Grupne polise su esencijalni deo Windows Server 2008 mreže. Mogu se koristiti kao centralna upravljačka alatka za distribuiranje postavki i aplikacija ka kompjuterima. Za servere, grupna polisa se najčešće koristi za distribuiranje sigurnosnih postavki. Za klijentske kompjutere grupna polisa se koristi za konfiguraciju korisničkog okruženja i za distribuiranje aplikacija.


Objekti grupnih polisa (GPO) sadrže različite postavke koje mogu da se primene na korisnike i na kompjutere. Efikasan plan za implementiranje grupnih polisa mora da dokumentuje kako i na koji način će ove postavke biti primenjivane. Ovo osigurava da primenjivanje objekata grupnih polisa bude predvidivo (očekivano).

Postavke u grupnim polisama

Group Policy Object (GPO) sadrži na hiljade postavki koje administrator može da iskoristi za kontrolisanje serverskih i klijentskih kompjutera. Ipak, individualne postavke su ograničene jer mogu da se primenjuju samo na nekoliko načina.

Postavke u GPO koje se primenjuju na kompjuter su ograničene u odnosu na operativni sistem koji radi na tom kompjuteru. Na primer, neke postavke će se primenjivati na Windows Server 2008, ali neće na Windows Server 2003. Windows Server 2003 ignoriše postavke koje se odnose na Windows Server 2008.

GPO sadrži i postavke za kompjutere i postavke za korisnike (User and Computer Settings). Postavke za korisnike primenjuju se na osnovu lokacije korisničkog objekta u aktivnom direktorijumu. Postavke za kompjuter primenjuju se na osnovu lokacije kompjuter objekta u aktivnom direktorijumu.


Da biste videli ili modifikovali GPO morate:

1. otvoriti Group Policy Management,
2. proširiti Group Policy Objects kontejner.

Da biste modifikovali GPO, desnim dugmetom miša kliknite na GPO pa kliknite na Edit.

Da biste pregledali postavke u GPO, dupli klik na GPO pa nakon toga selektujte Settings karticu.

Šta treba imati na umu prilikom primenjivanja grupnih polisa

Klijenti inciraju primenjivanje grupne polise tako što zahtevaju objekte grupnih polisa (GPOs) od AD DS. Kada je grupna polisa primenjena na korisnika ili na kompjuter, klijentska komponenta presreće polisu i nakon toga čini odgovarajuće promene u okruženju. Ove komponente su poznate pod imenom Group Policy Client-side Extensions. Nakon što su GPOs procesuirani, Winlogon proces prolazi listu objekata grupnih polisa koje moraju da budu procesuirane za svaki Group Policy Client-side Extension. Extension tada koristi listu da bi procesuirao odgovarajuću polisu koja se primenjuje.

Treba imati na umu sledeće:

• Postavke za kompjuter (Computer Settings) se procesuiraju kada se kompjuter startuje. Da bi se odmah primenile nove postavke za kompjuter, administrator mora da restartuje sistem.
• Korisničke postavke (User Settings) se procesuiraju kada se korisnik uloguje na kompjuter. Da bi se primenile nove postavke za korisnika, korisnik će morati da se izloguje i nakon toga ponovo uloguje na kompjuter.
• Možemo da ubrzamo procesuiranje grupnih polisa onemogućavanjem nepotrebnih delova grupne polise. Na primer, ako je GPO povezan na OU (organizacionu jedinicu) koja sadrži samo korisničke naloge, možemo da onemogućimo kompjuterski deo GPO.
• GPO se keširaju lokalno i ažuriraju u vremenskim intervalima. Defoltna konfiguracija osvežava GPOs na radnim stanicama i serverima koji su članovi domena na svakih 90 minuta. GPOs koji se nalaze na domenskim kontrolerima se osvežavaju na svakih 5 minuta. Administrator može da primora ažuriranje GPOs startovanjem gpupdate komande.

Izuzeci u primenjivanju grupnih polisa

Tipično sve postavke iz objekta grupnih polisa (GPO) primenjuju se u toku procesa podizanja sistema i u toku procesa logovanja. Ipak, postoje neki izuzeci koje treba imati na umu.


Detektovanje sporog linka (Slow link detection)

U slučaju da grupna polisa detektuje spori link, specifične postavke u grupnoj polisi neće biti procesuirane. Defoltna brzina sporog linka je 500 kilobita po sekundi (Kbps), ali ovo može da se promeni.

