Scope (domet) upravljanja objektom grupne polise (GPO) može da se modifikuje konfigurisanjem brojnih postavki kao što su:

  • Modifying the Link order
  • Disabling the GPO or GPO link
  • Enforcing or Blocking a GPO Link
  • Filtering the application of a GPO using security groups or Windows Management


Modifikovanje Link Order-a GPO linkova

Kao što smo ranije pomenuli, postavke u grupnim polisama se, po defoltu, nasleđuju od Top-level kontejnera do Lower-level kontejnera. Dakle kontejneri nižeg nivoa nasleđuju postavke grupnih polisa koje su konfigurisane na Top-Level kontejnerima. Postavke polisa se primenjuju sledećim redosledom:

 

  1. Local Group Policy: prve postavke polisa koje se primenjuju su uvek Local Group Policy postavke koje se nalaze na lokalnom kompjuteru.

  2. GPOs assigned at the site level: druge postavke polisa koje se primenjuju su postavke koje su konfigurisane u bilo kom GPO koji je povezan sa sajtom u aktivnom direktorijumu.

  3. GPOs assigned at the domain level: Sledeće postavke polisa koje su procesuirane su svi GPOs koji su povezani na Domain objekat u aktivnom direktorijumu.

  4. GPOs assigned at the OU level: Na kraju, ako domen sadrži više nivoa organizacionih jedinica (OUs) postavke grupnih polisa sa organizacine jedinice višeg nivoa se primenjuju prve, a postavke grupnih polisa koje su povezane sa organizacionim jedinicama nižeg nivoa se primenjuju sledeće.

Veoma često ćete imati više od jednog objekta grupne polise koji su povezani na bilo koji od nivoa aktivnog direktorijuma. U ovom slučaju, Link Order određuje red po kojem se primenjuju objekti grupnih polisa. Možemo da vidimo i modifikujemo Link Order za specifične kontejnere. Ono što je jako važno upamtiti je da se objekti grupnih polisa procesuiraju od dna liste pa kao vrhu. Drugim rečima, najviši broj Link Order-a će se procesuirati prvi, a zatim idu niži brojevi Link Order-a.

Omogućavanje i onemogućavanje Policy Processing-a

Objekti grupnih polisa mogu se omogućiti ili onemogićiti modifikovanjem GPO statusa koji se nalazi na Details kartici specifičnog objekta grupne polise. Opcije za promenu GPO statusa su:

  • All settings disabled: Ova opcija onemogućava GPO i stopira procesuiranje konfigurisanih postavki u polisi.

  • Computer configuration settings disabled: Ova opcija onemogućava samo postavke za kompjutere u GPO. Možda ćemo želeti da onemogućimo ove postavke ako ne postoje postavke koje treba da se procesuiraju, a koje se odnose na Computer Configuration čvor u GPO.
  • Enabled: Ova opcija omogućava procesuiranje celog GPO.

  • User configuration settings disabled: Ova opcija onemogućava samo postavke koje se odnose na korisnike u GPO.


Blokiranje i prisiljavanje GPO procesuiranja

Sigurno ćemo imati potrebu da blokiramo nasleđivanje tako da se ne primenjuje nijedna postavka polise iz višeg nivoa aktivnog direktorijuma. Na primer, možda imamo postavke polise koje su primenjuju na ceo domen i koje uklanjaju Run dijalog boks sa svih kompjutera u domenu. Po defoltu, ove postavke polise će se primenjivati na svim kompjuterima u domenu. Ipak, možda će postojati neki korisnici kojima će biti potreban Run dijalog boks, kao što su IT administratori ili Help Desk grupe. Da bismo sprečili primenjivanje polise koja je zakačena na domen, moramo da postavimo ove korisnike ili grupe u zasebnu organizacionu jedinicu. Nakon toga možemo da blokiramo nasleđivanje (Block Policy Inheritance) desnim klikom na OU i nakon toga kliknemo na Block Inheritance. Kada je Block Inheritance omogućen, primenjivaće se samo postavke polisa koje su direktno povezane na kontejner.

