavku koja daje mogućnost registriranim korisnicima da mogu postaviti vrijeme na svom računalu.
➢ Postavku preusmjeravanja direktorija koja će premjesiti svačiji My Documents direktorij unutar direktorija koji se nalazi na djeljenom direktoriju \\ServerDocs i koji će nositi ime svakog korisnika.
Nakon što ste keirali ovaj GPO, GPE kreira GPC objekt u Aktivnom Imeniku i direktorij police unutar Sysvol direktorija na lokaciji Sysvol \ \ Policies. GPE dodjeljuje isto ime direktoriju police i GPC-u. Izvodi ime koristeći isti algoritam koji koristi za kreiranje Globally Unique Identifiers (GUID). Ovo osigurava da police ostaju nepromjenjene čak i ako se promjeni njihovo poznato ime. Poznato ime je samo atribut GPC objekta u Aktivnom Imeniku.
Direktorij police iz ovog primjera bi sadržavao tri GPT dokumenta:
➢ Registry.pol dokument koji sadrži NoNetHood zapis.
➢ GptTempl.ini dokument koji sadrži zapis koji dodjeljuje SeSystemTimePrivilege poznatom SID S-1-5-11.
➢ Fdeploy.ini dokument koji sadrži sljedeće:
[FolderStatus]
My Documents=11
[My Documents]
s-1-1-0=\\server1\docs\%username%\My Documents
Novi direktorij police i njegovi GPT dokumenti se sada repliciraju na ostale domenske kontrolore unutar domene preko FRS-a. FRS odmah proširuje nastale promjene unutar Sysvol direktorija. On ne poštuje pravilo o petminutnoj obavijesi unutar lokacije, ili učestalosti poziva koji su definirane za lokacije povezane između "birdgehead" poslužitelja.
Spremnici Ovlasti Korisničkih Grupa
Spremnik Ovlasti Korisničkih Grupa (GPC) je objket unutar Aktivnog Imenika. GPC ima atribute koji prepoznaju GPT dokuemnte koji su povezani sa određenom policom i CSE-ove trebaju obraditi te GPT-ove. Pogledajte djelomičan prikaz liste atributa iz GPC Police Unaprijed Zadane Domene:
cn: {31B2F340-016D-11D2-945F-00C04FB984F9};
displayName: Default Domain Policy;
gPCFileSysPath: \\\sysvol\\Policies\
{31B2F340-016D-11D2-945F-00C04FB984F9};
gPCFunctionalityVersion: 2;
gPCMachineExtensionNames: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
{53D6AB1B-2488-11D1-A28C-00C04FB94F17}{53D6AB1D-2488-11D1-A28C-00C04FB94F17}
][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}
][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}
{53D6AB1D-2488-11D1-A28C-00C04FB94F17}];
gPCUserExtensionNames: [{3060E8D0-7020-11D2-842D-00C04FA372D4}
{3060E8CE-7020-11D2-842D-00C04FA372D4}];
gPCWQLFilter: [;{F76FB374-E3B3-434E-953D-0FDDFB634FCF};0]; 1>
Objašnjenja atributa:
➢ GPCFileSysPath atribut govori korisniku gdje se nalazi GPT dokumenti koji su povezani sa ovom policom.
➢ GPCMachineExtensionNames atribut određuje ClassID nastavaka na strani korisnika koje će korsinik upotrjebiti za obradu GPT dokumenata namjenjenih policama računala.
➢ GPCUserExtensionNames atribut određuje ClassID nastavaka na strani korisnika koje će korsinik upotrjebiti za obradu GPT dokumenata namjenjenih policama korisnika.
➢ GPCWQLFilter oređuje pojedinosti svih WMI filtera koji su primjenjeni na objekt ovlasti korisničkih grupa.
GPC objekti su pohranjeni u Domenskom kontekstu imenovanja (Domain naming context) unutar cn=Polices, cn=System, dc=, dc=. Važno je znati da odvojene domene u šumi održavaju vlastitu listu GPC-eva. Domenski kontekst imenovanja ne replicira se na ostale domenske kontrolore (osim na globalne poslužitelje, ali ove replike su read-only (samo za čitanje)). Ovo nameće dvije operativne zabrane kada se povezuju Ovlasti Korisničkih Grupa sa spremnicima Aktivnog Imenika:
➢ Izbjeavajte povezivanje GPO-a jedne domene sa spremnicima druge domene.
➢ Izbjegavajte kreiranje polica lokacija u višedomenskoj šumi.
Sljedeća poglavlja pokazuju zašto bi ovakve postavke mogle uzrokovati probleme.
GPO Povezivanje Među Različitim Domenama
GPT dokumenti povezani sa GPO-om nalaze se u Syvol direktoriju na domenskom kontroloru u istoj domeni u kojoj je i GPC objekt u Aktivnom Imeniku.
Ako povežete GPO iz jedne domene sa GPC-om iz druge domene, korisnici "zahvaćeni" sa GPO-om moraju se spojiti sa domenskim kontrolorom druge domene kako bi skinuli GPT dokumente. Ovo zahtjeva dodatnu autentifikaciju. Ako je domenski kontrolor na nekoj drugoj lokaciji unutar WAN-a (Wide Area Network), transakcija je tada čak i usporena.
Ako imate višedomensku šumu i želite primjeniti konzistentnu skupinu polica, trebate kreirati police u svakoj domeni. Ovo administratoru povećava količinu posla iz razloga što svaki put kada želi promjeniti policu na razini tvrtke, mora mjenjati višestruke GPO-e. Altrernativa je da omogućite vašim korisnicima da preko WAN-a svako jutro dobivaju svoje police.
Police Lokacija u Višedomenskoj Šumi
Informacija lokacije je pohranjena u Aktivnom Imeniku u potpuno drugačijem kontekstu imenovanja od informacije domene. Informacija lokacije je pohranjena u kontekstu imenovanja Postavki (Configuration naming context) gdje se ona replicira preko svih domenskih kontrolora šume. U drugu ruku, informacija domene je pohranjena u kontekstu imenovanja Domene, gdje ona replicira preko domenskih kontrolora iste domene.
Nažalost, ne postoje propisi koji obvezuju spremanje informacije lokacije ovlasti korisničkih grupa kao u kontekstu imenovanja Postavki. GPC komponenta ovlasti korisničkih grupa može se jedino pohraniti u kontekstu imenovanja Domene. Ovo ima par razgranavanja:
➢ Bilo koji broj domena unutar šume može biti prisutan u bilo kojoj lokaciji, pa je Microsoft odlučio pohraniti GPC-eove svih polica lokacija unutar jednog Domenskog konteksta imenovanja, u korijensku domenu. Korijenka domena je prva domena u domenskoj šumi.
➢ Iz razloga što samo domenski kontrolori spremaju GPC-ove od polica lokacija, pridruženi GPT dokumenti su pohranjni samo unutar Sysvol-a na domenskom kontroloru u korijenskoj domeni.
Kombinacija ove dvije inženjerske odluke ograničava funkcioniranje polica lokacija u višedomenskoj šumi. (Slika 6). Ovaj dijagram prikazuje kako izgleda kada se police lokacija pridruže šumi nekoliko domena.
Slika 6. Police lokacija u višedomenskoj šumi
[pic]
Dijagram prikazuje dvije domene, NA i PACRIM, sa domenskim kontrolorima i korisnicima na dvije lokacije, LA i Tokio, zasebno. Obje lokacije, LA i Tokio imaju svoje ovlasti korisničkih grupa. Bitno je upamtiti da su GPT dokumenti koji pripadaju lokacijama ovlasti korisničkih grupa pohranjeni unutar Sysvol direktorija na domenskim kontrolorima unutar korijenske domene šume, bez obzira na mjesto lokacije i domena povezanih sa lokacijom.
Kada se korisnik NA domene prijavi u LA, korisnik skida GPT dokumente za LA policu lokacije od NA domenskog kontrolora. Zbog NA domenskog kontrolora koji se nalazi u LA, ne treba puno vremena da bi se skinuli GPT dokumenti.
Život nije tako lijep članu PacRim domene koji se mora prijaviti na lokaciju u Tokiju. GPT dokumenti za policu lokacije Tokija su pohranjeni na NA domenskom kontroloru, korijenskoj domeni šume. Korisnik iz Tokija mora koristi WAN kako bi skinuo GPT dokumente koji se nalaze na NA domenskom kontroloru u LA lokaciji. Ako je brzina WAN veze 56 KBps korisnici u Tokiju će se prilično načekati dok se obradi njihova prijava.
Znači, ako imate višedomensku šumu i ako želite implementirati police lokacija, postavite domenski kontrolor korijenske domene šume na svaku lokaciju sa policama lokacija, ili osigurajte brzu WAN vezu najbližoj lokaciji koja sadrži domenski kontrolor korijenske domene šume. (Korisnici određuju najbližu lokaciju koristeću upućivanja od domenskih kontrlora, koji su sposobni provjeriti topologiju lokacija baziranih na IP adresama pridruženih IP Subnet objektima koji su povezani sa svakom lokacijom.)
Hijerarhija Polica
GPO-ovi su povezani sa spremnicima u Aktivnom Imeniku. Pogledajte kako korisnici određuju koje ovlasti korisničkih grupa su njima dodjeljene. Samo tri spremnika u Aktivnom Imeniku mogu biti povezani sa GPO-om:
➢ Lokacije
➢ Domene
➢ Organizacijske jedinice (OJ)
Aktivni Imenik prati poveznice ovih polica pomoću GPLink atributa koji se nalazi unutar spremnika. Ovdje se nalazi djelomičan prikaz liste atributa organizacijske jedinice Phoenix koja ima dvije poveznice sa ovlastima korisničkih grupa:
ou: OU=Phoenix,DC=Company,DC=com
gPLink: [LDAP://CN={91C0A3BC-141E-49BF-AD3B-2DA7905DBF09},CN=Policies,CN=System,
DC=Company,DC=com;0][LDAP://CN={205D4BEE-ACC2-465A-9ABA-D84575D72523}, CN=Policies,
CN=System,DC=Company,DC=com;0];
gPOptions: 0;
➢ GPLink sadrži različito ime od bilo kojeg drugog GPC-a koji je povezan sa spremnikom. Zapamtite da se sva imena polica nalaze u GUID obliku kako bi se osigurala njihova jedinstvenost. Spremnik može biti povezan sa više GPO-a, i GPO može biti povezan sa više sprmenika.
➢ Atribut GPOptions sadrži opciju za Blokiranje Nasljeđa Polica (Block Policy Inheritance), ali o tome će biti riječi kasnije u ovom poglavlju. (Ako je vrijednost jednaka nuli, znači da nasljeđivanje polica nije blokirano. Ako je vrijednost jednaka 1, znači da je blokiranje omogućeno za ovaj spremnik.)
Korisnici prepoznaju spremnike po njihovim različitim putevima (paths), pa tako imaju mogućnost pretraživanja Aktivnog Imenka u potrazi za bilo kojim GPCLink atributom koji se nalazi u ovim spremnicima. Znajući ovu informaciju, korisnici prikupljaju postavke ovlasti korisničkih grupa iz svakog GPO-a u skladu sa ovim prednostima (Slika 12.7.):
➢ Lokalne police - police definirane na lokalnom računalu, imaju najmanji prioritet.
➢ Sljedeći po redu su GPO-ovi povezani sa spremnicima lokacija.
➢ GPO-vi povezani sa spremnikom domene imaju prednost ispred lokacijskih (site) i lokalnih polica.
➢ GPO-ovi povezani sa organizacijskim jedinicama imaju prednost pred svime što je navedeno poviše.
➢ GPO-ovi povezani sa organizacijskom jedinicom koja se nalazi bliže računalu ili korisniku ima prednost naspram onim GPO-vima koji se nalaze podalje od vrha stabla.
Slika 7. Dijagram nasljeđa polica
[pic]
LSDOU inicijali se često koriste za prikazivanje ovih prednosti. Ovaj prioritet polica zapovijeda i provođenje hijerarhije nasljeđa. Možete ignorirati ovu hijerarhiju koristeći jedan od ova dva načina:
➢ Možete postaviti policu tako da poništava istu postavku u GPO-u koji je povezan sa organizacijskom jedinicom koja se nalazi hijerarhijski više u stablu.
➢ Možete postaviti atribut u Aktivnom Imeniku koji blokira nasljeđe svih GPO-a koji se nalaze na višim mjestima u stablu.
Kao što vidite, obje opcije imaju grananja u arihitekturi i upravljanju. Pogledajmo koja.
|Praćenje polica u Registru |
| |
|GPO-ovi skinuti od strane korisnika spremaju se unutar lokanlog Registra u ključu: HKLM | Software | Microsoft | Windows | CurrentVersion|
|| Group Policy | Shadow. Svakoj polici je dodjeljen redni broj krenuvši od nule. Niz je određen prioritetima GPO-a. Veći broj ima veći |
|prioritet. |
|Zapisi svih GPO-a koje skida korisnik spremaju se u Registu pod ključem HKLM | Software | Microsoft | Windows | CurrentVersion | Group |
|Policy | History. |
Odbacivanje Nasljedstva Polica
Moguće je odbaciti nasljedstvo polica za određenu organizacijsku jedinicu. Kada se to napravi, objekti u toj organizacijskoj jedinici (i svi podobjketi) prestaju primati postavkle polica od spremnika koji se nalaze na višem mjestu u stablu.
Pogledajte Sliku 7. iz zadnjeg nastavka. Primjerice, recimo da ste vi kreirali GPO i povezali ga sa spremnikom domene. U ovom GPO definirate sigurnosnu policu imena Poruka Za Korisnike Koji Se Pokušavaju Prijaviti (Message Text For Users Attempting To Logon). Ova polica prikazuju informativnu poruku prilikom prijave. Vaša poruka sadrži obavijest da sva računalna oprema pripada tvrtki i da tvrtka ima pravo pregledavati podatke na pojedinim računalima.
Ovaj GPO povezujemo sa spremnikom domene zato što želimo da svaki korisnik u nasšoj tvrtki vidi tu poruku kada se prijavljuje, tako da se poslije ne može žaliti da nije znao za zabranu.
Administratorima u organizacijskoj jedinici Phoenix je dosadilo slušati pritužbe svojih korisnika o ovoj poruci. Odlučili su blokirati ovu poruku na nivou svoje organizacijske jedinice. Ovu malu pobunu je relativno jednostavno izvršiti. Administratoi otvore Properties prozor njihove organizacijske jedinice koji se nalazi u Aktivnom Imeniku, pod Users and Computers i stave kvačicu na Block Policy Inheritance opciju u svojstvima ovlasti korisničkih grupa. Slika 8 prikazuje primjer:
Slika 8. Properties prozor OJ, ovlasti korisničkih grupa (GP) prikazuju opciju Block Policy Inheritance
[pic]
Nakon što su administratori Phoenix organizacijske jedinice napravili ovu promjenu, korisnici u Phoenixu ne dobivaju više obavijest prilikom prijave. Ovo je zadovoljilo korisnike, ali nikako nije zadovoljilo nadzornike tvrtke koji su došli u mali posjet sljedećeg tjedna. Nadzornici su ovo nepoštivanje prijavili rukovodstvu, i vi,kao administrator najviše razine (top-level) morate "ugušiti pobunu". Tada vi koristite svoja prava koja imate kao domenski administrator da skinete kvačicu sa Block Policy Inheritnace opcije za Phoenix organizacijsku jedinicu.
Nakon nekoliko dana, pošto se cijela galama stišala, administratori Phoenix-a kroz jutro su se ušuljali i ponovno postavili kvačicu na opciju Block Policy Inheritance. Nakon nekoliko dana, vi skinete kvačicu. Oni ju vrate. Vi skinete. Ovakvo nadmudrivanje potraje neko vrijeme i tada vi primjetite da su administratori Phoenixa napokon potpisali predaju. Nisu napravili nikakvu promjenu na Block Policy Inheritance opciji.
