Postoji dosta dostupnih opcija za upravljanje objektima grupnih polisa. Administrator treba da razmisli da li će da pređe na korišćenje ADMX šablona za postavke grupnih polisa ili će i dalje nastaviti da koristi ADM šablone. Administrator takođe ima opciju da koristi starter GPOs kao bazu za izgradnju novih GPOs. Takođe, administrator treba da odredi da li će povezati GPOs na više lokacija ili će ipak kreirati više GPOs. Da bi osigurao mogućnost oporavka GPOs u slučaju da je oporavak potreban, administrator bi trebalo da razmisli o tome na koji način će GPOs biti sačuvani u Backup-u. Na kraju, administrator može da delegira upravljanje GPOs na nekoliko različitih načina.
Administriranje objektima grupnih polisa
Da bi uspešno administrirao objekte grupnih polisa, administrator mora imati na umu sledeće:
- Alatka za administriranje GPOs je Group Policy Management konzola (GPMC). Ova alatka je uključena kao karakteristika u Windows Server 2008. Administrator takođe može da instalira GPMC konzolu na Windows Vista SP1 preuzimanjem i instaliranjem Remote Server Administration tools.
- GPO je sastavljen od Group Policy kontejnera i Group Policy šablona. Group Policy kontejner je smešten u aktivnom direktorijumu. Group Policy Template je smešten u SYSVOL Share-u na domenskim kontrolerima.
- Kada se novi GPO kreira, on mora da bude repliciran na druge domenske kontrolere u domenu. Sve dok replikacija ne bude kompletna, GPO koji se primenjuje na korisnika ili kompjuter, može da bude nekonzistentan.
- Novi ADMX format za administrativne šablone smanjuje veličinu GPO zbog toga što su ADMX fajlovi locirani na centralnoj lokaciji i ne kopiraju se u folder za svaki GPO. Ovo procesuiranje GPO čini mnogo bržim i smanjuje veličinu SYSVOL-a.
- Administrator bi trebalo da kreira centralni smeštaj za ADMX fajlove. Ovo se ne odrađuje automatski u toku instalacije.
- ADMX fajlove je lakše proširivati u poređenju sa ADM fajlovima zbog toga što su ADMX fajlovi XML fajlovi. Ovo omogućava administratorima da dodaju nove postavke u grupne polise. Nove postavke mogu da se koriste za podešavanje redžistri ključeva.
- ADMX fajlovi mogu da se koriste samo u Windows Server 2008 i Windows Vista operativnim sistemima. U slučaju da imamo server i klijente nižeg nivoa, moraćemo da nastavimo da koristimo ADM fajlove.
- Administrator može da odradi migraciju prilagođenih ADM fajlova u ADMX format koristeći ADMX Migrator.
- Kada odrađujemo otklanjanje rešenja primenjivanja postavki grupnih polisa, potrebno je da koristimo Group Policy Reporting karakteristiku GPMC konzole ili GPResulte.exe. Pomoću ove dve karakteristike možemo da vidimo postavke koje su primenjene na korisnika ili kompjuter.
- Kada planiramo implementaciju grupnih polisa, potrebno je da koristimo Group Policy Modeling Wizard u GPMC konzoli. Ova karakteristika nam omogućava da vidimo uticaj promene članstva sajta, članstva u sigurnosnoj grupi, promene WMI filtere, spore linkove, Loopback procesuiranje i pomeranje korisničkih i kompjuterskih objekata u novu organizacionu jedinicu.
Starter GPOs
Starter GPOs smeštaju kolekciju postavki polisa administrativnih šablona u jednom objektu. Starter GPOs sadrže samo administrativne šablone. Kada kreiramo novi GPO iz Starter GPO, novi GPO će imati sve postavke administrativnog šablona koje je definisao Starter GPO. Na ovaj način Starter GPOs se ponaša kao šablon za kreiranje GPOs.
GPMC (Group Policy Management konzola) smešta Starter GPOs u folderu pod imenom StarterGPOs, koji se nalazi SYSVOL folderu. Individualni Starter GPO može da se eksportuje unutar .Cab fajla za laku distribuciju.
Kopiranje objekata grupnih polisa (GPOs)
Copy karakteristika je ugrađena u GPMC konzolu i nudi lak način migracije postavki grupnih polisa iz jednog domena u drugi. Po redu, da bismo mogli da odradimo ove operaciju, potrebna nam je Read dozvola na objektu grupne polise u izvornom domenu i Write dozvola u destinacionom domenu (domenu u koji želimo da migriramo GP postavke) da bismo mogli da kreiramo novi GPO. Da bismo iskopirali GPO, potrebno je da kliknemo desnim klikom na GPO i zatim kliknemo na Copy. Nakon toga možemo da navigiramo do destinacionog domena, desni klik na Group Policy Object kontejner i kliknemo na Paste. Cross-Domain Copying Wizard će se pojaviti da nam olakša proces kopiranja GPOs. Čarobnjak će možda od nas tražiti konfiguraciju tabele migracije (Migration Table) da bi mogao da kompletira proces kopiranja GPO u drugi domen. Migration Table se koristi za prevođenje specifičnih GPO informacija koje možda ne odgovaraju u potpunosti novom domenu. Na primer, možda ćemo imati GPO koji je konfigurisan da nudi preusmeravanje foldera za korisnike koji se nalaze u izvornom domenu. Kada pokušamo da kopiramo GPO u novi destinacioni domen, tabela migracije se može iskoristiti za određivanje novih URL informacija koje se odnose na preusmeravanje foldera koje su potrebne novom domenu.