Sa druge strane, možda ćemo imati obavezne postavke polisa koje moraju da budu primenjene na svakog korisnika ili kompjuter unutar strukture aktivnog direktorijuma. Da bi sprečili administratore da blokiraju obavezne nasleđene polise, možemo da prisilimo nasleđivanje. Kada je GPO Link Enforced (prisiljavanje), sve postavke polise koje su konfigurisane u Enforced GPO će biti primenjene nezavisno od postavki za blokiranje nasleđivanja. Kada je GPO link konfigurisan da bude prisiljen (Enforced), Lock ikonica će se pojaviti da bi nas obavestila da je Link Enforced.

Filterisanje GPO procesuiranja koristeći sigurnosne grupe i WMI

Drugi način koji možemo da koristimo za modifikovanje Scope-a GPO procesuiranja je filterisanje primenjivanja postavki grupnih polisa. Ovo može da se odradi implementacijom Security Filtering ili povezivanjem (Linking) WMI filtera na GPO.

Predstavljanje sigurnosnog filterisanja: Po defoltu, kada kreiramo GPO, postavke polise se primenjuju na sve korisnike koji su prošli proces autentifikacije. Ove postavke možemo da vidimo selektovanjem Group Policy Object-a i nakon toga klik na Scope karticu. Možemo da koristimo Security Filtering za označavanje specifičnog GPO procesuiranja za specifične sigurnosne grupe, korisnike ili kompjutere.

Možemo da odredimo koji će korisnici ili kompjuteri biti zahvaćeni objektom grupne polise modifikovanjem izlistanih naloga unutar Security Filtering liste. Da bismo konfigurisali ovu postavku, prvo treba da uklonimo Authenticated Users grupu iz liste. Nakon toga potrebno je da dodamo odgovarajuće naloge u listu klikom na Add dugme. Možemo da dodamo bilo koji sigurnosni subjekat (Security Principal), najbolje rešenje je da uvek koristimo sigurnosne grupe aktivnog direktorijuma, a ne da ubacujemo u listu individualne korisnike ili kompjuterske naloge.

Korišćenje WMI filtera sa objektima grupnih polisa (GPOs):


 Slika 18.1

Windows Server 2008 nudi opciju za filtriranje aplikacije postavki grupnih polisa na osnovu Windows Management Instrumentation (WMI) filtera. WMI filteri, koji su napisani u WMI Query jeziku (WQL), mogu se koristiti za preciznije određivanje kompjutera koji treba da primaju postavke grupnih polisa. Na primer, možemo da koristimo WMI filtere da bismo odredili da softverski paket može da se instalira samo na kompjuterima koji imaju više od 200 MB slobodnog prostora ili na kompjuterima koji imaju više od 512 MB RAM memorije. WMI filteri su podržani na Windows XP, Windows Server 2003, Windows Vista i na Windows Server 2008 sistemima.

WMI filteri se ignorišu na ranijim verzijama Windows operativnog sistema. Ovo znači da na ranijim operativnim sistemima, svi objekti grupnih polisa (GPOs) sa WMI filterima će uvek biti primenjivani nezavisno od postavljenih WMI filtera.

Prvi korak u korišćenju WMI filtera je kreiranje i dobijanje WQL upita koji ispunjava naše zahteve za GPO. Na primer, možda ćemo želeti da izgradimo aplikaciju koristeći Group Policy Software Installation samo na kompjuterima koji imaju 100 MB prostora na C: drajvu. Sledeća sintaksa nudi WQL upit koji može da se iskoristi za ovaj scenario:

Select * from win32_LogicalDisk where FreeSpace > 104857600 AND Caption = “C:”

Scriptomatic.exe je alatka koja se koristi za kreiranje WQL upita, koji nakon toga mogu da se kopiraju i prebacuju unutar WMI filtera za grupnu polisu.

Sledeći korak za kreiranje WMI filtera je korišćenje GPMC konzole. Da bismo ovo odradili, potrebno je da kliknemo desnim klikom na WMI Filters čvor i nakon toga kliknemo na New. Nakon toga možemo da damo ime, opis i pridruženi upit za novi WMI filter. Finalni korak je pridruživanje WMI filtera sa objektom grupne polise. Da bismo ovo odradili, potrebno je da selektujemo objekat grupne polise koji treba da bude filtriran i nakon toga konfigurišemo WMI filter na dnu Scope kartice.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Konfiguracija Scope-a procesuiranja GPO 1
  • Konfiguracija Scope-a procesuiranja GPO 2
  • Konfiguracija Scope-a procesuiranja GPO 3
  • Konfiguracija Scope-a procesuiranja GPO 4