No, kada ste malo bolje pogledali otkrili ste da su administratori Phoenixa postavili opciju u drugom GPO koji je povezan sa Phoenixom, koja onemogućava izvođenje Poruke Za Korisnike Koji Se Pokušavaju Prijaviti. Budući da je ovaj GPO povezan sa organizacijskom jedinicom bliži korisnicima nego spremnicima domene, ima prednost i zato se obavijest blokira.
Neznam odakle ste, ali mi iz Južnog Novog Meksika ovakav problem rješavamo točno u podne, sa šest pištolja ispred najozloglašenijeg saloona u Glavnoj Ulici. Ako živite u nekom više kongenijalnom okruženju, mogla bi vas zanimati sljedeća, manje radikalna opcija.
Odbacivanje Blokiranja Polica
Kao domenski ili enterprise administrator imate mogućnost, postaviti opciju za GPO koji se nalazi visoko u stablu koja odbacuje bilo kakvo blokiranje nasljedstva police koja se nalazi niže u stablu. Ovo se može uraditi na način prikazan u Proceduri 1.
Procedura 1. Odbacivanje Blokiranja Polica:
➢ Otvorite Properties prozor hijerarhijski najvišeg spremnika, primjerice spremnik domene ili neka viša organizacijska jedinica.
➢ Odabirite karticu Group Policy (Ovlasti Korisničkih Grupa).
➢ Označite GPO za kojeg želite primjeniti nasljedstvo.
➢ Kliknite na Options dugme.
➢ Odaberite No Override radio dugme kako je prikazano u Slici 9.
Slika 9. Prozor opcija (option window) spremnika organizacijske jedinice prikazuje No Override opciju određene ovlasti korisničke grupe
[pic]
➢ Kliknite Ok da biste sačuvali promjenu.
Sa uključenom No Override opcijom za određeni GPO, sve postavke police definirane tim GPO-m postaju obavezna za sva računala i korisnike koji se nalaze niže u stablu. Administratori mogu uključiti opciju Block Policy Inheritance ali se opcija ignorira. Ako neki lokalni administratori ipak pokušaju zaobići određenu postavku, tj. kreirati neku svoju, vidjet će da su razne postavke polica u najvišem GPO-u zasjenjene kada ih se pokuša promjeniti sa GPE-om (Group Policy Editorom).
RSoP Kalkulacije
GPO-ovi mogu biti povezivani, filtrirani, blokirani i deblokirani na nebrojeno mnogo načina. Microsoft je napravio veliki korak prema pojednostavljivanju upravljanja ovlastima korisničkih grupa uključivši u Windows Server 2003 alat koji je licenciran od strane Full Armor Software, . Naziv ovog alata je Full Armor Zero Administration Managment ili skraćeno FAZAM.
Kao i većina third-party (preprodan, iz treće ruke) tehnologija koju je licencirao Microsoft, RSoP dodaci preuzeti od FAZAM-a predstavljaju podskup komercijalnog paketa.. Dio FAZAM-a koji je licencirao Microsoft dopušta računanje i logiranje RSoP-a na temelju lokacije određenog korisnika ili računala u Aktivnom Imeniku.
Možete upotrijebiti RSoP kalkulacije da bi vidjeli što se događa sa ovlastim korsiničkih grupa ako se određeni korsinik prijavi na određeno računalo. Kalkulacija uzima u obzir lokaciju korisnika, računalo, ime lokacije (site), i da li postoje filteri koji su bazirai na članstvu ili na tipu hardwarea.
Windows Server 2003 i XP također čuvaju i dnevnik rada za zadnji skup RSoP kalkulacija koje su izvedene za nekog korisnika koji se prijavio na neko računalo. Možete koristiti RSoP alat da bi vidjeli sadržaj dnevnika rada od bilo kojeg računala u domeni. Dnevnik rada se nalazi unutar CIM (Common Information Model) repozitorija. U odjeljku "WMI filtiriranje" pogledajte više informacija.
RSoP Planiranje
RSoP preglednik može biti pokrenut na nekoliko načina. Najjednostavniji postupak je prikazan u Proceduri 2.
Procedura 2 Pokretanje RSoP čarobnjaka preko Planirajućeg Načina (Planning Mode):
➢ Desnom tipkom miša kliknuti na korisnika ili računalo pod Users and Computers unutar Aktivnog Imenika, i odaberite ALL TASKS | RSOP (PLANNING) iz padajućeg izbornika. Ovo će pokrenuti RSoP čarobnjaka koji počinje sa prozorom Odabir Računla i Korisnika (Computer and User Selections). Slika 10 prikazuje primjer.
Slika 10. RSoP čarobnjak, prozor za odabir korisnika ili računala
[pic]
➢ Unutar Informacije Računala (Computer Information) odaberite radio dugme Spremnik (Container), nakon toga kliknite Pretraži (Browse) i odaberite organizacijsku jedinicu koja sadrži korisnički račun.
➢ Već u ovoj točki, čarobnjak ima dovoljno informacija za izračunati RSoP, pa tako možete odabrati opciju Preskoči Do Zadnje Strane... (Skip To The Final Page...) i kliknuti Sljedeće (Next). No ipak, pogledajmo dodatne opcije koje nam mogu pomoći u dijagnosticiranju potencijalnih problema.
➢ Kliknite Sljedeće. Otvara se prozor Opcije Napredne Simlulacije (Advanced Simulation Options). Možete odabrati sljedeće:
✓ Spora Mrežna Veza. Ovo simulira vrstu GPO obrađivanja koje bi se odvijalo preko dial-up-a, ISDN-a ili DSL veze.
✓ Obrada Neuspjelih Pokušaja. Ovo simulira zamjenu Konfiguracije Računala (Computer Configuration) i Konfiguracije Korisnika (User Configuration) koja će se izvršiti ako polica za obradu neuspjelih pokušaja bude važeća za to računalo.
✓ Lokacija. Ovo odabire lokaciju na kojoj se korisnik prijavio.
➢ Klikni Sljedeće. Otvori se prozor Zamjenski Putevi Aktivnog Imenika (Alternate Active Directory Path) Ovo vam dopušta da izaberete drugu organizacijsku jedinicu za račun korisnika i računala.
➢ Klikni Sljedeće. Otvara se prozor Korisničke Sigurnosne Grupe (User Security Groups). Ovaj prozor izlistava grupe koje imaju korisnika kao člana. Možete odabrati dodatne grupe ili izbrisati postojeće poradi lakšeg planiranja ili dijagnosticiranja.
➢ Klikni Sljedeće. Otvara se prozor Sigurnosne Grupe Računala (Computer Security Groups). U prozoru se izlistavaju grupe koje imaju računalo kao člana. Možete odabrati dodatne grupe ili izbisati postojeće poradi lakšeg planiranja ili dijagnosticiranja.
➢ Klikni Sljedeće. Otvara se prozor WMI Filters for Users. Ovaj prozor izlistava povezane WMI filtere. Možete odabirati različite filtere u svrhu lakšeg dijagnosticiranja problema.
➢ Klikni Sljedeće. Otvara se prozor WMI Filters for Computers.. Prozor izlistava povezane WMI filtere. Možete odabirati različite filtere u svrhu lakšeg dijagnosticiranja problema.
➢ Klikni Sljedeće. Otvara se prozor Summary Of Selections. Ako je potrebno, pomoću dugmeta Nazad (Back) vratite se i promjenite pojedine postavke. Možete također odabrati da se obrade odabiri na različitim domenskim kontrolorima ako želite usporediti rezultate dvaju domenskih kontrolora.
➢ Klikni Sljedeće. Kada čarobnjak obradi promjene pojavi se Završi (Finish) prozor. Da bi vidjeli RSoP prozor kliknite Finish.
RSoP preglednik izgleda slično kao i standardni GPE prozor, razlika je što RSoP sadrži samo postavke police GPO-a koji ispunjavaju izabrane kriterije. Postoji također odličan RSoP preglednik koji dolazi kao dio Help and Support Centra. Daje izlistak u XML koji prikazuje sve detalje ovlasti korisničkih grupa koje su primjenjene na određeno računalo. Da bi pokrenuli ovaj alat morate imati ovlasti lokalnog administratora.
GPRESULT
Ako želite koristiti komandnu liniju da bi vidjeli rezultate RSoP kalkulacija, isprobajte GPRESULT uslužni program. Za razliku od GPRESULT-a koji se nalazio unutar Windows 2000 Resource Kit-a, Windows Server 2003 izvodi iste kalkulacije koristeći GPRESULT kakve koristi i RSoP čarobnjak. Također ga možete koristiti da bi vidjeli sadržaj RSoP dnevnik rada.
GPRESULT izlistak je predug da bi se prikazivao na ovom mjestu, ali on uključuje sve potrebne informacije preko kojih možemo ući u trag roditeljskom GPO-u i povezanim spremnicima. Možete pokrenuti GPRESULT u načinu modu planiranja ili u modu logiranja.
RSoP Logiranje
Možete izabrati (Logging) opciju u RSoP pregledniku kako bi vidjeli sadržaj RSoP kalkulacija koje su izvedene za bilo kojeg korisnika na bilo kojem računalu. Morate imati administratorska prava na računalu na kojem želite vidjeti dnevnik rada. To možete napraviti na način prikazan u Proceduri.3.
Procedura 3 Pokretanje RSoP Čarobnjaka u Načinu Logiranja (Logging Mode):
➢ U Aktivnom Imeniku pod Users and Computers, desnom tipkom miša kliknite na objekt računala i iz padajućeg izbornika odaberite RESULTANT SET OF POLICY (LOGGING). Otvara se RSoP čarobnjak sa prvim prozorom Odabir Računala (Computer Selection).
➢ Kliknite Sljedeće. Otvara se prozor Odabir Korisnika (User Selection). Odaberite ime korisnika čiji RSoP rezultat želite vidjeti.
➢ Kliknite Sljedeće. Otvara se prozor Rezime Odabira (Summary Of Selections).
➢ Klikni Sljedeće. Čarobnjak pronađe dnevnik rada korisnikovih prijava na odabranom računalu i prikaže ih u RSoP pregledniku.
Uspoređujući RSoP rezultate koje je dobio korisnik, s onima koje vi dobijete kada vodite korisnika kroz RSoP kalkulacije, možete vidjeti postoji li razlika i onda ju riješiti.
Dodatni Alati Za Uklanjanje Pogrešaka
Konfigurirali ste ovlasti korisničkih grupa, ali vam se čini da ne rade kao što se to očekival. Pogledajte sljedeće stavke:
➢ Preglednik Događaja (Event Viewer). Pogledajte u dnevnik rada Aplikacije kako bi vidjeli zapise Userenv usluge. Upozorenje ove usluge su prvi znakovi da je nešto pošlo krivo prilikom skidanja ovlasti korisničkih grupa.
➢ Prava pristupa (Access rights). Čest problem kod ovlasti korisničkih grupa jesu prava sigurnosnog pristupa. Uvijek budite sigurni da korisnik ima prava za policu koju pokušava primjeniti. Najlakši način za provjeru je taj da koristite odgovarajuću konzolu iz Aktivnog Imenika kako bi otvorili svojstva ovlasti korisničkih grupa (Group Policy Properties) pridruženog spremnika, te nakon toga otvorite Security karticu. Korisnik bi trebao biti član grupe koja ima postavljena Read and Allow Group Policy prava.
➢ Neispravne Poveznice Police (Incorrect policy links). Drugi problem koji je prilično čest prilikom konfiguriranja ovlasti korisničkih grupa je "loosing the map" (gubljenje na karti, nemogućnost snalaženja) kako se običava reći prilikom obuke borbenih pilota. Može se dogodoti da povežete policu sa jednim spremnikom ali je testirate koristeći korisnički račun drugog spremnika. Ili netko može staviti neku drugu policu na neko više mjesto u hijerarhiji polica nego što je vaše ili čak prebrisati vaš zapis ili ga u potpunosti blokirati.
➢ GPOTOOL. Kao što sam već objasnio u dijelu o GPC-u, GPTOOL uslužni program može vam pomoći u otkrivanju nedosljednosti između brojeva verzija GPT-a i GPC-a povezanih sa određenim GPO.
➢ Problemi s mrežom (Network Problems). Budite sigurni da korisnik komunicira sa domenskim kontrolorom, "global catalog serverom" i sa DNS serverom. Nemogućnost spajanja sa nekom od navedenih komponenti može prouzročti probleme sa ovlastima korisničkih grupa. Možete pokrenuti NETDIAG uslužni program da bi provjerili postoje li kakve greške.
➢ Otklanjanje Grešaka u Userenv (Debug Userenv). Kao posljednju nadu u pronalaksu problema možete uključiti logiranje ovlasti korisničkih grupa. U Registru Winlogon ključu dodajte vrijednost kako bi omogućili logiranje:
Ključ: HKLM | Software | Microsoft | Windowsi NT | CurrentVersion | Winlogon
Vrijednost: UserEnvDebugLevel
Podaci: 0x10002 (hex) primjernog Reg_Dword
Resetirajte računalo nakon mjenjanja ove vrijednosti. Dokument dnevnika rada je smješten unutar: \Windows\Debug\Userenv.log. Spremite si šalicu kave i mnogo strpljenja. Dnevnik rada sadrži mnogo informacija.
Police Računala i Korisničke Police
GPO-vi su podjeljeni na dva dijela:
➢ Odjeljak Konfiguracija Računala (Computer Configuration) koji sadrži postavke polica koje se primjenjuju na računala.
➢ Odjelajk User Configuration (Konfiguracija Korisnika) koji sadrži postavke polica koje se primjenjuju na korisnike.
GPE prikazuje ova dva odjeljka kao dvije najvažnije ikone.
Neke se postavke polica primjenjuju u oba odjeljka. Ako postoji konflikt između postavki istih polica u Konfiguraciji Računala i u Korisničkoj Konfiguraciji, postavke računala imaju prioritet. Ovo vrijedi čak i ako se postavke polica nalaze u dva različita GPO-a.
Pogledajte primjer gdje Phoenix organizacijska jedinica sadrži zajedno i objekte računala i korisnika. Imamo dva GPO-a povezanih sa Phoenix organizacijskom jedinicom:
➢ Phx-Computers GPO.
➢ Phx-Users GPO.
Svaki GPO sadrži policu koja se nalazi unutar Rspoređivača Zadaća (Task Scheduler) pod imenom Zabrana Kreiranja Novih Zadaća (Prohibit New Task Creation). Kada je omogućena ova polica, Add Scheduled Task ikona se neće pojaviti unutar Scheduled Tasks apleta u Control Panelu (Kontrolna Ploča).
Phx-Users GPO ima policu koja se nalazi unutar postavki Konfiguracije Korisnika. Phx-Computers GPO ima policu koja se nalazi unutar postavki Konfiguracije Računala. Pogledajte kako je rukovano s ovom policom:
➢ U Phx-Users GPO-u polici nije bilo dopušteno izvođenje, što hoće reći da je bilo moguće kreirati nove zadaće po rasporedu (scheduled tasks).
➢ U Phx-Computers GPO-u polici je bilo dopušteno izvođenje, što hoće reći da nije bilo moguće kreiranje novih zadaća po rasporedu (scheduled tasks).
Sa ovakvom konfiguracijom, kada se korisnik u Phoenixu prijavi na računalo u Phoenixu, korisnik neće vidjeti ikonu Add Scheduled Tasks unutar Scheduled Tasks apleta. Kreiranje nove zadaće je onemogućeno zato što Computer Configuration ima prioritet ispred User Configuration.
Ako administrator promjeni postavku police Phx-Computers GPo-u iz Disabled (onemogućeno izvođenje) u Not Configured (Nije Konfigurirano), čim nastane pozadinsko osvježavanje korisnik će ponovno vidjeti ikonu Add Scheduled Tasks.
Obrađivanje Neuspjelih Pokušaja (Loopback Processing)
Zadnja cjelina je obradila situacije kada postavke polica unutar Computer Configuration pregaze iste postavke polica unutar User Configuration. Postoji i druga situacija kada sustav mora odrediti prioritet na temelju lokacije postavki police.
