Implementiranje GPO (group policy objects) na domen

Implementiranje Grupnih Polisa na domen daje mrežnom administratoru kontrolu nad konfiguracijama kompjutera kroz celu mrežnu strukturu. Takođe, korišćenjem Grupnih Polisa u Windows Server 2003, možemo da kreiramo i upravljamo desktop okruženjem koji je skrojen tako da odgovara poslu kojim se bavi korisnik i nivoom njegovog iskustva, što može da smanji količinu mrežne podrške koja je neophodna.

 

Nakon ove lekcije moći ćete da:
· Upoznaćete alatke koje se koriste za kreiranje GPOs.
· Objasnite šta znači GPO upravljanje nad domenom.
· Kreirate GPO.
· Objasnite šta je to GPO link.
· Objasnite kako se konfigurišu atributi GPO linka.
· Objasnite kako se nasleđuju GPO dozvole u Aktivnom Direktorijumu.

Alatke koje koristimo za kreiranje GPOs

Možemo da otvorimo Group Policy Object Editor sa različitim alatkama za editovanje GPOs.
Active Directory User and Computers
Možemo da otvorimo Group Policy Object Editor iz alatke Active Directory Users and Computers za upravljanje GPOs koji su namenjeni domenima i organizacionim jedinicama. U Properties boxu za domen ili organizacionu jedinicu, imamo Group Policy karticu. Na ovoj kartici upravljamo GPOs za domen ili organizacionu jedinicu.
Active Directory Sites and Services
Možemo da otvorimo Group Policy Object Editor iz alatke Active Directory Sites and Services da bi upravljali GPOs za sajtove. U Properties boxu za sajt, nalazi se Group Policy kartica. Na ovoj kartici, možemo da upravljamo GPOs koje su namenjene sajtovima.
Group Policy Management Console
Ova konzola sastoji se iz skupa programiranog interfejsa za upravljanje Grupnim Polisama. Slična je MMC snap-inovima. Group Policy Management konzola skuplja sve grupne polise zajedno tako da administrator može iz jedne alatke da upravlja svim GPO u mreži.
Group Policy management Console predstavlja kombinaciju funkcionalnosti velikog broja komponenti u jedan UI (user interface). UI je struktuiran da podesi način korišćenja i upravljanja grupnim polisama. UI spaja funkcionalnosti nekoliko alatki, koje se odnose na grupne polise, u jedan MMC snap-in. Te alatke su:
  • Active Directory Users and Computers
  • Active Directory Sites and Services
  • Resultant Set of Policy (RSoP)

Group Policy Management takođe daje sledeće povećane mogućnosti i katakteristike koje nisu omogućene u ranijim alatkama za upravljanje GP. Sa Group Policy Management alatkom sada možemo:

  • Back up and restore GPOs.
  • Copy and import GPOs.
  • Use Windows Management Instrumentation (WMI) filters.
  • Report GPO and RSoP data.
  • Search for GPOs.

Group Policy Management vs Default Group Policy Tools.

Pre nastanka ove alatke (Group Policy Management), grupnim polisama upravljali smo sa nekoliko Windows-Based alatki, uključujući Active Directory User and Computers, Active Directory Sites and Services, RsoP. Group Policy Management konsoliduje upravljanje svim glavnim Group Policy zadacima u jednu jedinu alatku.

Nakon instalacije Group Policy Management alatke, i dalje možemo da koristimo alatke Aktivnog Direktorijuma za upravljanje i odrađivanje administrativnih zadataka, kao što su kreiranje objekata: korisnika, kompjutera, i grupa. Ali, sve zadatke koji se odnose na upravljanje grupnim polisama nakon instalacije Group Policy Management alatke možemo da odradimo samo iz alatke Group Policy Management. Funkcionalnost grupnih polisa nije više omogućena u alatkama Aktivnog Direktorijuma nakon instalacije Group Policy Management.

Group Policy Management ne zamenjuje Group Policy Object Editor. I dalje editujemo GPOs koristeći Group Policy Editor. Group Policy Management integriše funkcionalnost editovanja tako što nam daje direktan pristup Group Policy Editor-u.

The Group Policy Management console ne dolazi sa Windows Server 2003. Moramo da je downloadujemo sa http://www.microsoft.com.

Administrative Templates

Postoje nekoliko šablonskih (templates files) fajlova sa .adm ekstenzijom koji dolaze sa Windows operativnim sistemom. Ovi fajlovi se nazivaju Administrative Templates, daju nam informacije o polisama za artikle koji se nalaze u Administrative Templates Folder-u sa leve strane u konzoli Group Policy Object Editor. Administrativni šabloni uključuju postavke za registri (Registry-based settings), koje su omogućene u Computer Configuration and User Configuration in Group Policy Object Editor-u. .adm fajl sadrži hijerarhiju kategorija i podkategorija koje definišu pogled na Policy Settings. Takođe sadrži sledeće informacije:

  • Lokacije redzistrija koje odgovaraju svakoj postavci
  • Vrednosti opcija i restrikcija koje pripadaju svakoj postavci
  • Za mnoge postavke, prikazuju defoltnu vrednost
  • Objašnjenje šta radi svaka postavka
  • Verzija Windows koja podržava svaku postavku

GPO Upravljanje domenom

Nakon kreiranja GPO, treba da konfigurišemo postavke za taj određeni Group Policy Object (GPO). Grupisanjem kolekcija postavki u odvojene GPOs, možemo da odredimo različite konfiguracije za svaki GPO tako da se svaki GPO odnosi na kompjutere i korisnike koje mi odredimo. Kada postavimo GPOs na domen, možemo da upravljamo konfiguracionim postavkama na Domen-Wide osnovi.

