A csoportházirend olyan szabályok vagy beállítások halmaza, amelyek szerint a fogadási/átviteli munkakörnyezet konfigurálva van ( Windows , X-unix és egyéb hálózati támogatással rendelkező operációs rendszerek). A csoportházirendek egy tartományon belül jönnek létre, és replikálódnak a tartományban. A csoportházirend-objektum ( GPO ) két fizikailag különálló összetevőből áll: egy csoportházirend - tárolóból ( GPC ) és egy csoportházirend- sablonból ( GPT ) . Ez a két komponens tartalmazza az összes adatot a munkakörnyezet beállításairól, amelyeket a csoportházirend-objektum tartalmaz. A csoportházirend-objektumok átgondolt alkalmazása az Active Directory objektumokra lehetővé teszi egy hatékony és könnyen kezelhető Windows - alapú számítási környezet létrehozását . A házirendek fentről lefelé kerülnek alkalmazásra az Active Directory hierarchiájában .
Alapértelmezés szerint két csoportházirend jön létre az Active Directory címtárhierarchiájában: az alapértelmezett tartományházirend (alapértelmezett tartományházirend) és az alapértelmezett tartományvezérlő házirend (alapértelmezett tartományvezérlő házirend). Az első a tartományhoz, a második pedig a tartományvezérlőt tartalmazó tárolóhoz van hozzárendelve . Ha saját csoportházirend-objektumot szeretne létrehozni, rendelkeznie kell a szükséges engedélyekkel. Alapértelmezés szerint a Vállalati rendszergazdák és a Tartományrendszergazdák csoportok jogosultak új csoportházirend -objektumok létrehozására .
Amikor csoportházirendekkel dolgozik, ne feledje, hogy:
Képzelje el, hogy bizonyos paraméterek (például bejelentkezési szalaghirdetés) a P3 és a P1 szabályzatban is meg vannak határozva. Ebben az esetben a P3 szabályzatban megadott paraméter értéke eltér a P1 szabályzatban megadott értéktől. Milyen érték lesz rendelve a paraméterhez mindkét irányelv alkalmazása következtében? Ilyen helyzetben az objektum paramétere az objektumhoz legközelebbi csoportházirend-objektumból leolvasott értékre lesz beállítva. Így a szóban forgó helyzetben a bejelentkezési banner paraméterhez a P1 szabályzatból kinyert érték lesz hozzárendelve.
Képzelje el, hogy a P3 házirend tartalmazza a bejelentkezési szalagcím paraméterét, míg a P1 házirend nem határozza meg ezt a paramétert. Ebben az esetben, ha mindkét házirend vonatkozik az objektumra, akkor a szóban forgó objektumparaméter a P3 házirendből lesz hozzárendelve. Az SA-tárolóhoz azonban nincs meghatározva házirend. Ennek a tárolónak a bejelentkezési szalaghirdetés-paramétere azonban a P3-házirend értékére lesz állítva. Ezen túlmenően a P3 és P1 irányelvek teljes mértékben érvényesek erre a tárolóra, mivel az SA-tároló örökli ezeket a házirendeket a szüleitől.
Képzelje el, hogy a P4 és P5 irányelvek, amelyek számos paraméter értékét határozzák meg, az Acct tárolóra vonatkoznak. A P4 házirend számítógép-konfiguráció szakaszában a globális elszámolási csoport tagjai helyileg csatlakozhatnak az Acct tárolóban lévő bármely számítógéphez, valamint a tároló összes alkonténeréhez. A P5-házirend számítógép-konfigurációs részében pedig nincsenek jogosultságok hozzárendelve a Számviteli csoporthoz. A Domain Controller Properties ablak Csoportházirend oldalán megjelenő házirendek listájában a P5 házirend a lista legtetején, a P4 házirend felett található. A listában megadott házirendek alulról felfelé haladva érvényesek az objektumra. Más szavakkal, először a lista alján található házirendek kerülnek alkalmazásra, majd a lista tetején lévő házirendek. Így az Acct tárolóval kapcsolatos figyelembe vett házirend-készlet feldolgozása során először a P4, majd a P5 házirend kerül alkalmazásra. Ezért a házirend-készlet feldolgozása után a helyi kapcsolódási jogok paramétere a P5 házirendből származó értéket fogja tartalmazni. Így a globális Számviteli csoport tagjainak nem lesz joga helyileg csatlakozni az Acct tároló és alkonténereinek számítógépeihez. A házirendek feldolgozási sorrendjének módosításához használja a Csoportházirend lap jobb alsó sarkában található Fel és Le gombokat.