Zamislite sličan scenarij kao u prethodnom primjeru, ali za razliku od prije, sada postoje dvije organizacijske jedinice unutar Phoenix organizacijske jedinice:
➢ Users organizacijska jedinica sadrži objekte korisnika koji se nalaze u Phoenixu. Povezana je sa Phx-Users GPO-om.
➢ Computers organizacijska jedinica sadrži objekte računala koji se nalaze u Phoenixu. Povezana je sa Phx-Computers GPO-om.
GPO-i imaju različite postavke. Pojedinsoti postavki nisu nam važni u ovom primjeru:
➢ Phx-Users GPO ima dvije postavke police: sigurnosnu policu unutar Computer Configuration i policu za raspoređivanje programa unuar User Configuration.
➢ Phx-Computer ima dvije postavke police: revizijsku policu unutar Computer Configuration i policu logon skripte unutar User Configuration.
Kada se korisnik iz Users OJ prijavi na računalo iz Computers OJ, rezultirajuća polica bi uključivala sljedeće:
➢ Policu za razmještanje programa iz Phx-Users GPO-a.
➢ Revezijsku policu iz Phx-Computers GPO-a.
Ovo ima smisla pod uobičajenim prilikama. Ali postoje i neke situacije u kojima ima smisla da se primjene postavke Users Configuration od GPO-a koji je povezan sa spremnicima koji sadrže objekte računala. Najčešći razlozi za to su walk-up radne jedinice, laboratorijska računala, terminalni serveri gdje želite imati konzistentan izgled desktopa i jedank razmještaj programa bez obzira tko se prijavljuje.
Možete dozvoliti obradu neuspjelih pokušaja koristeći ovlasti korisničkih grupa pod nazivom User Group Policy Looback Processing Mode. Ova polica se nalazi unutar Computer Configuration | Administrative Templates | System | Group Policy. Unaprijed određena postavka ne dozvoljava obradu neuspjelih pokušaja.
Možete omogućiti izvođenje obrade neuspjelih pokušaja na dva načina:
➢ Način zamjene (Replace mode). Ovaj način govori korisničkom računalu da ignorira User Configuration police koje dolaze od GPO-a koji je povezan sa korisničkim spremnicima i da primjenjuje User Configuration police koje dolaze od GPO-a koji su povezani za računalnim spremnicima.
➢ Način fuziranja (Merge mode). Ovaj način govori korisničkom računalu da najprije primjeni User Configuration police koje dolaze od GPO-a koji su povezani sa računalnim spremnicima, a da zatim primjeni User Configuration police koje dolaze od GPO-a koji su povezani sa korisničkim spremnicima. Ovo daje prednost postavkama korisničkih polica.
Ako se obrada neuspjelih pokušaja izvodi preko načina zamjene, korisnik će dobiti rezultirajuću policu:
➢ Revizijsku policu od Phx-Computer-a.
➢ Policu Logon skripte od Phx-Computer-a.
User Configuration polica od korisničke strane je ignorirana zbog obrade neuspjelih pokušaja. Computer Configuration polica od korisničke strane je ignorirana bez obzira na postavku obrade neuspjelih pokušaja.
Ako se obrada neuspjelih pokušaja dozvoli preko načina fuziranja, korisnik će dobiti ovakvu rezultirajuću policu:
➢ Revizijsku policu od Phx-Computer-a.
➢ Policu Logon skripte od Phx-Computera.
➢ Policu za razmještanje programa od Phx-Users GPO-a.
Computer Configuration polica od korisničke strane je ignorirana bez obzira na postavku obrade neuspjelih pokušaja.
Trebali biste izbjegavati obrade neuspjelih pokušaja osim u posebnim okruženjima. Mogu jako zakomplicirati otklanjanje grešaka unutar ovlasti korisničkih grupa. Uvijek kreirajte odvojene OJ koje će spremati računalne objekte. Možda želte fizički označiti računala zahvaćena obradom neuspjelih pokušaja (npr. nekakav znak na monitoru) da se korisnici nebi iznenadili ako nešto sa njihovim postavkama ne radi kako treba.
Uređivač Ovlasti Korisničkih Grupa (Group Policy Editor, GPE)
Svime što se nalazi unutar GPO-a upravlja se pomoću Uređivača Ovlasti Korisničih Grupa (Group Policy Editor ili skraćeno GPE). GPE je mali MMC dodatak (snap-in) koji se pojavljuje na raznim mjestima.
Mjesto gdje možete najčešće pronaći GPE je kada otvorite Properites | Group Policy prozor lokacije, domene ili organizacijske jedinice. Kada se GPE pokrene na ovaj način GPE prikazuje samo one GPO-e koji su povezani na spremnik.
Možete kreirat i neku svoju MMC konzolu i učitati GPE dodatak u tu konzolu. Kada ovo napravite od vas će se zatražiti da unesete ime GPO-a koji želite uređivati. Kliknite Pretraži (Browse) da bi vam se pojavio Browse For A Group Policy Window, nakon toga odaberite All karticu da bi vam se izlistali svi GPO-i koji se nalaze u domeni. Slika 11. pokazuje primjer.
Slika 11. Prozor Browse For A Group Policy prikazuje listu GPO-a u domeni
[pic]
GPE dodatak možete dodavati nebrojeno puta unutar iste MMC konzole. Svaki puta kada se učita možete odabrati drugi GPO kojim će učitani GPE upravljati. Ovo je odličan način kako upravljati sa više GPO-a sa samo jednog mjesta.
Također možete povezati vlastitu konzolu sa određenim ovlastima korisničkih grupa ili sa određenm računalom ili i jednim i drugim. Ove opcije koriste /gpcomputer i /gpobject prekidače (switcheve) koje unosimo preko naredbene linije.
Ovo je način na koji Microsoft pruža posebne konzole kao što su Postavke Lokalne Sigurnosti (Local Securitiy Settings) konzola i konzola Polica Sigurnosti Domene (Domain Security Policy). Naprimjer, ovdje je polje Target prečaca koje učitava konzolu Polica Sigurnosti Domene:
C:\WINDOWS\system32\dompol.msc /gpobject:"LDAP://CN={31B2F340-016D-11D2-945F-
00C04FB984F9},CN=Policies,CN=System,DC=company,DC=com"
Kao što ćemo vidjeti u sljedećem odjeljku, Dompol.msc konzola također koristi MMC dodatak koji dozvoljava učitavanje određenih GPE ekstenzija.
|Posebna konfiguracija za korištenje MSC prekidača preko komandne linije |
| |
|Ako želite koristiti /gpcomputer i /gpobject prekidače preko komandne linije da biste upravljali MMC konzolom, morate postaviti sljedeću |
|opciju za ovlasti korisničkih grupa kada učitavate GPO u konzolu koristeći Add/Remove Snap-in prozor: |
| |
|Allow The Focus Of The Group Policy Snap-In To Be Changed When |
|Launching From The |
|Command Line |
Odabiranje nastavaka Uređivača Ovlasti Korisničkih Grupa
GPE se oslanja na nekoliko dokumenata za podršku (support files) koji pružaju mogućnosti uređivanja za različite tipove polica. Tablica 3 izlistava GPT dokumente i njihove GPE nastavke. Ako dođe do greške prilikom otvaranja direktorija unutar GPE-a, potražite problem sa odgovarajućim uređivačem ili pronađite dokumente u koje pokušava ući.
Tablica 3. GPT Dokumenti i njihovi GPE Nastavci
|GPE Dokumenti |GPE Nastavci |
|Registry.pol |Gptext.dll |
|GptTmpl.inf |Wsecedit.dll |
|Script.ini |Gptext.dll |
|Fdeploy.ini |Fde.dll |
|*.aas (razmještanje programa) |Appmgr.dll |
|Install.ins |Ieaksie.dll |
Ako napravite vlastitu MMC konzolu za uređivanje ovlasti korisničkih grupa kako je objašenjeno u prethodnom odjeljku, možete "krojiti" konzolu odabirući vlastite nastavke uređivača. Ovo je moguće napraviti odabirući Extensions karticu u Add/Removw Snap-in prozoru, i nakon toga skinite kvačice sa svih nastavaka za koje ne želite da se učitavaju. Slika 12 prikazuje primjer vlastite konzole koja učitava samo nastavke Logon/Logoff Skripte.
Slika 12. Prozor Add/Remove Snap-In prikazuje prikazuje mogućnost odabira određenih GPE nastavaka
[pic]
PDC Emulator i Uređivač Ovlasti Korisničkih Grupa
Kada vi uređujete GPO, GPE čita GPC i GPT elemente sa određenog domenskog kontrolora. Po unaprijed određenoj vrijednosti odabire se onaj domenski kontrolor koji sadrži "role master token" PDC Elumator. Ovo vrijedi uvijek, bez obzira na fokus konzole AD Users And Computer (ili AD SItes and Services) kada otvorite GPE.
Naprimjer, ako otvorite AD Users and Computers na radnoj stanici sa DC-37 logon serverom fokus konzole će biti na DC-37; ali kada otvorite Properties prozor GPO-a od spremnika koji se nalazi u domeni, GPE će automatski pročitati informaciju iz PDC Emulatora, a ne iz DC-37.
Gledano na prvi mah, ova prednost mjenjanja ovlasti korisničkih grupa na pojedinom domenskom kontroloru izgleda da krši načelo osnovne replikacije. Na kraju krajeva, promjene na bilo kojoj kopiji Aktivnog Imenika ili Sysvola-a kopirat će se i na sve ostale domenske kontrolore, za ne?
GPE preferira raditi na jednodomenskom kontroloru u domeni zato što je moguće da dva administratora mjenjaju policu u istom GPO-u za vrijeme istog replikacijskog ciklusa. Ako se ovo dogodi, promjene koje je uradio jedan administrator biti će prebrisane tijekom replikacije.
Ako pokrenete GPE kada PDC Emulator nije dostupan, morati će te izabrati drugi domenski kontrolor ili čekati dok PDC Emulator postane dostupan. Nema ništa loše u mjenjanju GPO-a na drugom domenskom kontroloru toliko dugo dokle ste sigurni da ste vi jedini admnistrator koji radi na tom GPO-u. Ako niste 100% sigurni, bilo bi bolje da pričekate.
Promjena Unaprijed Određenog GPE-a Domenskog Kontrolora
Ako koristite domenske kontrolore rađe nego PDC Emulator za mjenjanje GPO-a, možete postaviti ovlasti korisničkih grupa da promjene kriterij pri odabiru domenskog kontrolora. Ime ove police je Odabir Domenskog Kontrolora Ovlasti Korisničkih Grupa (Group Policy Domain Controller Selection). Nalazi se unutar User Configuration | Administrative Templates | System | Group Policy.
Ova polica ima tri opcije:
➢ Koristite Primarni Domenski Kontrolor (Use The Primary Domain Controller). Ovo je unaprijed određena opcija ako polica nije konfigurirana.
➢ Nasljeđe Snap-in-ova iz Aktivnog Imenika (Inherit From The Active Directory Snap-Ins). Ova opcija postavlja fokus uređivača na isti domenski kontrolor koji koristi konzola, AD User and Computers ili AD Sites And Services, koje pokreće uređivač.
➢ Koristi Bilo Koji Slobodni Domenski Kontrolor (Use Any Available Domain Controller). Ova opcija dopušta korisniku odabir prvog slobodnog domenskog kontrolora. Ovo je obično logon server administratora koji koristi ovaj alat.
Možda ste primjetili da jedna logična opcija nedostaje. Ne možete jednostavno odabrati drugi domenski kontrolor da ga svi koriste. Ako želite da svi koriste isti domenski kontrolor, onda morati prebaciti PDC Emulator Role Master na taj server.
Ovlasti Korisničkih Grupa i Lokalne Police
Pored skidanja ovlasti korisničkih grupa sa domenskog kontrolora, serveri na kojima su instalirani Windows Server 2003 i XP imaju lokalno mjesto za spremanje polica u sakrivenom direktoriju pod imenom \Windows\System32\GroupPolicy. Lokalna računala također spremaju temeljne memorije podataka kojima upravljaju ovlasti korisničkih grupa, i lokalne promjene se često zapisuju direktno u ova mjesta pohrane podataka.
Police se slažu jedna na drugu redosljedom kojim su primjenjivane, s tim da najzadnja polica ima najveći prioritet. Lokalne police se uvijek primjenjuju prve, pa su tako one u neku ruku kao neki domorodački narod kojeg pregaze došljaci koji dolaze u obliku domenskih ovlasti korisničkih grupa.
Ako upravljate samostalnim desktopom ili serverom, možete mjenjati lokalne police koristeći konzolu Uređivač Lokalnih Polica (Local Policy Editor), Gpedit.msc. GPT dokumenti kreirani sa Gpedit.msc konzolom su pohranjeni unutar \Windows\System32\GroupPolicy.
Ovlasti korisničkih grupa koje su skinute sa domene su pohranjeni u predmemoriji (cache-irani) na lokalnom računalu. Iz toga razloga korisnik koji ima prijenosno računalo koji je trenutno odspojen s mreže, također će koristiti ovlasti korisničkih grupa koje je skinuo sa domene. Ovo je važno zapamititi jer se nekoliko ovlasti korisničkih grupa u potpunosti oslanja na cache-irane informacije da bi ispravno funkcionirali. Primjer je Encrypting File System (EFS) koji traži cache-iranu kopiju vraćenog certifikata od domene Data Recovery Agent (DRA) kada korisnik kriptira dokument. Ako domenski DRA certifkat nije dostupan, korisnik ne može kriptirati dokument.
Zbog prednosti koje imaju ovlasti korisničkih grupa, postoji mogućnost da se lokalne police zamaskiraju tako da će te i zaboraviti da uopće postoje. One su pohranjene u Registru ili Secedit bazi podataka i primjenjuju se samo kada je računalo odvojeno od domene ili kada se korisnik prijavi na lokalni SAM umjesto na domenu.
Dodjeljivanje Ovlasti Korisničkih Grupa
Po unaprijed određenoj konfiguraciji, postavke u GPO-u primjenjuju se na svakog korisnika i računalo unutar povezanog spremnika. Ako želite koristiti neki taktičniji način za pridruživanje ovlasti korisničkih grupa, dobro će vam doći mogućnost filtriranja bilo koga kome ne želite dodjeliti određene ovlasti korisničkih grupa. Windows Server 2003 ima dva kriterija koja koristi prilikom filtriranja:
➢ Filtriranje korisnika ili računala koji su članovi neke grupe.
➢ Hardverska i OS konfiguracija koja je dostupna preko WMI-a (Windows Management Instrumentation).
Filtriranje Ovlasti Korisničkih Grupa na Temelju Sigurnosnih Grupa
Krivo shvaćanje u vezi ovlasti korisničkih grupa je to da su to police koje su dodjeljene grupama. Naravno, ni to nije daleko od istine. Ovlasti korisničkih grupa su dodjeljene korisnicima ili računalima na temelju njihovih lokacija u Aktivnom Imeniku, a ne na temelju grupa.
Vi imate izbor filtriranja GPO-a tako da se on primjenjuje samo na korisnike ili računala ako su članovi neke grupe. Na primjer, mžete imati jednak skup polica desktop konfiguracija u GPO-u koji je povezan sa regionalnom OJ kao što je Phoenix. Postavke ovoga GPO-a odgovaraju većini korisnika, ali Voditelj Prodaje želi da računala njegovih prodavača budu "zaključana" kako bi se mogli fokusirati na ispunjavanje normi.
Mogli biste pomaknuti objkete korisnika “prodavač” u zasebnu OJ unutar Phoenixa i kreirati novi GPO koji je povezan sa tom OJ, ali postoji mogućnost da imate zabranu za izvršavanje ove radnje. Primjerice, možda nemate administratorske ovlasti koje bi vam dopustile kreiranje nove OJ, ili možda vaša tvrtka ima uređen Aktivni Imenik na način da nije dopušteno kreiranje ad hoc (na prečac) OJ, ili biste možda željeli primjeniti ovlasti korisničkih grupa na korisnike koji nisu iz iste OJ.
