Csoportházirend (group policy)

Windows Server 2012r2
Viktor

A csoportházirend (Group Policy) a Microsoft operációs rendszereinek egy funkciója, amivel megoldható a felhasználók, a számítógépek és a felhasználói munkakörnyezetek viselkedésének és jogosultságainak szabályozása. A csoportházirend építőkövei a csoportházirend-objektumok (Group Policy Object, GPO) A csoportházirend Active Directory környezetben lehetővé teszi az operációs rendszerek, alkalmazások és a felhasználók beállításainak központosított konfigurálását és menedzsmentjét. A csoportházirenddel többek közt megszabható, hogy a felhasználó mit tehet és mit nem tehet meg a számítógépen. Bár a csoportházirendek alkalmazása nagyvállalati környezetben a legelterjedtebb, találkozhatunk vele iskolákban, kis- és középvállalkozásokban is.

A házirendeknél is célszerű megtervezni, dokumentálni, melyik mire való, milyen jogosultságaik vannak.

A csoportházirend szabályozhatja a célobjektum (target) beállításjegyzékét, NTFS biztonsági leíróit, a rá vonatkozó auditálási és biztonsági házirendeket, a szoftvertelepítést, be- és kijelentkezési parancsfájlokat. Az Active Directory-integrált csoportházirend alapvetően azokra a szervezeti egységekre (OU), helyekre (site) vagy tartományokra vonatkozik, amikhez hozzárendelik. A csoportházirend hatóköre (scope) tovább finomítható:

  • a „biztonsági szűrés” (security filtering) segítségével szabályozható, hogy az adott GPO milyen felhasználókra és csoportokra vonatkozik
  • a Windows Management Instrumentation (WMI)-szűrés lehetővé teszi, hogy a GPO hatóköre egy WMI-szűrő eredményétől függően változzon (pl. legalább adott memóriával rendelkező számítógépek)
  • a Group Policy Preferences további szabályozást tesz lehetővé.

A házirendek bővíthetőek, vannak kész adm, admx definíciós fájlok. Helyük: c:/windows/PolicyDefinition Van arra is lehetőség, hogy központi helyre másoljuk a szabályokat, c:/sysvol/domain/policies Ezek egyszerű szöveges állományok, amik a beállítások hierarchikus rendjét, a beállítható értékekre vonatkozó megkötéseket és az egyes beállítások alapértelmezett értékét tartalmazzák

Az Active Directory Users and Computers (ADUC) eszköz „vezérlés delegálása” funkciójának segítségével a rendszergazda lehetőséget adhat arra, hogy egy arra kijelölt felhasználó szerkeszthesse egy csoportházirend beállításait. Ez technikailag a szervezeti egység biztonsági leíróinak módosításával történik.

Honnan tudja a kliens, hogy milyen szabályokat kell betartania?

A csoportházirend-kliens „pull” (lekéréses) modell alapján dolgozik. Bizonyos időközönként (ez véletlenszerű, 90 és 120 perc közötti érték, bár ez is szabályozható csoportházirenddel) összegyűjti a számítógépre, és a bejelentkezett felhasználóra (ha van ilyen) vonatkozó GPO-kat, és bejegyzi azokat a Windows beállításjegyzékének HKLM\Software\Policies, illetve HKCU\Software\Policies ágába. Ezután alkalmazza a beállításokat, amik ettől kezdve (vagy a következő bejelentkezés/rendszerindítás után, adott rendszerkomponens újraindítása után) befolyásolni fogják a házirenddel szabályozható rendszerkomponensek működését. Kényszeríthetjük is a klienst a házirend frissítésére, parancssorból a gpupdate paranccsal.

Ha egy felhasználóra vagy számítógépre több, esetleg egymással ütköző házirend-beállítás vonatkozik, a következő sorrendben kerülnek végrehajtásra (a később végrehajtott felülírja a korábbit!):

  • helyi számítógép
  • hely (site)
  • tartomány
  • szervezeti egységek (OU) – a hierarchiában felülről lefelé haladva értékelődnek ki.