Backup-ovanje i restauracija GPOs
Sigurnost i upravljanje infrastrukturom aktivnog direktorijuma najviše leži u grupnim polisama. Iz tog razloga, od kritičnog je značaja planiranje i održavanje strategije pravljenja rezervne kopije objekata grupnih polisa koji se nalaze unutar našeg okruženja. GPMC nudi karakteristiku uz pomoć koje možemo da pravimo kopije individualnih objekata grupnih polisa (GPOs) ili celih setova GPOs koji su konfigurisani u našem domenu. Backup funkcija takođe može da se iskoristi i za eksportovanje GPOs koje treba da budu migrirani ili importovani u druge domene ili šume aktivnog direktorijuma.
GPMC Backup karakteristika pravi rezervne kopije GPOs u destinacioni folder koji odredimo u toku samog procesa pravljenja kopija. Po redu, da bismo odradili pravljenje kopija, moramo da imamo Read dozvolu na objektu grupne polise i Write dozvolu na folderu u koji planiramo da smestimo GPO. Preporučuje se da destinacioni folder za GPO Backup bude zaštićen i da samo autorizovani korisnici mogu da imaju pristup folderu.
Potrebno je koristiti sledeće korake da bismonpravili rezervne kopije individualni objekat grupne polise (GPO) unutar domena: - u GPM konzoli navigiramo do Group Policy Objects kontejnera,
- da bismo napravili sve kopije GPOs u domenu, desni klik na Group Policy Objects kontejner i kliknemo na Back Up All. Ako želimo da napravimo kopije samo jednog GPO, tada kliknemo na Back UP,
- u Location polju, upišemo celu stazu koja vodi do foldera u kojem će se smeštati GPO kopije. Takođe, možemo da damo i opis koji se odnosi na zadatak pravljenja kopija,
- kliknemo na Back Up dugme da bismo započeli proces pravljenja i čuvanja kopije.
GPMC konzola takođe dozvoljava administratorima da upravljaju i restauriraju objekte grupnih polisa. Tehnički, za svaki GPO se pravi kopija odvojeno i sadrži informacije o verziji, vreme čuvanja i opis. Ovo nam pomaže da restauriramo ili najsvežiju verziju specifičnog objekta grupne polise ili raniju verziju, ako je potrebno. Po redu da bismo mogli da izvršimo restauraciju GPO, moramo da imamo privilegije koje nam omogućavaju da kreiramo objekte grupnih polisa u domenu i Read dozvola za folder u kojem se nalaze bekapovani objekti grupnih polisa.
Potrebno je slediti sledeće korake prilikom restauracije GPOs unutar domena:
- U GPMC konzoli navigiramo do Group Policy Object kontejnera.
- Da bismo upravljali bekapovanim objektima grupnih polisa (GPOs), desni klik na Group Policy Object kontejner i zatim kliknemo na Manage Backups. Otvara nam se Manage Backups dijalog boks.
- Selektujemo GPO koji želimo da restauriramo i kliknemo na Restore dugme. Možemo, takođe, da iskoristimo i View Settings dugme da vidimo izveštaj o tome koje postavke su konfigurisane unutar objekta grupne polise.
Delegiranje administrativne kontrole nad objektima grupnih polisa (Delegating Management of GPOs)
Aktivni direktorijum nam omogućava da efikasno upravljamo objektima korišćenjem Delegating Administrative Control nad objektima. Koristimo (Delegation of Control Wizard) čarobnjaka i MMC konzolu za dodeljivanje dozvola određenim korisnicima da bismo mogli da obavljaju razne administrativne zadatke.
Nakon lekcije naučićete da:
- opišete sta znači delegiranje kontrole neke organizacione jedinice,
- opišete svrhu i funkciju Delegation of Control Wizard-a,
- delegirate kontrolu nad organizacionom jedinicom koristeći Delegation of Control W.
Delegiranje kontrole je mogućnost dodeljivanja odgovornosti za upravljanje objektima aktivnog direktorijuma drugom korisniku, grupi ili organizaciji. Delegiranjem kontrole možemo da eliminišemo potrebu za kreiranjem više administratorskih naloga koji imaju ugrađeni autoritet.
Možemo da delegiramo sledeće tipove kontrole:
- Dozvole za kreiranje ili modifikovanje objekata u određenoj organizacionoj jedinici.