U ovakvim slučajevima, mogli biste kreirati novi GPO i filtrirati ga tako da se primjenjuje samo na korisnike iz Prodaje. Ovo je učinjeno promjenom sigurnosnog opisivača (security descriptor) GPC-a u Aktivnom Imeniku tako da samo određene grupe imaju pristup da čitaju i primjenjuju predloške ovih ovlasti korisničkih grupa koje su identificirane GPC-om. Slika 13 pokauje primjer.
Slika 13. ACL Editor ovlasti korisničkih grupa prikazuje sigurnosnu grupu kojoj je dodjeljeno pravo Apply Group Policy
[pic]
Najjednostavniji način za pristupiti sigurnosnom opisivaču GPC-a prikazan je u Proceduri 4.
Procedura 4. Konfiguriranje GPO Sigurnosnog Opisivača da bi Filtrirali Primatelje Polica:
➢ Desnom tipkom miša kliknite na lokaciju, domenu ili OJ koja je povezana sa GPO i odaberite PROPERTIES iz padajućeg izbornika.
➢ Odaberite karticu Ovlasti Korisničkih Grupa (Group Policy).
➢ Odaberite ovlasti korisničkih grupa koje želite filtrirati i kliknite Properties. Otvara se prozor Properties.
➢ Odaberite karticu Security. Promijenite sadržaj ACL-a tako da dobijete onaj koji zadovoljava vaše potrebe. Dodjelite Primjeni Ovlasti Korisničkih Grupa (Apply Group Policy) prava onim grupama za koje želite da prime policu.
➢ Kliknite OK kako bi zatvorili uređivač i sačuvali promjene.
Ako ste odabrali filtriranje kako bi dodjelili GPO određenoj grupi ili grupama, imajte na umu da se filtriranje primjenjuje samo na one objekte koji predstavljaju korisnike u grupama koje su vidljive GPO-u. Primjerice, ako u prethodnom primjeru maknemo “prodavače” izvan Phoenix OJ i smjestimo ih u Atlanta OU, prodavači više neće dobivati policu Zaključavanje Desktopa (Sales Lockdown).
WMI Filtriranje
Instrumentacija Windows Upravljanja (Windows Management Instrumentation, WMI) je Microsoftova izvedba WBEM (Web-Based Enterprise Management) inicijative DMTF-a (Desktop Management Task Force). Slika 14 prikazuje shematski prikaz WMI komponenti.
Slika 14. WMI kompoente koje se koriste u WMI filtriranju ovlasti korisničkih grupa
[pic]
Komponente su:
➢ Upravljani objekti (Managed objects): WMI prikuplja informacije od različitih uređaja i aplikacija. Primjerice, podatke tvrdih diskova, procesora, memorije i mrežnih adaptera. Ovi objekti su izdvojeni pomoću COM objekata koji se zovu “opskrbljivači” i skupljaju informacije koje su dojavljene od strane upravljanih objekata.
➢ Model Općih Informacija (CIM, Common Information Model). WMI sprema informaciju koju je dobio od “opskrbljivača” upravljanih objekta na lokaciju koja se naziva Common Information Model, ili skraćeno CIM. Ova lokacija više sliči na neku dvoranu, nego na neku bazu podataka, u koju objeki izbace informaciju kada su pozvani. Vrh CIM lokacije je \root\cimv2.
➢ Upravitelj Modela Općih Informacija (Common Information Model Object Manager, CIMOM). Zahvaljujući CIMOM-u informacije koje se nalaze unutar CIM lokacije su dostupne ostalim objektima. CIMOM je odgovoran za obradu ulaznih podataka koji dolaze od “opskrbljivača” i za komuikaciju sa aplikacijama koje žele podatke koji su pohranjeni u CIM lokaciji.
➢ WMI Jezik Upita (WMI Query Language,WQL). Iz razloga što je WMI Microsoftova izvedba WBEM-a, informacijama koje su dostupne preko CIMOM se pristupa preko jezika kojeg je stvorio Microsoft, koji se zove WMI Query Language ili skraćeno WQL. WQL osigurava samo-za-čitanje (read-only) prsitup CIMOM-u. Ažuriranja su programski izvršena preko “opskrbljivača”.
➢ Okidači Događaja (Event Triggers). Osim što može pasivno odgovarati na upite, CIMOM može proaktivno slati poruke i poduzimati radnje kao odgovor na događaje koji su nastali u CIM lokaciji. Ovlasti Korisničkih Grupa ne koriste WMI događaje.
Windows Server 2003 koristi WMI na različite načine. Kod ovlasti korisničkih grupa , možete koristiti WMI kako bi filtrirali GPO temeljem rezultata WQL izvješća.
WQL Naredbe
WQL sintaksa je podskup SQL-a sa nastavcima za pojedine klase u CIM-u. Najčešća WQL naredba koja se koristi kao WMI filter je Select naredba sa Where modifikatorima pomoću kojih se određuje konačni rezultat. Pogledajmo nekoliko primjera:
➢ Pošalji mi imena računala koja imaju procesore brže od 600MHz:
root\cimv2; SELECT*from Win32_Processor WHERE currentclockspeed< 600
➢ Pošalji mi imena računala koji imaju instalirane Windows 2000 Professional tako da im mogu poslati određene pakete usluga (service pack) ili alate:
root\cimv2; SELECT * from Win32_OperatingSystem WHERE caption = ""Microsoft Windows 2000
Professional"
➢ Pošalji mi imena računala koja imaju instaliran Microsoft Client:
root\cimv2; SELECT * from Win32_NetworkClient WHERE name = ""Microsoft Windows Network"
Primjetite korištenje dvostrukih navodnika u Select naredbi. Dvostruki navodnici su simbol rezerviran u WQL-u, tako da ih trebate udvorstručiti ako želite da budu dio uvjeta kojeg šaljete CIMOM-u.
Prije nego što nastavimo s primjerima, dopustite mi da vam pokažem odličan način za pronalaženje WMI klasa kako bi mogli stvarati vlastite WQL uvjete.
WMI SDK dolazi sa CIM pretraživačem koji se temelji na web tehnologiji a ime mu je CIM Studio. Možete skinuti WMI SDK sa Microsoftove stranice msdn.downloads. Kroz stablo spustite se do Windows Development | Windows Management Instrumentation.
CIM Studio je uslužni program koji se temelji na pretraživačkoj tehnologiji. Slika 15 prikazuje primjerak stranice. Možete koristiti CIM Studio kako bi pronašli klase koje vas zanimaju pomoću klika na Find dugme (ikona sa sličicom dalekozora u gornjem desnom uglu), zatim upišete "network". Ovo će vam poslati sve klase koje sadrže riječ "network".
Slika 15. Sučelje CIM Studia
[pic]
Klase koje započinju sa Win32_ dopuštaju pristup dobavljačima informacijama o operacijskom sustavu. Kliknite na neku opciju koja sadrži Win32_ kako bi se prikazali podaci o odabranoj klasi u desnom prozoru.
Kako bi vidjeli što se nalazi na CIM lokaciji za odabranu klasu, odaberite klasu, zatim kliknite na dugme Instances (četrvrto dugme s desna, u gornjem desnom uglu prozora). U ovom prozoru se prikažu svi rezultati generičkog WQL upita, koji govori: "Daj mi svaki primjer klase i sve njene atribute". Možete koristiti zaglavlja stupaca kako bi razvili svoje vlastite WQL uvjete.
Konfiguriranje WMI filtera
WMI filteri se nemogu primjeniti na pojedinačne elemente GPO-a. Primjerice, ne možete filtrirati samo Administrativne Predloške (Admnistrative Temmplates) kao dio GPO-a. To bi značilo da upravljate WMI Filterima kao da su oni dio svojstava samog GPO-a. Krenimo dalje kako prikazuje Procedura 5.
Procedura 5 Pristupanje Sučelju WMI Filtera:
➢ Otovorite Properites prozor GPO-a kojeg želite filtrirati.
➢ Odaberite karticu WMI Filter. Slika 16 prikazuje primjer.
Slika 16. Kartica WMI Filter GPO-a
. [pic]
➢ Odaberite radio-dugme This Filter i kliknite Browse/Manage. Otvara se prozor Manage WMI Filter.
➢ Kliknite Advanceed. Ovo prikazuje WMI Filter Editor. (Pogledajte sliku 17).
Slika 17. Prozor naprednog prikaza Manage WMI Filters prikazuje WMI Filter Editor.
[pic]
➢ Unesite WQL naredbu koji ste kreirali da bi dobili skupinu računala ili korisnika na koje želite primjeniti postavke polica u ovom GPO-u.
➢ Kliknite Save da bi sačuvali WQL naredbu, a zatim kliknite OK da bi sačuvali filter.
➢ Testirajte filter tako da se prijavite na računalo koje zadovoljava kriterije filtera i pogledajte da li ste dobili policu.
Možete odabrati samo jedan WMI filter za svaki ponuđeni GPO. Možete napraviti filter kompleksan koliko god vi to želite, ali zapamtitite da korisnici moraju zadovoljiti uvjete da bi se on izvršio. Postavljanje puno Select kriterija unutar naredbe može negativno utjecati na korisnikovo vrijeme prijave.
Spremanje WMI Filtera
WMI filteri su pohranjeni u Aktivnom Imeniku kao MS-WMI-SOM tipovi objekata. SOM je kratica za Scope of Management (Opseg Upravljanja). Objekti filtera su pohranjeni unutar SOM spremnika, pod imenom cn=SOM,cn=WMIPolicy,cn=System,dc=,dc=.
Ovdje se nalazi dio liste atributa filtera koja prikazuje atribute koji su korišteni za spremanje i upravljanje filterom.
cn: {C3BB1D85-D674-4568-B3BD-BBD4C6EC5A4D};
msWMI-Author: Administrator;
msWMI-ID: {C3BB1D85-D674-4568-B3BD-BBD4C6EC5A4D};
msWMI-Name: Phx-Filter-1;
msWMI-Parm1: Computers with CPUs faster than 600 MHz;
msWMI-Parm2: 1;3;10;60;WQL;root\cimv2; select * from Win32_Processor where
currentclockspeed > 600;;
Elemeni koji se nalaze u listi:
➢ MSWMI-Author; sprema ime korisnika koji je kreirao filter. Zapamtite ovo ako ne budete mogli dešifrirati filter i ako budete željeli saznati što je tvorac filtera želio postići.
➢ MSWMI-ID; sprema ime filtera. Ime je dobijeno korištenjem GUID algoritma kako bi se osigurala jedinstvenost.
➢ MSWMI-Name; sprema poznato ime filtera.
➢ MSWMI-Parm1; sprema opis filtera.
➢ MSWMI-Parm2; sprema WQL naredbu filtera.
Dodjeljivanje Ovlasti Za Upravljanje Ovlastima Korisničkih Grupa
Jedna od glavnih prednosti Aktivnog Imenika je sposobnost da lijepo uredi administratorska prava koja vi dodjeljujete. Primjerice, vi možete kreirati OJ koja se sastoji od posebnih korisnika i grupa, zatim dodjeliti administratorska prava nekom lokalnom administratoru ili nekom iskusnijem korisniku (često poznati i kao "department gurus", gurui odjeljka).
Dodjeljivanje mogućnosti za kreiranje i upravljanje GPO-ima je malo složenije od dodjlejivanja prava za upravljanje korisnicima, grupama ili djeljenim printerima (shared printers). Dvostruka narav GPO-a (GPC i GPT komponente) znači da lokalni administratori moraju imati dvije privilegije:
➢ Ovlast da može kreirati i mjenjati dokumente u Sysvol-u na domenskom kontroloru
➢ Ovlast kreiranja novih GPC-a u Aktivnom Imeniku
Ove ovlasti nisu unaprijed dodjeljene korisnicima. Vi ih morate dodjeliti.
Dodjeljivanje Dopuštenja Pristupa GPT-u.
GPT-i su pohranjeni unutar Sysvol direktorija police. Dodjeljivanje prava ovim dokuemntima uključuje postavku NTFS dopuštenja u direktoriju \Sysvol\Sysvol\\Policies.
Direktorij je zapravo "reparse point" povezan sa \Sysvol\Domain\Policies direktorijom, tako da i tamo možete postaviti prava ako želite.
Krenite sa kreiranjem grupe za lokalne administratore. Zatim dodjelite Read (Čitaj), Write (Piši), Create (Kreiraj) and Modify (Mjenjaj) prava grupi koja se nalazi u ovom direktoriju police.
Ako želite da lokalni administratori upravljaju GPO-om ali da nemogu kreirati novi, prvo kreirajte GPO i tada dodjelite prava na direktorij te police.
Ova nova NTFS prava predstavljaju promjene u ovom direktoriju pa se tako ona repliciraju i na druge domenske kontrolore preko FRS-a.
Dodjeljivanje Dopuštenja Pristupa GPC-u
Nakon što ste pripremili GPT ovlasti dajte administratorskoj grupi dopuštenja da kreiraju GPO-ove na način da ih dodate grupi Vlasnici Kreiranja Ovlasti Korisničkih Grupa (Group Policy Creator Owners). Ova grupa ima ovlasti da kreira i mjenja objekte koji se nalaze u spremnicima Polica koji se nalaze u Aktivnom Imeniku, pod lokacijom cn=Policies,cn=System,dc=,dc=.
Ako administratorskoj grupi niste dali potpunu kontrolu (full control permission) nad OJ, morate im dati ovlasti za Kreiranje Veza (Create Link permission) za OJ.
Upravljanje Individualnim Tipovima Ovlasti Korisničkih Grupa
Sad kada smo vidjeli kako poslužiteljska računala izdaju različite ovlasti korisničkih grupa i kako ih korisnici skidaju i primjenjuju, pogledajmo posebne tipove polica da saznamo koje najbolje ispunjavaju naše zahtjeve.
Ova tema obrađuje različite mehanike implementiranja ovlasti korisničkih grupa i kako otkloniti moguće greške. Za više informacija, pogledajte sljedeće:
➢ Poglavlje 19, "Managing the User Operating Enviroment", ima više informacija o korištenju preusmjeravanja direktorija i logon skripti za upravljanje korisničkim okruženje.
➢ Poglavlje 11, "Understanding Network Access Security and Kerberos", pokriva pojedinosti o korištenju sigurnosnih polica.
➢ Poglavlje 17, "Managing File Encryption" i poglavlje 18, "Managing Public Key Infrastructure" pokriva pojedinosti o EFS, PKI i IPSec policama.
➢ Poglavlje 2, "Performing Upgrades and Automated Installations" (Izvedba Nadogradnje i Automatizirane Instalacije), objašnjava kako koristiti RIS police da bi kontrolirali Client Installation Wizard (Instacijski Čarobnjak Korisnika).
Police Održavanja Internet Explorera nisu obuhvaćene ovom knjigom.
Sigurnosne Police
Prije u ovoj temi obradili smo posebnosti razmještanja sigurnosnih ovlasti korisničkih grupa unutar domene. Ovaj odjeljak objašnjava kako zapravo funkcionira mehanizam razmještanja i kako postaviti sigurnost bez pomoći ovlasti korisničkih grupa.
Računala sa instaliranim Windows Server 2003, Win XP, Win 2000 OS spremaju svoje sigurnosne postavke u lokalnu bazu pod imenom Secedit.sdb. Ova baza je smještena u \Windows\Security\Database. Ovlasti korisničkih grupa koje služe za sigurnost rade na principu da se njihove postavke primjene unutar Secedit.sdb.
Uz Secedit.sdb, police sigurnost mogu promjeniti postavke ovlasti NTFS dokumenata i direktorija, ključeva u Registru i lokalnih servisa.
Sigurnosni GPT dokumenti.
Kada kreirate postavke sigurnosne police u GPO-u korištenjem GPE, GPE sprema postavke unutar GPT dokuumenta koji se zove GptTmpl.inf.