Group Policy ContainerGP kontejner je objekat Aktivnog Direktorijuma koji sadrži GPO atribute. Uključuje podkontejnere za informacije grupnih polisa o kompjuterima i korisnicima. GP kontejner uključuje sledeće informacije:

  • Version Information. Obezbeđuje da je informacija u GP kontejneru sinhronizovana na svim domenskim kontrolerima.
  • Status Information. Ukazuje da li je GPO omogućen ili onemoućen.
  • List of Extensions. Daje listu svih GP ekstenzija koje se koriste u GPO.

Za više informacija o Group Policy Management, pogledajte:

Šta je GPO link?

Svi GPOs su smešteni u kontejneru Aktivnog Direktorijuma koji se naziva Group Policy Objects. Kada je GPO iskorišćen za sajt, domen ili organizacionu jedinicu, GPO je povezan (linked) sa Group Policy Objects kontejnerom. Kao rezultat, možemo centralizovano administrirati i izgraditi GPOs za mnogo domena ili organizacionih jedinica.

Kreiranje povezanog (linked) GPO

Kada kreiramo GPO povezanog za sajt, domen ili organizacionu jedinicu, mi ustvari radimo dve odvojene operacije: kreiramo novi GPO, i nakon toga ga povezujemo (linking) sa sajtom, domenom ili organizacionom jedinicom. Kada delegiramo dozvolu za povezivanje (link) GPO sa domenom, organizacionom jedinicom ili sajtom, moramo da posedujemo Modify dozvolu za domen, organizacionu jedinicu ili sajt za koji želimo da delegiramo dozvolu.

Po defaultu, samo članovi grupe Domain Admins i Enterprise Admins grupe poseduju potrebne dozvole da povežu GPOs na domen ili organizacionu jedinicu.

Samo članovi Enterprise grupe imaju dozvolu da povežu GPOs na sajt. Članovi grupe Group Policy Creator Owner mogu da kreiraju GPOs ali ne mogu da ih povezuju.Kreiranje nepovezanog GPO.

Kada kreiramo GPO u Group Policy Objects kontejneru, GPO nije dodeljena nijednom korisniku ili kompjuteru sve dok se ne kreira GPO Link. Možemo da kreiramo nepovezani (unlinked) GPO koristeći Group Policy Management.

Kako su nasleđene GP (Group Policy) dozvole u Akrivnom Direktorijumu?

Red po kojem Windows Server 2003 primenjuje GPOs zavisi od kontejnera Aktivnog Direktorijuma sa kojim smo povezali (linked) GPOs. GPOs se primenjuju prvo na sajt, pa na domen pa tek na kraju na organizacione jedinice u domenima.

Kretanje nasleđivanja (Flow of Inheritance)

Dete kontejner nasleđuje GPOs od roditeljskog kontejnera. Ovo znači da dete kontejner može da poseduje mnogo postavki grupnih polisa (Group Policy Settings) primenjenih na korisnike i kompjutere koji se nalaze unutar njega. Kako god, ne postoji hijerarhija domena kao što imamo slučaj sa organizacionim jedinicama, kao što su roditeljska organizaciona jedinica i dete organizaciona jedinica.

Red nasleđivanja (order of Inheritance). GPOs su kumulativni, što znači da se nasleđuju. Group Policy Inheritance je red po kojem Windows Server 2003 primenjuje GPOs. Red po kojem su primenjene GPOs i kako su GPOs nasleđeni ultimativno određuje koje postavke se primenjuju na korisnike i kompjutere. Ako imamo više GPOs povezanih na organizacionu jedinicu ili domen, po defaultu GPO koji se primenjuje poslednji ima prednost.

 

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Implementacija objekata Grupnih Polisa na Domen 1
  • Implementacija objekata Grupnih Polisa na Domen 2
  • Implementacija objekata Grupnih Polisa na Domen 3
  • Implementacija objekata Grupnih Polisa na Domen 4
  • Implementacija objekata Grupnih Polisa na Domen 5
  • Implementacija objekata Grupnih Polisa na Domen 6
  • Implementacija objekata Grupnih Polisa na Domen 7
  • Implementacija objekata Grupnih Polisa na Domen 8
  • Implementacija objekata Grupnih Polisa na Domen 9
  • Implementacija objekata Grupnih Polisa na Domen 10