Detektovanje sporih linkova je korisno prilikom kontrolisanja kako se procesuiraju grupne polise u manjim kancelarijama i za roming korisnike koji koriste VPN konekciju. Na primer, možda ćemo želeti da automatski instaliramo određeni softver preko VPN konekcije.


Keširanje podataka o identitetu

Kada Windows XP ili Windows Vista kompjuter primeti da na mreži postoje određeni problemi koji se odnose na konektivnost, korisnik će ipak moći da se uloguje koristeći keširane podatke o identitetu. Keširane postavke grupnih polisa će se i dalje primenjivati na korisnika. Ipak, nove postavke grupnih polisa neće biti primenjene sve dok se kompjuter ponovo ne konektuje na mrežu i sve dok ne preuzme ažurirani objekat grupne polise (GPO). Administzrator može da onemogući keširanje podataka o identitetu u slučaju da je to potrebno.

Konekcije za udaljeni pristup (Remote Access Connections): kada se korisnik uloguje preko VPN konekcije i korisničke i kompjuterske postavke se kopiraju na kompjuter, ali možda neće biti primenjivane odmah. Većina kompjuterskih postavki neće biti primenjeno zbog toga što one moraju da se primene pre logovanja korisnika na kompjuter. Korisničke postavke se primenjuju kao deo procesa prijavljivaj ako je korisnik inicirao VPN konekciju kao deo procesa prijavljivanja. Ako se korisnik prvo ulogovao na kompjuter pa tek nakon logovanja inicira VPN konekciju, tada se procesi grupne polise odrađuju u pozadini (Background Process).

Pomeranje kompjuterskih ili korisničkih objekata: Kada su kompjuter ili korisnik pomereni u aktivnom direktorijumu (Moved), postavke u grupnim polisama se ne primenjuju odmah. Treba da prođe najmanje 30 minuta da bi se Group Policy klijent ažurirao i da bi počeo da koristi novu lokaciju objekta. Grupna polisa će i dalje morati da bude osvežavana na svakih 90 minuta.

Nove karakteristike grupnih polisa u Windows Server 2008

Nove karakteristike u grupnim polisama povećavaju funkcionalnost grupnih polisa i upravljanje grupnim polisama čine mnogo lakšim.

U slučaju da koristimo Windows Vista desktop operativni sistem, postoji nekoliko novih kategorija postavki u grupnim polisama:

• Power Management Settings: Administrator može sa jednog mesta (centralno) da kontroliše Power Management za sve Windows Vista kompjutere u domenu. Ovo može da smanji troškove i uštedi novac konfigurisanjem kompjutera da pređu u stanje usnulosti (Sleep) preko noći kada se ne koriste.
  
  
• Blokiranje instalacije uređaja (Blocking Device Installation): Administrator može da kontroliše korišćenje prenosivih uređaja za smeštanje podataka (Removable Storage Devices). Ovo omogućava administratora da spreči korisnike da prenose podatke kompanije na USB uređajima.
  
  
• Firewall i IPSec postavke: Postavke za Windows Firewall i IPSec se kombinuju. Ovo smanjuje moguću konfuziju u slučaju da dođe do konflikta između postavki.
  
  
• Internet Explorer postavke: Način na koji su primenjuju postavke za Internet Explorer je modifikovan da bi smanjio rizik od neočekivanog ponašanja kada se kombinuju sa lokalnim postavkama.
  
  
• Štampanje na osnovu lokacije (Location-based Printing): Administrator sada može da dodeljuje štampače na osnovu lokacije. Ovo dozvoljava roming korisnicima da imaju odgovarajuće štampače za lokacije u kojima se trenutno nalaze. Na primer, laptop korisnik će imati jedan skup štampača koji se nalate u glavnoj kancelariji i drugi skup štampača koji će koristiti kada se nalazi u manjoj (Branch) kancelariji.
  
  
• Delegiranje instalacije drajvera za štampače: Sada postoji postavka koja omogućava da obični korisnici mogu da instaliraju nove drajvere za štampače. Ovo je važno sa roming korisnike koji će možda morati da instaliraju drajver za štampače na klijentskom sajtu.
  
  
• ADMX šabloni: Administrativni šabloni u ranijim verzijama Windows operativnih sistema su bili ADM fajlovi. Imamo opciju da zamenimo te fajlove ADMX fajlovima u Windows Server 2008. Glavna prednost je lakše editovanje, podrška za višejezičnost i velika efikasnost.