Korisnici koje zahvaća GPO skidaju GptTmpl.inf dokument i kopiraju ga u direktorij na lokalnom računalu \Windows\Security\Templates\Policy. Ako je korisnik zahvaćen sa više GPO-a koji imaju sigurnosne police, kopira se svaki GptTmpl.inf po redu i dodjeljuju im se redni brojevi sa .inf nastavkom. Redni broj odgovara hijerarhiji kako su postavljeni GPO-i. Izuzezak je Unaprijed Određena Domenska Polica (Default Domain Policy) koja ima posebni .dom nastavak.
Kada se korisnik prijavljuje, Winlogon procesi uzimaju sadržaj .dom i .inf dokumenata i primjenjuje ih na sigurnosnu bazu lokalnog računala i u Registar. Rezultate ove transakcije možete vidjeti u Winlogon.log dokumentu koji se nalazi na lokaciji \Windows\Security\Log. Učinak sigurnosnih polica je vidljiv odmah nakon njihova skidanja.
Prilikom pozadinskog osvježavanja korisnicima će se skinuti i moguće promjene koje su nastale u sigurnosnim policama. Osvježavanje nastaje svakih 90 do 120 minuta za računala koja su članovi domene, a svakih 5 minuta za domenske kontrolore. Dodatno i potpuno pozadinsko osvježavanje, bez obzira na promjene polica nastaje svakih 16 sati.
|Posebno Rukovanje Policama Računa |
| |
|Police računa, kao što su primjerice police šifri, police zaključavanja korisničkih računa i Kerberos police mogu se postaviti samo |
|unutar GPO-a Unaprijed Određene Domene. Police se pojavljuju i u drugim GPO-ima, ali njihovo postavljanje nema nikakav učinak. |
Da biste vidjeli sigurnosne police koje su se primjenile na lokalni server, pokrenite konzolu Lokalne Sigurnosne Postavke (Local Security Settings) preko Start | Programs | Administrative Tools | Local Security Policy. (Domenski kontrolori imaju Domain Controller Security Policy (Sigurnosna Polica Domenskog Kontrolora) i Domain Security Policy (Sigurnosna Polica domene) opcije). Slika 18 prikazuje primjer lokalne sigurnosne police za server koji je član domene.
Slika 18. Konzola Lokalnih Sigurnosnih Postavki za server koji je član domene
[pic]
Kako se budete spuštali kroz postavke polica, primjetit će te da neke imaju ikone na kojim se nalazi nekakva mala plava oznaka, a neke imaju ikone koje izgledaju kao dva mala servera sa svitkom papira. Druga ikona nam pokazuje da su postavke police nastale unutar ovlasti korisničkih grupa. Prva ikona nam pokazuje da je polica nastala u lokalnoj sigurnosnoj bazi.
Unaprijed Određeni Sigurnosni Predlošci
Za domenske kontrolore i računala koja su članovi domene, ovlasti korisničkih grupa su idealan način za upravljanje sigurnosnim postavkama. Međutim, možete direktno mjenjati sigurnosne postavke koristeći Secedit uslužni program. Secedit se oslanja na predložak kako bi osigurao postavke koje se primjenjuju na Secedit.sdb bazu podataka i na druge sigurnosne objekte.
Postoje dvije skupine sigurnosnih predložaka. Prvi su spremljeni unutar \Windows\INF lokacije. Sustav koristi ove predloške kako bi napravio velike sigurnosne promjene kada server promjeni svoj upravljački karakter. Predlošci i njihova svrha:
➢ DEFLTSV.INF. Primjenjuje se kada je server instaliran uz poteškoće (from scratch).
➢ DEFLTDC.INF. Primjenjuje se kada server postane domenski kontrolor.
➢ DSUP.INF. Primjenjuje se kada server nadograđuje na Windows 2000 ili NT4.
➢ DCUP5.INF. Primjenjuje se kada se domenski kontrolor nadograđuje na Windows 2000 domenski kontrolor.
➢ DSUPT.INF. Primjenjuje se kada nadograđuje NT4 Terminal Server Edition ili Windows 2000 server koji se pokretao u Aplikacijskom načinu (Application mode).
➢ DCFIRST.INF. Primjenjuje se na prvi server koji postane domenski kontrolor domene. Ovaj predložak sadrži posebne Kerberos police, police računa, ograničene grupe i članve grupa.
Posebni Sigurnosni Predlošci
Osim sigurnosnih predložaka koji se primjenjuju tokom instalacije i postavljanja domenskog kontrolora, postoje i dodatni sigurnosni predlošci koji su pohranjeni na lokaciji \Windows\Security\Templates. Ovi predlošci sadrže zapakirane postavke kao osnovne, sigurne i visoko sigurne konfiguracije koje se mogu primjeniti na poslužiteljska računala, radne stanice i domenske kontrolore. Također postoji paket za uklanjanje Terminal Server User grupe sa NTFS dopuštenja na serveru.
|Savjet Za Registar: Dokument Trenutnog Predloška |
| |
|Ime sigurnosnog predloška koji se primjenio prilikom instalacije (Setup) ili koji se “ručno” primjenio unutar Secedit baze podataka je |
|pohranjeno u Registru pod HKLM | Software | Microsoft | Windows NT | CurrentVersion | Secedit | TemplateUsed. |
Možete koristiti ove zapakirane sigurnosne predloške kako bi analizirali postavke sustava i nadogradili sustav sa novim sigurnosnim policama. Ovo će vam biti potrebno samo ako upravljate samostalnim poslužiteljskim računalom. Članovima domene bi trebali upravljati koristeći ovlasti korisničkih grupa.
Dodatak za Sigurnosnu Konfiguraciju i Analizu
Dodatak koji je dostupan preko MMC-a, a zove se Security Configuration and Analysis nudi mogućnost da se usporede trenutne lokalne sigurnosne postavke sa sadržajem sigurnosnih predložaka. Također, možete koristiti ovaj dodatak da primjenite sigurnosne postavke koje se nalaze u predlošku.
Kako bi koristili ovaj dodatak, morate napraviti svoju vlastitu MMC konzolu. Nakon što napravite konzolu, učitajte sigurnosni predložak i upotrijebite ga kao mjerilo za usporedbu sa trenutnim sigurnosnim postavkama. Ako postoje kakve promjene, biti će označene velikom, crvenom ikonom. Slika 19 pokazuje primjer. Ako ste zadovoljni sa postavkama sigurnosnog predloška, možete primjeniti taj predložak. Kako bi izvršili ove zadaće, slijedite korake ispisane u proceduri 6.
Procedura 6 Korištenje Dodatka za Sigurnosnu Konfiguraciju i Analizu:
➢ Otvorite novu MMC konzolu tako da utipkate MMC unutar Run prozora.
➢ Sa izbornika konzole odaberite Console | Add/Remove Snap-in. Otvara se prozor Add/Remove Snap-In.
➢ Kliknite Add. Otvara se prozor Add Standalone Snap-In.
➢ Odaberite oba, i Security Configuration and Analysis dodatak i Security Templates dodatak.
➢ Zatvorite prozor kako bi se vratili na Add/Remove Snap-In prozor. Sada se na listi nalaze dva dodatka. Nemaju nikakve nastavke.
➢ Kliknite OK kako bi sačuvali promjene i vratili se na MMC konzolu.
➢ Odaberite Console | Save As i sačuvajte konzolu, dajte joj neko opisno ime, kao npr. Security Analysis.msc.
➢ Kliknite na križiće koji se nalaze pored oba dodatka. Ispod Security Templates se nalazi lista sigurnosnih predložaka koji su pohranjeni na lokaciji \Windows\Security\Templates. Ispod Security Configuration and Analysis nalaze se uputstva kako izvesti analizu.
➢ Kliknite na križić pored nekog predloška i pogledajte postavke koje se nalaze unutar Police Računa i Lokalne Police (Account Policies and Local Policies). Možete mjenjati postavke predložaka kako bi dobili vama odgovarajući predložak. Promjene sačuvajte kao novi predložak.
➢ Desnom tipkom miša kliknite na ikonu Security Configuration and Analysis i odaberite OPEN DATABASE iz padajućeg izbornika. Otvara se prozor Otvori Bazu Podataka (Open Database).
➢ Unesite ime baze podataka u koju želite pohraniti rezultate analize koje provedete. Nemojte pokušavati otvoriti postojeću Secedit.sdb bazu podataka. Dobit ćete poruku da je ulaz zabranjen.
➢ Desnom tipkom miša kliknite na ikonu Security Configuration and Analysis i odaberite ANALYZE COMPUTER NOW iz padajućeg izbornika. Otvara se prozor Izvođenje Analize (Perform Analysis) u kojem piše i put do lokacije na kojoj se nalazi dnevnik rada analize.
➢ Kliknite OK. Kada je analiza završena kliknite na križić pored Security Configuration and Analysis kako bi vidjeli sigurnosne postavke. Na mjestima gdje postoji razlika između lokalnih postavki i postavki predloška vidjet ćete crvenu ikonu.
Slika 19. Security Configuration and Analysis konzola prikazuje markirane razlike između konfiguracije sigurnosnog predloška i postavki računala
[pic]
Raspoređivanje Sigurnosnih Predložaka
Ako imate samostalna poslužiteljska računala, kao što su serveri u DMZ-u ili aplikacijski serveri koje ne želite postaviti u domenu ili serveri koji imaju instalirane Windows Server 2003 a članovi su standardne NT domene, na njih možete raspoređivati sigurnosna ažuriranja preko sigurnosnih predložaka i Secedit uslužnog programa.
Secedit uslužni program ima četiri opcije, a svaka je izvedena kao parametar u naredbenoj liniji:
➢ Analiziranje (Analyze). Uspoređuje postojeće sigurnosne postavke sa predloškom i ispisuje izlazne rezultate u SDB bazu imena koje vi odredite i u dnevnik rada s imenom koje vi odredite. Sintaksa:
secedit /analyze /db neko_ime.sdb /cfg template.inf /log neko_ime.log
➢ Konfiguriranje (Configure). Ažurira postojeće sigurnosne postavke sa sadržajem predložaka. Možete primjeniti određene dijelove predloška, ako niste zadovoljni sa cijelim predloškom. Promjene se spremaju u bazu podataka pod imenom koje vi zadate.
Pažnja !!!. Primjenjivanje predložaka može vaše računalo učiniti čak i nesigurnijim ili ga skroz blokirati tako da ćete teško ponovno omogućiti njegovo korištenje. Budite oprezni ukoliko budete koristili ovu opciju. Sintaksa:
secedit /configure /db neko_ime.sdb /cfg template.inf /log neko_ime.log /area area1 area2
➢ Izvoz (Export). Zapisuje trenutne sigurnosne postavke unutar predloška. Ovo je prilično korisno kada želite konfigurirati grupu servera sa istim sigurnosnim postavkama. Na jednom računalu konfigurirate postavke kakve želite, nakon toga klonirajte postavke u sigurnosni predložak te tada rasporedite predloške pomoću Secedita-a. Sintaksa:
secedit /export /cfg template.inf /log neko_ime.log
➢ Potvrde (Validate). Provjerava sadržaj predloška i osigurava da je sintaksa ispravna za importiranje. Za pokrenuti ovu narednu sintaksa je sljedeća:
secedit /validate template.inf
Možete koristiti Secedit kako bi rasporedili predloške i na Windows Server 2003 računala koja su dio standardne NT4 domene na način da postavite Secedit.exe dokument i predložak unutar Netlogon-a na svakom domenskom kontroloru i nakon toga logon skriptama dodate liniju koda koje će pimjeniti ovu konfiguraciju. Napišite svoju logon skriptu tako da se naredba odnosi samo na ona servere sa instaliranim Windows Server 2003 OS. Možete napraviti višestruke predloške i koristiti grananje (branching) unutar logon skripti kako bi izabrali odgovarajuću platformu, ali je ovo prilično teško napraviti korištenjem običnih batch (.bat) dokumenata.
Najvažnije u Sigurnosnim Policama
Pogledajte što je najvažnije zapamtiti o načinu primjene sigurnosnih polica na lokalne sustave:
➢ Sigurnosne police za lokalna računala su pohranjena u bazi podataka Sigurnosnog Uređivača (Security Editor), na lokaciji \Windows\Security\Database\Secedit.sdb.
➢ Sigurnosne police se uvijek skidaju bez obzira na brzinu veze.
➢ Police Računa kao primjerice povijest lozinki, složenost lozinki i tako dalje moraju biti definirane u polici Unaprijed Određene Domene (Default Domain policy). Ove police su povezane sa spremnikom Domene u Aktivnom Imeniku i nemogu biti zamjenjene nijednim drugim ovlastima korisničkih grupa.
➢ Lokalne sigurnosne police su postavljene pomoću Setup-a i tijekom promocije domenskog kontrolora temeljene na sigurnosim predlošcima pohranjene u \Windows\INF.
➢ Lokalne sigurnosne police mogu biti promjenjene pomoću SECEDIT uslužnog programa korištenjem sigurnosnih predložaka pohranjenih u \Windows\Security\Templates kao upućivanje.
Police Administrativnih Predložaka
Najočitija primjena Administrativnih Predložaka je kada želimo uređivati Registar od stotine, tisuće računala istovremeno. Već smo upoznali većinu "mašinerije" koja je uključena prilikom kreiranja i upravljanja policama Admnistrativnih Predložaka. Pogledajmo kratak opseg njihovih poslova prije nego se posvetimo detaljima:
➢ GPE prikazuje postavke Administrativnih Predložaka koje su bazirane na sadržaju ADM predložaka. ADM dokumenti se nalaze unutar \Windows\INF direktorija.
➢ Kada omogućite ili onemogućite policu Administrativnih Predložaka, GPE zapisuje tu informaciju unutar GPT dokumenta koji se zove Registry.pol. Ovaj dokument se nalazi u Sysvol direktoriju unutar direktorija police. Postoje dvije kopije Registry.pol dokumenta u svakoj polici: jedna unutar Machine direktorija koja sadrži police Konfiguracije Računala (Computer Configuration), a druga unutar User direktorija koji sadrži police Konfiguracije Korisnika (User Configuration).
➢ Korisnici koji su zahvaćeni sa GPO-om koji sadrži Administrativne Predloške skidaju Registry.pol dokumente i prosljeđuju njihov sadržaj u posebne ključeve Polica u Registru.
➢ Aplikacije kodirane da pretražuju parametre u "hlapljivim" ključevima Polica mjenjaju svoje operacije na temelju sadržaja ovlasti korisničkih grupa.
Pogledajmo malo detaljnije kako radi ovaj proces. Trebali biste se dobro upoznati sa obradom Administrativnih Predložaka. Većina distribuiranih dodataka za upravljanje u Windows Serveru 2003 se oslanja na Regstarski bazirane police u ovom ili onom obliku.