A Windows 2000 lehetővé teszi a csoportházirend-objektum bizonyos szakaszainak alkalmazásának blokkolását. Ha a házirend nem teljes mértékben, hanem csak részben van alkalmazva a tárolóra, a felhasználó által a rendszerhez való csatlakozás teljes ideje csökken. Minél kevesebb csoportházirend-objektum-beállítást kell alkalmazni egy objektumra, annál gyorsabban kerül feldolgozásra a megfelelő házirend. A házirend egyes szakaszainak feldolgozását csoportházirend-objektumonkénti alapon letilthatja. Ehhez kövesse az alábbi lépéseket:
Az egyik házirend-szakasz alkalmazásának letiltása egy adott csoportházirend-objektumhoz van konfigurálva, és minden olyan tárolóra vonatkozik, amelyhez ez a csoportházirend-objektum hozzá van rendelve.
A Windows 2000 lehetővé teszi a házirend öröklésének blokkolását egy szülőobjektumtól. Ha például azt szeretné, hogy az IT-tárolóra és annak összes alkonténerére csak az IT-szinten meghatározott házirendek vonatkozzanak, az IT-objektum tulajdonságainak Csoportházirend oldalán jelölje be a Házirend öröklésének blokkolása jelölőnégyzetet. A P1 és P3 házirendek azonban nem vonatkoznak az IT-munkaállomások és IT-kiszolgálók tárolóira. A házirend öröklésének blokkolása nem tiltható le egyetlen szabályzatnál sem. Ha a házirend öröklésének blokkolása engedélyezve van egy tárolóhoz, akkor az Active Directory címtárhierarchia magasabb szintjein hozzárendelt összes házirend nem lesz érvényes erre a tárolóra és annak összes altárolójára. Ez a beállítás csoportházirend-objektumonként konfigurálható, és minden olyan tárolóra vonatkozik, amelyhez ez a csoportházirend-objektum hozzá van rendelve. Ha egy csoportházirend-objektum felülbírálása nélkül van beállítva, a kapcsolódó házirend beállításai mindig elsőbbséget élveznek, ha házirend-ütközések lépnek fel, függetlenül attól, hogy a hierarchia melyik szintjén találhatók azok a tárolók, amelyekre a csoportházirend-objektum vonatkozik. Például, ha megnyitja a shinyapple.msft tartomány tulajdonságai ablakát, és bejelöli a No Override (Nincs felülírás) jelölőnégyzetet a P1 házirendhez, az Active Directory hierarchiájában alacsonyabban lévő objektumok mindig a P1 házirendben beállított értékek szerint lesznek konfigurálva. Politikai ütközés esetén a P1 értékei élveznek elsőbbséget. Jó példa arra, amikor ezt a funkciót érdemes használni, a biztonsági beállítások alkalmazása. Ha a házirend öröklésének letiltása engedélyezve van bármely tárolónál, a No Override tulajdonsággal rendelkező házirend továbbra is érvényesül, mert a No Override beállítás magasabb prioritású.
Az alkalmazott házirendek szűrése az objektum biztonsági csoporttagsága alapján egy másik módszer a házirendek Active Directory-objektumokra való szokásos alkalmazásának megváltoztatására. A szűrés az ACL -ek (Hozzáférés-vezérlési lista) segítségével történik. Minden csoportházirend-objektumhoz hozzá van rendelve egy ACL. A csoportházirend-objektum ACL-jében található információkat a biztonsági rendszer elemzi, függetlenül attól, hogy a csoportházirend-objektum melyik tárolóra vonatkozik. A házirend csak akkor kerül alkalmazásra egy objektumra, ha az objektum rendelkezik olvasási és csoportházirend alkalmazása jogosultsággal a társított csoportházirend-objektumra. Ha egy objektum (felhasználó vagy csoport) nem rendelkezik a Csoportházirend alkalmazása engedéllyel, a csoportházirend nem vonatkozik rá.