Szabályokat tudunk linkelni is, így több helyre is egyszerűen csatolható egy-egy szabály. (akkor is jó, ha csak átmenetileg van szükség rá, pl: átmenetileg távoli asztal hozzáférés.)

A házirend két részből áll: számítógép beállításai és a belépett felhasználó beállításai. A gépekre vonatkozó szabályok minden gépre érvényesek, a felhasználóé pedig adott felhasználóhoz vannak kötve. pl: számítógépen program telepítés. Ha felhasználónál adunk meg telepítést, akkor az adott felhasználó nevében fog telepíteni, amikor elkezd használni egy gépet.

A házirendeket a csoport házirendnél tudjuk törölni is. Ezek védett objektumok, így a törlésük előtt a beállításaiknál ki kell kapcsolni a védelmüket.

Mi a helyzet, ha egy adott gépet például tartományon kívül akarunk használni?

Vannak olyan házirendek, amik eltűnnek ha kikerül tartományból  az adott gép.  De vannak olyan policyk is, amik megmaradnak. Üzemeltetési szempontból ezekre érdemes figyelni, mert ha ott maradnak, később gondot okozhatnak (új domain, stb)! Van amit kézzel kell kitörölni a registryből.

A másik, amire nagyon figyelni kell, az öröklődés. Adott felhasználó milyen csoportok tagja, ezek milyen jogosultságokkal rendelkeznek?

A házirendeket aktiválni kell, ez nem történik meg automatikusan!

Jelszó házirend beállítása: 

A jelszó házirendet is a csoport házirendben kell beállítani, a helyi házirendben nem engedi a WS!
Helye: Computer Configuration>Policies>Windows settings> Security Policies>password Policy

server_password_policy

Példa 2.: Felhasználóknak háttérkép beállítása:

Felhasználó konfigurációja/felügyeleti sablonok/asztal/asztal/tapéta. Itt engedélyezni kell a házirendet, majd megadni a képfájl helyét a szerveren.
pl: \\szerverneve\mappa\kepneve.jpg Nem árt, ha olyan mappába tesszük, amit a kliensek el tudnak érni, joguk van olvasni.
VirtualBox-nál nem mindig jeleníti meg a háttérképet!

gp_hatterkep

Háttérkép cseréjének tiltása:

Példa 3.: felhasználónak hálózati meghajtó csatolása, adott betűjellel
Felhasználó konfigurációja/beállítások/A Windows beállításai/meghajtócsatlakoztatás

gp_meghajto

Példa 4. : Vezérlőpult letiltása
Felhasználó konfigurációja/felügyeleti sablonok/Vezérlőpult/ >> engedélyezve

gp_vezerlopult

Példa 5.: Számológép parancsikon az asztalra….
Számítógép konfigurációja/a Windows beállításai/parancsikonok

gp_parancsikon

6. példa: szoftver telepítése csoportházirend segítségével

  1. lépés: megosztott mappa létrehozása, olvasási joggal annak a csoportnak, akiknek telepíteni szeretnénk a kiválasztott szoftvert.
  2. A kiválasztott msi fájl bemásolása a mappába. Csoportházirend segítségével csak msi fájlokat tudunk telepíteni!
  3. Csoportházirend létrehozása a Csoportházirend kezelőben. Lehet gép vagy felhasználó szerint is. (Felhasználó konfigurációja/Házirendek/Szoftverbeállítások/Szoftver telepítése
  4. Új – csomag
  5. A fájlnévnél a megosztást kell megadni! \\szerverneve\mappa\
  6. Ha ez megvan, akkor az msi fájlt is megtalálja, amit ki kell választani. 
  7. Utána: telepítés fajtája: kötelező. Ha leokézzuk, pár másodperc múlva megjelenik a listán. Ezután még a tulajdonságainál meg kell adni a központi telepítés fülön: Az alkalmazás telepítése indításkor. 

Amikor legközelebb belép a user, fel lesz telepítve neki a szoftvere. (így a belépés kicsit lassabb, mivel akkor telepít)

7. példa: Energiaséma megadása

Computer Configuration > Policies > Administrative Templates > System > Power Management