Posebni Registarski Ključevi Koji se Koriste za Police
Police Administrativnih Predložaka u Registry.pol-u su zapisane na posebne lokacije u Registru koje su uređene kako bi prihvatile "hlapljive" zapise ovlasti korisničkih grupa. Četiri ključa pohranjuju ove "hlapljive" police. Police Konfiguracije Računala su zapisane unutar HKLM ključeva, a police Konfiguracije Korisnika su zapisane unutar HKCU ključeva:
➢ HKLM | Software | Policies
➢ HKLM | Software | Microsoft | Windows | CurrentVersion | Policies
➢ HKCU | Software | Policies
➢ HKCU | Software | Microsoft | Windows | CurrentVersion | Policies
Vrijednosti u ovim "hlapljivim" ključevima Polica se osvježavaju svaki put kada se računalo uključi i kada se korisnik prijavi. Ako maknete policu Administrativnih Predložaka iz GPO-a ili raskinete vezu sa GPO-om koji sadrži police Administrativnih Predložaka, zapisi koji su bili pohranjeni u lokalnom Registru će se također maknuti. Ovo eliminira "tetoviranje" koje je bilo problem kod sistemskih polica.
|Tetoviranje i Standardne Sistemske Police |
| |
|Evo jedan primjer “tetoviranja” sistemske police. Koristeći standardne NT sistemske police, moguće je odrediti pozadinsku sliku za grupu |
|korisnika. Ako nekog korisnika pridružite grupi koju zahvaća ovo pravilo, polica se primjenjuje na korisnikov Registar (HKCU) i postavke |
|za primjenu pozadinske slike se prihvaćaju. |
|Ako korisnika uklonite iz te grupe, pozadinska slika ostaje na korisnikovom računalu. Trebali biste osobno doći do toga računala kako bi |
|promjenili pozadinsku sliku ili napraviti drugu grupu sa sistemskom policom koja će promjeniti pozadinsku sliku i zatim korisnika |
|dodjeliti toj grupi. |
|Situacija je mnogo jednostavnija za izvesti korištenjem ovlasti korisničkih grupa. Prvo, definirate policu pozadinske slike tako da |
|kreirate novi GPO koji ima policu Administrativnog Predloška koja se zove Trenutna Pozadinska Slika (Active Desktop Wallpaper) a nalazi |
|se unutar User Configuration | Administrative Templates | Desktop | Active Desktop. Ovaj GPO povežete sa OJ koja sadrži korisničke |
|račune, svi korisnici u toj OJ dobivaju određene pozadinske slike. |
|Ako uklonite korisnika iz te OJ, postavke police nestaju i pozadinska slika se vraća na vrijednost koju je imala prije primjene ovlasti |
|korisničke grupe (nepromjenjeno stanje). |
Police i Prednosti
Fleksibilnost i nedostatak trajnosti koji su povezani sa ovlastima korisničkih grupa temeljenih na Registru čine da su one jako zanimljiv dodatak, ali nešto treba upamtiti. One će raditi samo, ako je aplikacija kojom pokušavate upavljati kodirana tako da traži Registarske vrijednosti na pravim lokacijama. Drugim riječima, ne možete upravljati XYZ aplikacijom sa "hlapljivim" ovlastima korisničkih grupa ako XYZ aplikacija ne zna da treba pogledati u jedan od četiri "hlapljiva" ključa Polica u Registru u potrazi za svojim parametrima.
Moguće je koristiti ovlasti korisničkih grupa kako bi promjenili parametre Registra izvan "hlapljivih" ključeva Polica. Ovo stvara hard-coded (teško kodirane, konstanta, nemogućnost mjenjanja) ulaze u Registru slične onima kreiranim u standardnim NT sistemskih policama. Microsoft ove "nehlapljive" Registrarske ulaze naziva “prednosti” kako bi pokazao njihovu suprotnost sa policama koje mogu biti lako dodane i birisane.
Police su mnogo fleksibilnije i jednostavnije za upravlajti nego "prednosti"; ali ako pokušavate upravljati "nasljeđenim" (legacy) aplikacijama, često će te morati koristiti "prednosti" kako bi kontrolirali Registarske ulaze. Vidjet ćemo kako se kreiraju "prednosti", ali prije pogledajmo kako GPE kreira standardne police.
ADM Predlošci
Police Administrativnih Predožaka se zovu tako jer su njihove postavke dobivene iz skupa tekstualnih ADM predložaka. Ovu izgleda slično kao i kod standardnih NT sistemskih polica, ali struktura ADM dokumenata i način na koji se koriste je bitno drugačiji.
ADM predlošci se nalaze unutar \Windows\INF direktorija. GPE po unaprijed zadanoj vrijednosti učitava četiri ova predloška:
➢ System.adm. Opsežan skup postavki police koja kontrolira većinu dodataka koji se nalaze pod Explorerom.
➢ Inetres.adm. Police Internet Explorera koje zahvaćaju komponente kao što je Internet Explorer, Upravljačka Ploča (Control Panel), Offline Pgaes, Browser Menus, Persistance Behavior i Administrator Approved Controls.
➢ Conf.adm. NetMeeting police.
➢ Wmplayer.adm. Police Windows Media Player-a.
Nasljeđeni Predlošci
Osim standardnih ADM predložaka, Windows Server 2003 sadrži i dodatne predloške koji su kompatibilni sa standardnim NT sistemskim policama. Osim jedne iznimke, ovi ADM predlošci ne mogu biti učitani u GPE. Njima se pristupa preko Uređivača Sistemskih Polica (System Policy Editora) ili Poledit-a. (Iznimka je Inetset.adm.) Nasljeđeni predlošci koje će te vidjeti unutar Windows Server 2003:
➢ Inetset.adm. Ovaj predložak sadrži dodatke za upravljanje postavkama Internet Explorer-a (pogledajte prijašnji odjeljak, "Police i Prednosti" za više informacija).
➢ Inetcorp.adm. Sistemske police koje kontroliraju jezik u IE, dial-up zabrane i spremanje u predmemoriju (cache-iranje).
➢ Winnt.adm. Sistemske police za NT4.
➢ Windows.adm. Sistemske police za Windows 9x.
➢ Common.adm. Zajedničke sistemske police i za NT4 i za Windows 9x postavke računala.
Učitavanje dodatnih ADM Predložaka
Ako kupite aplikaciju koja koristi "hlapljive" ovlasti korisničkih grupa, primjerice Office 2000 ili Office XP možete učitavati ADM predloške na način koji je objašnjen u Proceduri 7.
Procedura 7. Učitavanje ADM Predložaka u GPE:
➢ Otvorite GPE od GPO u kojem želite koristiti dodatne predloške
.
➢ Kliknite na križić pored ikone Administrativnih Predložaka, (nije bitno da li je unutar User Configuration ili Computer Configuration).
➢ Desnom tipkom miša kliknite na Administrativne Predloške i odaberite Add/Remove Templates.
➢ Klikni Add. Pojavljuje se lista sa predlošcima iz \Windows\INF direktorija.
➢ Pronađite lokaciju na kojoj se nalaze predlošci i odaberite jednog kojeg želite učitati.
➢ Zatvorite Add/Remove Templates prozor kako bi sačuvali vaše promjene i kako bi se predložak učitao. (Odabir predloška je sačuvan kao dio postavki MMC konzole, tako da će predložak biti učitan kada se sljedeći put otvori konzola.)
➢ Budite sigurni da možete vidjeti police predloška kojeg ste učitali. Ako je predložak krivo uređen, prilikom njegovog učitavanja doći će do greške.
➢ Ako predložak sadrži samo standardne sistemske police, bez naredbi obrađivanja, bit će smješten unutar neke strane police i njegov sadržaj neće biti dostupan.
|Poledit i Windows Server 2003 |
| |
|Windows Server 2003 sadrži primjerak Poledit-a koji možete koristiti kako bi kreirali i upravljali sa Config.pol i Ntconfig.pol |
|dokumentima vaših korisnika koji su hijerarhijski niže u stablu. |
|Spremite .pol dokumente unutar direktorija \Windows\Sysvol\Sysvol\\Scripts. Ovaj direktorij je djeljen kao Netlogon. |
|Novija Windows računala (Windows Server 2003, Windows XP, Windows 2000) koji su članovi NT4 domene skidati će i koristiti sistemske |
|police. Ali čim se domena nadogradi sa Windows Server 2003 ili Windows 2000, novija Windows računala prestaju koristiti sistemske police |
|i prelaze na ovlasti korisničkih grupa. |
|Ovlasti Korisničkih Grupa i Sistemske Police |
| |
|Računala i korisnici Windows Server 2003 obrađuju standardne sistemske police samo ako im nisu dostupne ovlasti korisničkih grupa domene |
|Aktivnog Imenika. Primjeri: |
| |
|Korisnik se u domeni Aktivnog Imenika prijavljuje na Windows Server 2003 računalo koje je dio domene Aktivnog Imenika: Ne obrađuju se |
|sistemske police. |
| |
|Korisnik se u domeni Aktivnog Imenika prijavljuje na Windows Server 2003 računalo koje je dio NT4 domene: Sustav obrađuje Ntconfig.pol |
|police računala. |
| |
|Korisnik, član NT4 domene prijavljuje se na Windows Server 2003 računalo koje je član domene Aktivnog Imenika: Sustav obrađuje |
|Ntconfig.pol police korisnika. |
| |
Registry.pol dokumenti
Kada omogućite izvođenje postavki police Administrativnih Predložaka u GPE-u, GPE ekstraktira postavke polica iz ADM predloška i koristi ih kako bi kreirao zapis unutar Registry.pol dokumenta. Ovaj dokuemnt je tekstualni dokument baziran na Unicode znakovima.
GPE daje tri mogućnosti prilikom postavljanja ovlasti korisničkih grupa: Omogućen (Enabled), Onemogućen (Disabled) i Nije Konfiguriran (Not Configured). Evo što GPE zapisuje unutar Registry.pol-a na temelju ove tri opcije:
➢ Omogućen (Enabled). GPE ekstraktira listu pridruženog ADM predloška i koristi je za zapisivanje ulaza unutar Registry.pol-a. Primjerice, ako vi omogućite Hide My Network Places Icon On Desktop policu, GPE zapisuje sljedeće u Registry.pol:
[Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ;NoNetHood ; ; ; ]
➢ Onemogućen (Disabled). GPE zapisuje ulaz u Registry.pol koji negira izlistavanje iz ADM dokumenta. Primjerice, ako vi onemogućite Hide My Network Places Icon On Desktop policu, GPE zapisuje sljedeće u Registry.pol:
[Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ;**del.NoNetHood ; ; ;]
➢ Nije KOnfigurirano (Not Configured). GPE uklanja sve zapise u Registry.pol-u koji su povezani sa ovim ispisom. Ovo nema nikakav učinak na ostale Registry.pol dokumente, pa ako zapis i postoji u drugom GPO-u, tada će se polica primjeniti.
Kada korisnik skine Registry.pol dokument, ulazi su zapisani u "hlapljive" ključeve Polica koji su određeni u predlošku. Ovo se izvodi pomoću Userenv.dll nastavka na stani korisnika i ne zahtjeva nikakvu intervenciju administratora.
Objašnjenje ADM Ispisa
Ispisi u ADM dokumentima ovlasti korisničkih grupa su kodirani da zapisuju ulaze u "hlapljive" ključeve Polica. Pogledajte ulomak iz System.adm kako bi shvatili na koji način funkcionira:
CLASS USER
CATEGORY !!Desktop
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
POLICY !!NoNetHood
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif
EXPLAIN !!NoNetHood_Help
VALUENAME "NoNetHood"
END POLICY
END CATEGORY
[strings]
Desktop="Desktop"
NoNetHood="Hide My Network Places icon on desktop"
NoNetHood_Help="Removes the My Network Places icon from the desktop.\n\nThis setting only
affects the desktop icon. It does not prevent users from connecting to the network or
browsing for shared computers on the network."
SUPPORTED_Win2k="At least Microsoft Windows 2000"
Kako bi ADM predloške napravio čitljivijim, Microsoft je u široku primjenu uveo nizove znakova (string-token). Kada vidite dvostruke uskličnike (!!) odmah do riječi, znajte da je riječ o nizu znakova (string-token). Na kraju svakog ADM dokumenta nalazi se lista nizova znakova i njihovih proširenih verzija; objašnjenja.
Kratka objašnjenja različitih elemenata koji se nalaze u ADM ispisu:
➢ CLASS USER. Označava ispise koji se nalaze unutar User Configuration unutar GPE-a.
➢ CATEGORY. Označava ispise koji predstavljaju određeni niz znakova (string token). U ovom slučaju, niz znakova !!Desktop, proširuje se prema istoj riječi, Desktop.
➢ KEYNAME. Označava ispise koji imaju svoje Registarske vrijednosti u označenim Registarskim ključevima. Zasebni ispis može pregaziti ovaj unaprijed određeni KEYNAME zapis sa vlastitim KEYNAME zapisom. Primjetite da ovaj primjer primjer prikazuje Registarsku vrijednost unutar jednog od "hlapljivih" ključeva Polica, Software\Microsoft\Windows\CurrentVersion\Policies.
➢ POLICY. Ispis će se pojaviti u GPE sa imenom ikone predstavljene nizom znakova !!NoNetHood. Ovaj niz znakova predstavlja "Hide My Network Places Icon on Desktop".
➢ SUPPORTED. Ovo je nova ključna riječ u Windows Serve 2003 koja označava koje platforme podržavaju policu. Ovu ključnu riječ koristi GPE filter koji prikazuje samo odabrane police.
➢ EXPLAIN. Sadrži poruku za pomoć koja je prikazana zajedno sa ispisom police u GPE-u. Tekst je prikazan unutar kartice Explain u prozoru police i u stupcu unutar MMC konzole (samo ako odaberemo web-pogled konzole). Niz znakova !!NoNetHood_Help prikazuje potpuni tekst za pomoć.
➢ VALUENAME. Sadrži točnu vrijednost koja će biti zapisana unutar Registry.pol-a kada je ispis omogućen. Unaprijed zadani vrijednosni tip je REG_SZ. Opcija NUMERIC= može označiti vrijednosti kao REG_DWORD ili REG_BINARY.
Kada korisnik skine Registry.pol dokument koji sadrži ovaj zapis, tada nastavak na strani korisnika u Registar zapiše ovu vrijednost:
Ključ: HKCU | Software | Microsoft | Windows | CurrentVersion | Policies | Explorer
Vrijednost: NoNetHood
My Network Places ikona sada se neće pojaviti u pozadini (za Windows Server 2003) ili u Start izborniku (XP računala). Zapamtite da je jedini razlog zašto ovo funkcionira taj što je Explorer kodiran tako da traži određene vrijednosi u Registru kada stvara desktop sučelje za korisnika. U Registru se nalazi dosovno tisuće zapisa koje koristi Explorer ali samo nekoliko desetaka su kodirani da gledaju vrijednosti polica.
Police i Prednosti
Postoji mogućnost da vi stvorite sami, svoj vlastiti ADM predložak sa ispisom koji će se zapisvati na lokacije koje su različite od lokacija "hlapljivih" ključeva Polica. Ovi zapisi će biti obrađeni pomoću nastavka na strani korsinika baš kao i sve druge ovlast korisničkih grupa, ali rezultat će biti zapis pohranjen direktno u Registar.
Micrisoft koristi izraz "prednost" kako bi opisao ovlasti korisničkih grupa koja se zapisuje unutar Registra, ali izvan "hlapljivih" ključeva. Crvena točkica na ikoni unutat GPE-a nam govori da je riječ o "prednosti". Standardne ovlasti korisničkih grupa imaju plavu točku.
Prikladan način kako bi vidjeli prednosti koje imaju crvenu točku je učitavanje Inetres.adm predloška. Ovaj predložak sadrži ispise koji se ne zapisuju u Registru unutar "hlapljivih" ključeva Police. Sadržaj je prikazan kao prednosti sa crvenom točkom.
I standardna polica se također naziva upravljanom policom. Kako je unaprijed određeno, GPE prikazuje samo upravljane police. Kako bi vidjeli prednosti sa crvenom točkom, desnom tipkom miša kliknite na ikonu Administrativnih Predložaka i odaberite FILTERING iz padajućeg izbornika. U prozoru Filtering, skinte kvačicu sa Prikaži Samo Postavke Polica Kojima se Može u Potpunosti Upravljati (Only Show Policy Settings That Can Be Fully Managed) opcije i sačuvajte promjene.
Sada možete vidjeti prednosti sa crvenom točkom unutar ispisa Inetres.adm predloška. Prikazat će se sljedeće postavke:
➢ Ako Omogućite (Enable) prednosti sa crvenom točkom, unutar zapisa Registry.pol-a biti će izlistan cijeli Registarski put (path). Nastavak na strani korisnika sprema zapis direktno u označeni Registarski ključ.
➢ Ako Onemogućite (Disable) prednosti sa crvenom točkom, zapis unutar Registry.pol će imati **del prefiks, i nastavak na strani korisnika će ukoloniti zapis iz Registra.
➢ Ako postavite prednost na Nije Konfigurirano (Not Configured), zadnja vrijednost koju ste postavili u Registru ostaje nepromjenjena.