Ha dokumentálni szeretné a naplóban a házirendek és profilok alkalmazási sorrendjét, a Rendszerleíróadatbázis-szerkesztővel adja hozzá a REG_DWORD típusú UserEnvDebugLevel értéket a HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon kulcshoz, amelynek 0x10002-nek kell lennie. Ezt követően indítsa újra a számítógépet. A házirend és a profilalkalmazás naplója a %SystemRoot%\Debug\Usermode\Userenv.log fájlba kerül. Az Active Directoryban található csoportházirend-objektumok mellett minden Windows 2000 rendszer rendelkezik helyi házirenddel is. A helyi házirend határozza meg azokat a beállításokat, amelyek szerint a munkaállomás konfigurálva van. A rendszer meghatározott sorrendben alkalmazza a házirendeket. Először a Helyi házirend kerül alkalmazásra, majd a Webhely-házirend, majd a Domain-házirend, végül a Szervezeti egység házirendje. Az irányelvek alkalmazásának sorrendjét gyakran karaktersorozat jelzi (L, S, D, OU). Ha egy helyi házirend ütközik egy gazdagép-, tartomány- vagy szervezeti egység tárolóházirendjével, mindig veszít. Más szóval, az irányelvek alkalmazásakor a helyi szabályzatnak van a legalacsonyabb prioritása. Minden beállítás, kivéve a rendszerindítási/indítási és a rendszerleállítási/leállítási forgatókönyveket, valamint a szoftvertelepítést (akár hozzárendelt, akár közzétett), 90 percenként frissül, plusz vagy mínusz 30 perces változó eltolással. A frissítést az ügyféloldali csoportházirend-frissítési mechanizmus kezdeményezi, amely nyomon követi, hogy az ügyfél mikor végzett utoljára frissítést. A frissítési folyamat elején az összes aktív házirend verziószámát a rendszer összehasonlítja a helyi verziószámokkal. Ha a helyi és a távoli verziószám nem egyezik, a rendszer újra alkalmazza a teljes házirendet. Ellenkező esetben nem történik frissítés. A tartományvezérlő házirendje ötpercenként frissül.
Amikor áttér a Windows 2000 rendszerre , valószínűleg olyan számítógépek lesznek a hálózaton , amelyeken a Windows korábbi verziói futnak . Egy ilyen hálózat hatékony kezeléséhez fontos megérteni, hogy mely számítógépekre lesz hatással a csoportházirend. Az alábbiakban felsoroljuk azokat az operációs rendszereket , amelyekre a csoportházirend vonatkozik.
A Windows NT operációs rendszer lehetővé teszi, hogy minden felhasználóhoz hozzárendeljen egy parancsfájlt , amely parancsokat tartalmaz , amelyeket akkor kell végrehajtani, amikor az adott felhasználó csatlakozik a rendszerhez . Általában a kapcsolati parancsfájlokat a felhasználó munkakörnyezetének kezdeti beállítására használják. A csatlakozási parancsfájlokon kívül a Windows 2000 támogatja a leválasztási parancsfájlokat is. Ezenkívül az új operációs rendszerben minden számítógéphez hozzárendelhet szkripteket a rendszer indításához és leállításához. A Windows Scripting Host (WSH) szkript futtatókörnyezete támogatja az olyan nyelveken írt szkriptek végrehajtását, mint a Visual Basic vagy a Jscript , amelyek közvetlen hozzáférést tesznek lehetővé a Windows API funkcióihoz . Nézzünk meg néhány lehetőséget a parancsfájlok használatához a Windows 2000 környezetben .
Az ilyen szkriptek pontosan ugyanúgy támogatottak, mint a Windows NT 4.0, és elsősorban a Windows korábbi verzióival való kompatibilitás érdekében léteznek . A Windows 2000 és a Windows NT 4.0 kliensek megpróbálják észlelni az ilyen parancsfájlokat a szerver Netlogon megosztásában . Ha a szkript nem található, a keresés a %SystemRoot%\system32\Repl\lmport\Scripts könyvtárban történik (az NT 4.0-ban használt szkript helye). A Netlogon megosztás a SysVol könyvtárban található (sysvol\domainname\scripts), és az FRS automatikusan replikálja. Az NT 4.0 operációs rendszer parancsfájl-címtárreplikációját manuálisan kell konfigurálni.