- Dozvole za modifikovanje specifičnih atributa objekata, kao što su dodeljivanje dozvole za resetovanje korisničkih naloga.
Delegiranje administrativne kontrole
Delegirana administracija u aktivnom direktorijumu pomaže uprošćavanje administrativne suštine upravljanja mrežom koristeći mogućnost distribuiranja administrativnih zadataka na grupu korisnika. Sa delegiranom administracijom možemo da dodelimo osnovne administrativne zadatke regularnim korisnicima ili grupama, i da dodelimo
domen-wide i
forest-wide administrativne zadatke korisnicima od poverenja:
Domain Admins i
Enterprise Admins grupama.
Delegiranjem kontrole dajemo grupama u našoj organizaciji više kontrole nad svojim lokalnim resursima. Takođe štitimo mrežu od namernih ili malicioznih šteta tako što smo ograničili članstvo u grupi
Administratros.
Načini za definisanje delegiranja administrativne kontrole Delegiranu administrativnu kontrolu definišemo na sledeća tri načina:
- Promenom postavki odgovarajućeg kontejnera.
- Kreiranjem i brisanjem objekata specifičnog tipa u organizacionoj jedinici, kao što su korisnici, grupe ili štampači.
- Ažuriranjem specifičnih postavki na objektima specifičnog tipa u organizacionoj jedinici. Na primer, možemo da delegiramo dozvolu za postavljanje lozinki nekom korisničkom nalogu ili svim korisničkim nalozima u organizacionoj jedinici.
Delegation of Control Wizard
Koristimo Delegation of Control Wizard da odredimo korisnika ili grupu kojoj želimo da delegiramo kontrolu. Možemo takođe da koristimo ovog čarobnjaka da dodelimo dozvole organizacionoj jedinici i objektima za pristup i modifikovanje objekata.
Delegate Parmissions. Koristimo
Delegation of Control Wizard da dodelimo dozvole na nivou organizacionih jedinica. Moramo ručno da dodeljujemo dodate specijalne dozvole na nivou objekata.
U
Active Directory Users and Computers desni klik miša na organizacione jedinice kojima želite da delegirate kontrolu. Zatim klik na
Delegate control da biste pokrenuli Wizard. Takođe, možete selektovati organizacionu jedinicu i onda kliknuti na
Delegate control u
Action meniju.
Delegiranje administracije GPOs
Jedna od najvećih prednosti aktivnog direktorijuma je opcija za delegiranje mnogih administrativnih zadataka unutar organizacije. Upravljanje grupnim polisama takođe je jedan od zadataka koji možemo da delegiramo na određenog korisnika ili grupu korisnika.
Imamo tri opcije za delegiranje administracije grupnih polisa. Prvo, možemo da delegiramo dozvole za kreiranje, brisanje i modifikovanje objekata grupnih polisa (GPOs). Po defoltu, samo Domain Admins grupa, Group Policy Creator Owners grupa i System Account poseduju ovo pravo. Group Policy Creator Owner grupa poseduje dodatnu restrikciju u tome da članovi ove grupe imaju dozvolu da modifikuju postavke samo za GPO koji su sami kreirali.
Možemo da dodelimo pravo da kreira i briše GPOs bilo kojem korisniku ili grupi korisnika selektovanjem Delegation kartice na Group Policy Object kontejneru i zatim klik na ADD.
Druga opcija za delegiranje administracije grupnih polisa je delegiranje prava za upravljanje linkovima grupnih polisa (Manage Group Policy Links). Ova opcija ne daje dozvolu administratorima da modifikuju svaki objekat grupne polise, ali im daje pravo da dodaju i uklanjaju GPO linkove za kontejner objekat. Najlakši način za dodeljivanje nivoa ovih dozvola je korišćenje Delegation of Control Wizard. U Active Directory Users and Computers konzoli desni klik na objekat kojim želimo da upravlja određeni korisnik ili grupa i zatim kliknemo na Delegate Control da bismo startovali Delegating of Control Wizard. Kada startujemo čarobnjaka na nivou organizacione jedinice, jedan od standardnih zadataka koji možemo da delegiramo je dozvola za upravljanje linkovima grupnih polisa (Manage Group Policy Links).
Treći način za delegiranje administracije grupnih polisa je davanje korisnicima prava da generišu Set of Policy (RsoP) informacije. Možemo ponovo da koristimo Delegation of Control Wizard za dodeljivanje prava za Generisanje RsoP alatke i u Logging i u Planning režimu.
Takođe, možemo da iskoristimo GPMC konzolu da delegiramo pravo za upravljanje GPO linkovima, Group Policy Modeling i Group Policy Results. Delegation kartica koja se nalazi na domenu ili na kontejneru organizacione jedinice nudi mogućnost za dodavanje i uklanjanje korisnika i grupa i primenjivanje specifičnih dozvola.