Najbolje se riješiti prednosti tako da je prvo onemogućite i pričekate da korisnik skine policu i nakon toga promijenite status u Nije Konfigurirano.
Stvaranje Vlastitih ADM Predložaka
Možete napraviti vlastite ADM predloške tako da izrežete (cut) i zalijepite (paste) dijelove postojećih predložaka. Prije nego krenete, budite sigurni da polica već negdje ne postoji. Uslužni program Pomoć i Podrška (Help and Support) ima mogućnost ispisa svih polica. Resource Kit ima dokument za pomoć ovlastima korisničkih grupa (Gp.chm) koja izlistava police na mnogo sadržajniji način.
Upamtite: Pisanje zapisa predložaka koji svoje vrijednosti pohranjuje unutar ključeva Polica zahvaća samo one aplikacije koje su kodirane da traže ključeve na tim lokacijama. Većinom, sve ove vrijednosti imaju postojeće zapise unutar ADM prdložaka. Ako napišete zapis unutar predloška koji postavlja vrijednost na neko drugo mjesto u Registru, GPE će kreirati prednost sa crvenom točkom.
Police za Razmještanje Programa
Ako vjerujete reklamama, 21. st. je početak procvata za proizvođače aplikacija (Application Services Provider). Čak i da je ovo istina, proći će još dosta vremena prije nego sve aplikacije u vašoj tvrtki budu temeljene na sučelju pregdlednika (browser-based interfaces). Prije nego to vrijeme dođe, ako ikada i dođe, mi administratori sanjamo o čarobnom štapiću pomoću kojeg ćemo moći poslati željenu aplikaciju željenom korisniku koja će biti tako iskonfigurirana da će čim se pokrene raditi ispravno.
Razmještaj programa u Windows Serveru 2003 nije ni približno sličan mahanju čarobnim štapićem, ali je ipak puno lakši od hodanja od sobe do sobe sa hrpom CD-a. Ova tema obrađuje mehanizam razmještanja programa unutar Windows Server 2003 i zahtjeve za razmještanje paketa.
|ADM Predlošci Se Mogu Neočekivano Prebrisati |
| |
|Svaki put kada GPE otvara policu, on osvježava njegovu lokalnu kopiju ADM predložaka sa glavnim predlošcima iz \Windows\INF. Baš iz ovog |
|razloga trebali biste izbjegavati mjenjanje postojećih predložaka. Umjesto toga, kreirajte nove ADM predloške i spremite ih na mjesto |
|gdje mogu biti dostupni bilo kojem administratoru koji uređuje GPO. |
|Zamjenski Alati za Razmještanje Programa |
| |
|Programi temeljeni na policama su dobri za distribuiranje dokumenata i to je uglavnom to. Ali ako su vaše potrebe iole složenije ili ako |
|trebate opsežno nadgledanje i izvještavanje o mogućnostima, preporučujem vam da potražite neki drugi alat. Kandidati su: |
|Microsoftov System Management Server (SMS) |
|Tivoli od IBM-a |
|ShipIT od Computer Associates-a |
|Proizvodi za razmještanje programa od InstallShield-a |
|Mobile Automation |
Funkcionalni Opis Razmještanja Programa
Kao i većina dodataka koje omogućavaju police (policy-enabled features), tako i razmještanje programa također ovisi o skupu komponenti:
➢ Usluga Windows Installer. Usluga koja distribuira sastavne dijelove aplikacijskog paketa i čini ispravnim Registarske zapise koji podržavaju instalaciju. Dostupne su verzije za NT4, Windows 9x i ME, ali razmještaj programa na temelju polica u Windows Server 2003 zahtjeva svjesne korisnike Aktivnog Imenika (Active Directory-aware clients). Ne može se raspoređivati programe na hijerarhijski niže OS kao što su Windows 9x ili NT4.
➢ Microsoft Installer Paket (MSI). Instalacijski paket koji sadrži aplikacijske dokumente zajedno sa katalogom dokumenata i naredbe koje govore Windows Installer-u kako da izvrši postavu (setup).
➢ Paket za Razmještanje Programa (Software Deployment Package (AAS)). Predložak ovlasti korisničkih grupa koji sadrži lokaciju MSI dokumenta i naredbe za njegovo razmještanje. Objekt Spremište Klasa (Class Store) koji se nalazi u Aktivnom Imeniku sadrži informacije o programskom paketu.
➢ Poslužitelj za Razmještanje (Deployment Server). Poslužitelj kojemu pripada MSI dokument. Ne treba biti Windows Server 2003, pa čak ni Windows server, ali mora imati djeljeni direktorij kojemu mogu pristupiti korisnici na koje se primjenjuje polica za razmještanje programa.
Također, distribuirana aplikacija mora biti zapakirana kao MSI dokument. (Možete zapakirati nasljeđene (legacy) aplikacije u takozvane ZAP dokumente koji su slični .bat dokumentima kako bi pokrenili postavljanje aplikacije.)
Usluga Windows Installer
Usluga Windows Installer izvršava sljedeće funkcije:
➢ Provjerava verzije svakog dokumenta i broji upućivanja na dokument kako bi smanjila probleme prouzrokovane kada jedna instalacija prebriše drugu. Installer radi u tandemu sa Side-by-Side (SxS) dodacima koji se nalaze unutar Windows Server 2003.
➢ Izvršava instalaciju s odgodom (delayed installation), čekajući sve dok korisnik ne pokrene program iz Start izbornika ili klikne dva puta mišom na podatkovni dokument sa pridruženim nastavkom.
➢ Održava dnevnik rada instalacije kako bi se instalacija resetirala ukoliko dođe do prekida. Ovo daje mogućnost da se instalacija vrati na mjesto gdje je prekinuta.
➢ Održava katalog svih instaliranih komponenti i Registarskih promjena tako da se aplikacija kompletno ukloni ukoliko je deinstalirana. Ovaj dodatak podržava opciju ovlasti korisničkih grupa koja uklanja aplikaciju kada korisnik više nije u opsegu GPO-a koji sadrži distribucijsku policu.
➢ Podržava samoštiteće (self-healing) aplikacije tako da automatski skida komponente koje su slučajno uništene ili prebrisane.
➢ Mogućnost instalacije aplikacija korištenjem povećanih ovlasti. Ovo dopušta korisnicima da instaliraju aplikacije bez ovlasti administratora. (Jel to ja čujem uzvik "Aleluja"?)
MSI Paketi
Razmještaj programa koji se temelji na policama ovosi o usluzi Windows Installer-a, a Windows Installer traži da aplikacije budu zapakirane kao MSI dokumenti.
Ne moraju sve komponente aplikacije biti uključene direktno u MSI, ali moraju biti smještene na lokaciji na kojoj ih Windows Installer može pronaći na temelju MSI naredbi. Ovo zapravo znači da dokumenti i poddirektoriji unutar MSI-a moraju biti u standardnoj konfiguraciji.
Možete uređivati instalaciju MSI paketa korištenjem Microsoft Transform (MST) dokumenata. Ovi dokumenti pružaju mogućnost skriptne instalacije temeljnog MSI paketa. Primjerice, Office Resource Kit (ORK) ima alat za kretanje po zaslonima postava (setup) za Office 2000 i Office XP i spremanje odabira u MST dokument.
|Kreiranje Vlastitog Paketa za Razmjštanje |
| |
|Bilo koja aplikacija koja nosi Windows 2000 ili Windows Server 2003 logotip mora imati MSI paket. Ovo isključuje prilično raznovrsne |
|programe. Ako želite razmjestiti 32-bitnu Windows aplikaciju koja nema MSI, možete kreirati vlastiti koristeći razne alate. Prijedlozi su|
|(od jeftinijeg prema skupljem): |
| |
|WinInstall 2000. Od Veritasa. WS2003 CD sadrži manju verziju WinInstall-a. |
|Wise Installer. Od Wise Solutions-a. |
|InstallShield Professional (Installer Edition). Od InstallShield-a. |
|Povećane Ovlasti za Instalaciju Programa |
| |
|Sposobnost Windows Installer-a da instalira MSI paket korištenjem povećanih ovlasti eliminira glavni izvor poziva za podršku korisnicima.|
| |
|Po unaprijed zadanom parametru instalacija sa povećanim ovlastima je omogućena samo kada se programi razmještaju pomoću ovlasti |
|korisničkih grupa. Možete postaviti ovlasti korisničkih grupa tako da dopuštaju Windows Installer-u da instalira MSI pakete korištenjem |
|povećanih ovlasti. Ovo vam dopušta korištenje nekih drugih alata, pa čak i kao dodatak u elektronskoj pošti (e-mail attachemnts) da |
|distribuirate programe koje mogu instalirati i prosječni korisnici. Ova polica se naziva Uvijek Instaliraj sa Povećanim Ovlastima (Always|
|Install With Elevated Privileges). Nalazi se unutar Computer Configuration | Administrative Templates | Windows Components | Windows |
|Installer. Samo niz (thread) koji izvodi instalaciju ima povećane ovlasti, tako da se ne morate brinuti da će korisnici dobiti |
|neprikladna dopuštenja koristeći instalaciju. Međutim, omogućavanje ove police otvara mogućnost ulaska Trojanskih konja koji se |
|zamaskiraju kao MSI paketi kako bi dobili povećane ovlasti. Nemojte omogućiti ovu policu bez da prije razmotrite koji su vaše slabe točke|
|u sustavu. |
Paket za Razmještanje Programa
GPT dokument koji služi za razmještanje programskih paketa dolazi u obliku binarnog dokumenta sa nastavkom .aas. Ovaj dokument je pohranjen u Sysvol-u koji se nalazi u direktoriju police koja je povezana sa GPO-om.
Paket za razmještanje govori nastavku na strani korisnika gdje će pronaći MSI (obično je to preko mrežnog djeljenja koje je označeno sa UNC imenom) zajedno sa posebnim naredbama za rukovanje paketom. Postoje dva načina na koji paketi mogu biti razmješteni:
➢ Objavljen (Published). Aplikacija postane jedan od izbora koji se nalaze unutar Add/Remove Programs prozora u Kontrolnoj Ploči (Control Panel). Korisnik klikne dvostrukim klikom na aplikaciju koju želi instalirati i usluga Windows Installer pokrene MSI paket sa distribucijskog servera.
Ako objavljujete više aplikacija, možete ih kategorizirati kako bi olakšali posao svojim korisnicima. Kako bi unjeli kategorije za objavljene aplikacije, otvorite Properties prozor Software Distribution-a i odaberite karticu Categories.
➢ Dodijeljen (Assigned). Instalacijski paket stavlja odgovarajuće prečace unutar Start izbornika i prijavljuje aplikaciju u Registru kao da je aplikacija upravo instalirana. Kada korisnik odabere stavku iz Start izbornika ili dvostrukim klikom odabere podatkovni dokument sa pridruženim nastavkom, usluga Windows Installer pokrene MSI paket sa distribucijskog servera.
U oba slučaja, aplikacije su instalirane tako da server nije preplavljen zahtjevima tijekom udarnih sati kada se korisnici prijavljuju. Možete koristiti Advanced opciju razmještanja programa kao opciju koja prisiljava instalaciju dodjeljenih paketa čim se korisnik prijavi.
Ovo je korisno kada želite biti sigurni da svaki korisnik ima najnoviju verziju instaliranu odmah nakon što ste je vi postavili dostupnom za instalaciju.
Opcija Advanced uključuje također i ove dodatke:
➢ URL lokaciju za svaku aplikaciju na kojoj korisnici mogu dobiti više informacija o samoj aplikaciji.
➢ Opciju za deinstaliranje aplikacije ako je korisnik uklonjen iz spremnika koji je povezan sa GPO-om
➢ Opciju uklanjanja postojećih instalacija aplikacija koje nisu instalirane korištenjem ovlasti korisničkih grupa.
➢ Naredbe za nadograđivanje postojećih razmještanja aplikacije.
➢ Sposobnost pridruživanja MST (Microsoft Transform) dokumenata ili drugih izmjena osnovnom MSI paketu.
Uklanjanje Pogrešaka u Razmještanju Programa
Ako imate problem da programski paket koeg ste dstribuirali ne radi, za početak provjerite da su se sve druge ovlasti korisničkih grupa u istom GPO-u primjenile. Ako jesu, provjerite da li korisnik može pristupiti MSI dokumentu i da vi također dobijete taj programski paket ukoliko se postavite u povezani spremnik. Ako je i ovo u redu, izvadite tešku artiljeriju: dijagnostičko praćenje i ADDIAG uslužni program.
Dijagnostičko Praćenje Aplikacijskog Upravljanja
Appmgmt nastavak na strani korisnika je zadužen za skidanje i obrađivanje .aas paketa za razmještanje. Možete omogućiti izvođenje dijagnostičkog praćenja Appmgmt-a kako bi mogli pratiti operacije koje izvodi i tako pronaći greške ili probleme ukoliko do njih dođe.
Omogućavanje izvođenja dijagnostičkog logiranja zahtjeva promjene u Registru. Kreirajte ovaj ključ i vrijednost:
Ključ: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics
Podaci: AppMgmtDebugLevel (REG_DWORD)
Vrijednost: 4b
Ovo će kreirati dnevik rada imena Appmgmt.log unutar direktorija \Windows\Debug\Usermode.
Dijagnostičko Praćenje Windows Installer-a
Nakon što je Appmgmt skinuo i obradio .aas paket, Windows Installer nastavlja sa obradom MSI paketa. Omoućavanje izvođenja dijagnostičkog praćenja Windows Installer-a će vam precizno reći što je pokušao instalirati i koje su se greške pojavile tokom instalacije. Ovo također zahtjeva promjene u Registru: dodajte sljedeću vrijednost:
Ključ: HKLM | Software | Policies | Microsoft | Windows | Installer
Podaci: Logging (REG_SZ)
Vrijednost: voicewarmup
Svako slovo koje se nalazi u polju Vrijednost (Value) ima neko značenje. Mogu biti poslagani po bilo kojem redosljedu. Slova i njihove funkcije:
I - poruke statusa
w - upozorenja koja nisu fatalna
e - poruke o svim greškama
a - početak radnji (akcija)
r - zapisi određenih radnji (akcija)
u - zahtjevi korisnika
c - početni UI parametri
m - nedostatak memorije ili poruka o fatalnom prekidu
o - poruka o nedostatku diskovnog prostora
p - terminalna svojstva
v - "verbose" izlaz
+ - dodavanje na već postojeći dokument
! - zapiši svaku liniju u dnevnik rada
* - odaberi sve opcije osim v
I*v - "wildcard" (skraćeno ime) sa "verbose" opcijom
Ovo kreira dnevnik rada unutar unarijed zadanog %TEMP% direktorija. Ime dnevnika započinje sa MSI, zatim ide redni broj i na kraju .log nastavak.
ADDIAG
ADDIAG uslužni program dolazi sa skupom alata koji se zovu Alati Podrške (Support Tools). Pruža informaciju koji MSI paketi su instalirani na korisniku i odakle su instalirani. Ispis koji pokazuje izvještaj kvara (pucanja sustava):
—Dumps general information
—Dumps Terminal Service information
—Dumps local managed applications list
—Dumps server deployed applications list
—Dumps local mSI applications list
—Dumps local GPO list
—Dumps local script application list
—Dumps local AD policy history
—Dumps local MSI features list
—Dumps MSI shortcuts in the profile
—Dumps application log-related events
—Performs an AD integrity check
Primjer ADDIAG ispisa koji prikazuje sakupljene informacije:
Z:\Program Files\Support Tools>addiag /v
Microsoft (R) Software Installation Diagnostics. Version 1.00
Copyright Microsoft Corp 1998-1999. All rights reserved.
Collecting info...
Initializing Remote DS Data...
Initializing Local AppMgmt Registry Data...
Initializing Local AppMgmt File Data...
Initializing Local Windows Installer Data...
Initializing Local Shell Data...
Initializing Local Event Data...