Ezek a forgatókönyvek az OU-tárolókra vonatkoznak. Más szavakkal, ha egy csatlakozási vagy leválasztási parancsfájlt hozzá szeretne rendelni egy felhasználóhoz, a felhasználót annak az OU-tárolónak a tagjává kell tennie, amely rendelkezik azzal a házirenddel, amely szerint a csatlakozási vagy leválasztási parancsfájl hozzá van rendelve. Ez a módszer rugalmasabb. Ha hálózatát Windows 2000 használatára állítja át, van néhány egyéb szkriptelési szempont, amelyekre szintén ügyelnie kell. Sok hálózaton a Windows 2000-es gépek mellett a Windows korábbi verzióit is futtató számítógépek találhatók, ezért javasoljuk, hogy a NETLOGON megosztást tartalmazó kiszolgálót utoljára frissítse. Ennek az az oka, hogy a Windows 2000 (FRS) rendszerben használt replikációs szolgáltatás nem kompatibilis az NT replikációs szolgáltatásokkal. Így a hálózat frissítésekor biztosnak kell lennie abban, hogy abszolút minden kliens hozzáférhet a Netlogon mappához és a kapcsolati szkriptekhez, függetlenül attól, hogy melyik operációs rendszert használja. Vegye figyelembe azt is, hogy a Windows NT rendszeren a kapcsolati parancsfájlok a felhasználó biztonsági környezetében futnak. Windows 2000 esetén ez csak részben igaz. A Windows 2000 rendszerben a felhasználóhoz kapcsolódó szkriptek (rendszerbe való be- és kijelentkezés) szintén a felhasználó biztonsági kontextusában futnak, míg a számítógéppel kapcsolatos parancsfájlok (rendszerindítás és rendszerleállítás) a biztonsági kontextusban futnak.
A csoportházirend-objektumok kezelésének képessége átruházható más felelős személyekre. A delegálás ACL-ek használatával történik. A csoportházirend-objektum-hozzáférési listák lehetővé teszik, hogy engedélyeket rendeljen az adott csoportházirend-objektumhoz, hogy módosítsa a csoportházirend-objektumot, vagy hozzárendeljen egy csoportházirend-objektumot egy tárolóhoz. Így megakadályozhatja a jogosulatlan csoportházirend-objektumok létrehozását. Például a csoportházirend-objektumok létrehozását és módosítását a Domain Admins csoportra lehet bízni, míg ezeknek a csoportházirend-objektumoknak a hozzárendelését az egyes szervezeti egység tárolóinak adminisztrátorai végezhetik el. A szervezeti egység konténeradminisztrátora kiválaszthatja a legmegfelelőbb csoportházirend-objektumot, és alkalmazhatja azt az irányítása alatt álló bármely szervezeti egységre. Azonban nem tudja módosítani ennek a csoportházirend-objektumnak a tartalmát, és nem hozhat létre új csoportházirend-objektumot.
A csoportházirend lehetővé teszi bizonyos felhasználói könyvtárak átirányítását úgy, hogy amikor hozzájuk fér, a felhasználó ténylegesen elérje a hálózati könyvtárakat vagy a helyi fájlrendszer bizonyos helyeit. Az ily módon átirányítható mappák készlete a következőket tartalmazza:
A felhasználói mappák átirányításának mechanizmusa az IntelliMirror technológia része , amelynek célja, hogy hozzáférést biztosítson a munkafájlokhoz és a konfigurációs információkhoz, függetlenül attól, hogy a felhasználó melyik munkaállomáson dolgozik. Ennek eredményeként az Intellimirror technológia biztosítja a felhasználói fájlok és konfigurációs adatok biztonságát arra az esetre, ha a felhasználó munkaállomása meghibásodik. A címtár-átirányítás a Csoportházirend-objektum Felhasználói konfigurációja Windows-beállítások Mappaátirányítás szakaszában van konfigurálva. Ez a rész megjeleníti az összes korábban felsorolt mappát. Ha át szeretné irányítani valamelyik mappát egy új helyre, kattintson a jobb gombbal a nevére, és válassza a Properties menüpontot a megjelenő menüből.
A Cél lapon három egyéni mappaátirányítási lehetőség közül választhat.