========================= General Info =========================
User -- NameSamCompatible: COMPANY\phxuser1
User -- NameFullyQualifiedDN: CN=phxuser1,OU=Phoenix,DC=company,DC=com
User -- Logon Server: \\SERVER1
User -- SID: S-1-5-21-2000478354-746137067-1957994488-1117
User -- Profile Type: LOCAL
User -- Locale: 1033
Processor Architecture: x86
System Locale: 1033
========================= TS Info =========================
Not running TS
========================= Managed Apps (Local List) =========================
No Managed applications were found.
========================= Managed Applications (Server) ========================
User dump for
Dumping GPO list (1 items)...
GPO GUID: {B672BEFE-7815-44C4-9F28-E482AEC2CBAD}
Name: Distro1
Administration Tools Pack
Object GUID: {D34A6C2A-5D4D-4005-85F6-CBDBB5136C57}
Package Flags:
Published
PostBeta3
UserInstall
OnDemandInstall
OrphanOnPolicyRemoval
ProductCode: {5E076CF2-EFED-43A2-A623-13E0D62EC7E0}
UI Level: Full
========================= Windows Installer Apps =========================
Found 2 MSI application(s)
Easy CD Creator 5 Platinum
WebFldrs
========================= Local AD History =========================
Found 1 Applied GPO(s) in the history
Distro1
GPO GUID: {B672BEFE-7815-44C4-9F28-E482AEC2CBAD}
Version: 0xf000f
========================= Application log events =========================
EventID: 1004
Type: WARN
Date: 20:32:41.0000 - 2/02/2002
User: N/A
Computer: PRO10
Source: MsiInstaller
Description: Detection of product '{5E076CF2-EFED-43A2-A623-13E0D62EC7E0}', feat
ure 'FeDNSConsole', component '{455FE9A8-07D6-11D3-9C52-00A0C9F14522}' failed.
The resource 'D:\Windows\System32\dnsmgmt.msc' does not exist.
Data:
Police za Presumjeravanje Direktorija
Kada korisnici spremaju svoje dokumente, aplikacija im obično ponudi neku unaprijed zadanu lokaciju. Ako aplikacija ima Windows 98, Windows 2000, Windows XP ili Windows Server 2003 logotip, treba ponuditi lokaciju Moji Dokumenti (My Documents) kao unaprijed zadanu. Standardizacija pomože u upravljanju hrpom dokumenata koji se nalaze na računalu korisnika, ali ovo ne uključuje postavljanje podataka na server gdje se može raditi backup (kopiranje podataka radi zaštite u slučaju gubitka originala) ili pretraživanje virusa u samim podacima.
Ovo je slučaj i kod drugih direktorija koji se nalaze na računalu korisnika. Primjerice, direktorij Desktop sadrži dokumente i prečace koji bi bili izgubljeni ukoliko se korisnikov HDD pokvari. Direktorij Podaci Aplikacije (Application Data) sadrži konfiguracijske informacije o programima koji se učitavaju na računalu zajedno sa drugim važnim podacima kao što su PKI ključevi. Sveprisutni Start izbornik sadrži prečace za svaki program koji se učitava na računalu.
Možete smanjiti mogućnost gubitka ovih važnih komponenti Explorera tako da ih pohranite na server. Ovo je najlakše za uraditi korištenjem polica za preusmjeravanje direktorija.
Polica za preusmjeravanje direktorija poprima oblik Ddeploy.ini dokumenta koji odredi UNC ime lokacije kojoj želite da pripada sistemski direktorij. Nastavak na strani klijenta, fde.dll obrađuje dokument tako da promjeni zapise u Registru koji su povezani sa direktorijima koji se nalaze unutar "ljuske" Explorer-a. Ovo mjenja prostor imenovanja objekta kojeg koristi Explorer i druge Windows sistemske komponente.
Gledano iz korisničke perspektive ove promjene su nevidljive. Jedino kada pukne mrežna veza korisnici će znati da njihovi podaci nisu sačuvani lokalno već na serveru. Ovo se najčešće događa korisnicima prijenosnih računala, što je i logično. Možda biste mogli pogledati korištenje "offline" direktorija za spremanje lokalnih kopija dokumenata koji se nalaze u presumjerenim direktorijima.
Police Skripti
Standardni NT imaju samo jedan način dostave logon skripte korisniku. Kreirate skriptu i postavite je unutar djeljenog Netlogon-a na svakom domenskom kontroloru. Nakon toga promjenite korisnički profil kako bi ga uputili na tu skriptu. Mogli biste pokretati samo jednu skriptu i ta skripta ne bi smjela biti na nekoj drugoj lokaciji.
U novijim Windowsima sve vezano za skripte se značajno promijenilo. Police Skripti daju vam mogućnost da pokrećete višestruke skripte sa bilo koje lokacije. Također, postoji mogućnost pokretanja logoff skripti (skripte prilikom odjave) za korisnike i skripte koje se izvršavaju prilikom startup/shutdown računala.
Sustav podržava i izvršavanje standardnih skripti za korisnike koji su hijerarhijski niži. Aktivni Imenik uključuje atribut pod objektom korisnika koji služi za logon skripte. Hijerarhijski niži korisnici dobiju ime skripte kada se prijave. Domenski kontrolori su zadržali Netlogon kako bi zadržali standardne skripte. Zajednički direktorij se također promjenio. Noviji Windowsi djele \Windows\Sysvol\Sysvol\\Scripts direktorij kao Netlogon. Standardni NT djele \WINNT\System32\Repl\Import\Scripts direktorij.
Repliciranje Standardnih Skripti
Sve što je pohranjeno unutar Sysvol direktorija je replicirano na sve domenske kontrolore u domeni, pa tako ni skripte nisu iznimka. Ako ste član Mixed domene sa nižehijerarhijskim Backup Domain Controller-ima (BDC) suočeni ste sa izazovom.
U standardnim NT, sadržaj Netlogon-a koji je bio djeljen na svakom domenskom kontroloru je bio usklađen zahvaljujući usluzi pod imenom LanMan Replication ili LMRepl. LMRepl usluga je replicirala sadržaj iz \WINNT\System32\Repl\Export direktorija sa PDC-a u Import direktorij na BDC-u. To je bio ovaj direktorij koji je bio djeljen kao Netlogon.
Windows Server 2003 ne podržava LMRepl. Kako bi vaše skripte bile usklađene, morate postaviti standardni BDC kao LMRepl izvozni server umjesto PDC-a. (PDC Emulator mora imati instalirane Windows Server 2003 u Mixed domeni.)
Morate koristiti neku metodu kojom će te prekopirati sadržaj iz Scripts direktorija iz Windows Server 2003 PDC Emulatora na standardni BDC izvozni server. Možete koristiti Raspoređivač Zadaća (Task Scheduler) kako bi pokrenuli XCOPY ili upotrijebiti neki od uslužnih programa za kopiranje iz Resource Kit-a ili neki program iz treće ruke. Uslužni program LMBridge iz Resource Kit-a je jako koristan.
Tipovi Skripti
Skripte mogu poprimiti bilo koji oblik sve dok je korisnik sposoban interpretirati sami sadržaj. Ovo uključuje batch dokumente (.bat) i naredbene dokumente (command files(.cmd)) i još neke naprednije skriptne jezike.
Windows Server 2003 i Win XP podržavaju VBScript i JavaScript kao dio Windows Script Host (WSH) poretka. Možete koristiti i neke druge skriptne jezike, kao npr. Perl i Python, ali tada trebate korisnicima distribuirati prevodioce tih jezika. Najčešće verzije ActivePerl-a i ActivePython-a dolaze sa MSI paketima za jednostavnu instalaciju. Za više informacija posjetite
|VBScript i Virusi |
| |
|Morate biti svjesni da mnogi virusi koji dolaze putem elektronske pošte koriste široku rasprostranjenost VBScripta u Windows-ima kako bi |
|se u njih implementirali. Virusi I-Love-You i AnnaKornikova su dva primjera. Doduše, ovo nije slabost VBScript-a. Da je Microsoft odlučio|
|distribuirati ActivePerl na Windowsima umjesto VBScript-a, tada bi kreatori virusa koristili Perl za ostvarivanje svojih namjera. Pomoću |
|ovlasti korisničkih grupa možete u Windows Server 2003 onemogućiti pokretanje VBScript dodataka u elektronskoj pošti, ali ove neće |
|spriječiti druge slabosti da dođu do izražaja. Drugo rješenje, koje je predložio Jason Fossen iz SANS-a je da se promijeni asocijacija za|
|*.vbs dokumente iz Cscript/Wscript stroja u bezopasnu aplikaciju kao što je Notepad. Ako primjenite ovaj savjet, još uvijek možete |
|koristiti VBScript jezik za kodiranje logon skripti. Sve što trebate učiniti je da ime skripte postavite kao parametar Cscript |
|izvršavanja. Slika 20 prikazuje kako bi ovo izgledalo unutar prozora Uredi Skriptu (Edit Script) koji se nalazi unutar GPE-a. |
| |
| |
| |
| |
| |
| |
|Slika 20. Prozor Edit Script u Ovlastima Korisničkih Grupa prikazuje VBScript kao parametar Cscript.exe-a. |
|[pic] |
Razmještanje Skripti
Police skripti oslanjaju se na dvije komponente:
➢ Script.ini dokument koji se nalazi u polici govori korisniku koje skripte treba pokrenuti i gdje će ih pronaći.
➢ Pisanje vlastitih skripti. Bilo bi pametno kada bi vaše skripte pohranjivali unutar direktorija police kako bi se replicirale na domenske kontrolore. Ovo sprječava nepotrebno traženje skripti unutar WAN-a kako bi se skinile.
Kako bi razmjestili skripte morate konfigurirati Script.ini dokument koristeći GPE. Ovo učinite na način da otvorite Properties prozor od tipa skripte koju želite razmjestiti. Slika 21 pokazuje primjer.
Slika 21. Properties prozor Logon skripte prikazuje odabrane skripte
[pic]
Prikaži Dokumente (Show Files) opcija vam dopušta da vidite dokumente koji se nalaze u Scripts direktoriju. Ovo je brz i lagan način za kopiranje vaših skripti na ispravnu lokaciju unutar direktorija police. U suprotnom, morali biste pretraživati Sysvol i pogađati u kojem od direktorija sa GUID sustavom imenovanja se nalazi polica koju želite ažurirati.
Nakon što ste vašu skriptu spremili u direktorij Police, korištenjem Add dugmeta dodajte skriptu u Script.ini dokuemnt.
Korisnici skidaju Script.ini dokument nakon čega ga Gptext nastavak na strani korisnika obradi. Nakon toga CSE skida same skripte, koje pokreće unutar stroja za obradu skripti koji je temeljen na asocijaciji dokumenta.
Ako korisnik skida skripte od nekoliko različitih GPO-a, tada se sve skripte pokreću u isto vrijeme. Iz ovog razloga nebi trebali omogućiti da jedna skripta zavisi o drugoj.
Također, korisnicima se već pokazao njihov desktop dok se skripte pokreću.
Ovo znači da ne smijete koristiti prečace i druge konfiguracije koje se nalaze ispod ljuske Explorer-a a predstavljaju akcije koju su poduzete od strane logon skripti.
Mnoge tvrtke vole korištenje nekoliko skripti u nizu. Primjerice, hijerarhijski najviši administrator može postaviti skriptu koja osigurava standardne postavke desktopa kao što je mapiranje diskova i pokretanje standardnih početnih aplikacija. Administratori OJ žele dodati svoju logon skriptu ali ne znaju da se prvo izvršava mapiranje diskova, a tek onda njihova skripta.
Ako želite koristiti nekoliko skripti u nizu, ili ako želite blokirati pristup desktop-u prije nego se skripte učitaju, konfigurirajte sustav da skripte pokreće usklađeno, radije nego neusklađeno. (Pogledajte poglavlje koje smo ranije obradili “Usklađena Obrada Skripti” (Synchronous Script Processing).)
Sadržaj
Nove Karakteristike Windows Server 2003 2
Operativni Pregled Ovlasti Korisničkih Grupa 3
Svrha Ovlasti Korisničkih Grupa 4
Komponente Ovlasti Korisničkih Grupa 4
Objekti Ovlasti Korisničkih Grupa 7
Promatranje i mijenjanje GPO-a 7
Primjenjivanje Ovlasti Korisničkih Grupa Korištenjem GPUPDATE-a 8
Brojevi Verzija GPO-a 9
Pohranjivanje Broja Verzije GPO-a 10
Rješavanje Problema GPO Usklađivanja 11
Nastavci na Strani Korisnika (Client-Side Extensions, CSE) 13
Pozadinsko osvježavanje 16
Usklađeno Obrađivanje 17
Obrađivanje Sporom Vezom 19
Prisilna Ažuriranja 20
Obrađivanje Skripti 21
Predlošci Ovlasti Korisničkih Grupa 22
Kreiranje GPT-a 23
Spremnici Ovlasti Korisničkih Grupa 24
GPO Povezivanje Među Različitim Domenama 26
Police Lokacija u Višedomenskoj Šumi 26
Hijerarhija Polica 28
Odbacivanje Nasljedstva Polica 30
Odbacivanje Blokiranja Polica 32
RSoP Kalkulacije 33
RSoP Planiranje 34
GPRESULT 36
RSoP Logiranje 37
Dodatni Alati Za Uklanjanje Pogrešaka 38
Police Računala i Korisničke Police 39
Obrađivanje Neuspjelih Pokušaja (Loopback Processing) 40
Uređivač Ovlasti Korisničkih Grupa (Group Policy Editor, GPE) 42
Odabiranje nastavaka Uređivača Ovlasti Korisničkih Grupa 44
PDC Emulator i Uređivač Ovlasti Korisničkih Grupa 45
Promjena Unaprijed Određenog GPE-a Domenskog Kontrolora 46
Ovlasti Korisničkih Grupa i Lokalne Police 47
Dodjeljivanje Ovlasti Korisničkih Grupa 48
Filtriranje Ovlasti Korisničkih Grupa na Temelju Sigurnosnih Grupa 48
WMI Filtriranje 50
WQL Naredbe 51
Konfiguriranje WMI filtera 53
Spremanje WMI Filtera 55
Dodjeljivanje Ovlasti Za Upravljanje Ovlastima Korisničkih Grupa 55
Dodjeljivanje Dopuštenja Pristupa GPT-u. 56
Dodjeljivanje Dopuštenja Pristupa GPC-u 56
Upravljanje Individualnim Tipovima Ovlasti Korisničkih Grupa 57
Sigurnosne Police 57
Sigurnosni GPT dokumenti. 58
Unaprijed Određeni Sigurnosni Predlošci 59
Posebni Sigurnosni Predlošci 60
Dodatak za Sigurnosnu Konfiguraciju i Analizu 61
Raspoređivanje Sigurnosnih Predložaka 63
Najvažnije u Sigurnosnim Policama 64
Police Administrativnih Predložaka 65
Posebni Registarski Ključevi Koji se Koriste za Police 66
Police i Prednosti 67
ADM Predlošci 68
Nasljeđeni Predlošci 68
Učitavanje dodatnih ADM Predložaka 69
Registry.pol dokumenti 70
Objašnjenje ADM Ispisa 71
Police i Prednosti 73
Stvaranje Vlastitih ADM Predložaka 74
Police za Razmještanje Programa 75
Funkcionalni Opis Razmještanja Programa 76
Usluga Windows Installer 77
MSI Paketi 78
Paket za Razmještanje Programa 79
Uklanjanje Pogrešaka u Razmještanju Programa 80
Dijagnostičko Praćenje Aplikacijskog Upravljanja 80
Dijagnostičko Praćenje Windows Installer-a 81
ADDIAG 82
Police za Presumjeravanje Direktorija 84
Police Skripti 85
Repliciranje Standardnih Skripti 85
Tipovi Skripti 86
Razmještanje Skripti 87
................
................
In order to avoid copyright disputes, this page is only a partial summary.
To fulfill the demand for quickly locating and searching documents.
It is intelligent file search solution for home and business.