UPRAVLJANJE UPORABNIŠKEGA OKOLJA S SKUPINSKIMI POLITIKAMI

Transkripcija

1 Organizacija in management informacijskih sistemov UPRAVLJANJE UPORABNIŠKEGA OKOLJA S SKUPINSKIMI POLITIKAMI Mentor: prof. dr. Jože Zupančič Kandidat: Marko Hacin Kranj, Maj 2011

2 ZAHVALA Za pomoč in usmeritve pri izdelavi diplomske naloge, predvsem pa za prijaznost in hitro odzivnost, se zahvaljujem dr. Jožetu Zupančiču. Hvala tudi družini, ter vsem prijateljem in sodelavcem, ki ste mi stali ob strani in me spodbujali na tej poti, ter potrpeli ob vseh odsotnostih, ki jih je povzročil moj študij. V spomin Dušanu Progarju

3 POVZETEK V vseh modernih organizacijah so od informacijskega sistema odvisni poslovni procesi, zato je potrebno z upravljanjem poskrbeti, da je informacijski sistem v čim boljši kondiciji, saj le tako lahko zagotovimo njihovo nemoteno delovanje. Eden od ključnih področij upravljanja informacijskega sistema je segment upravljanja uporabniškega okolja. V tej nalogi smo kot osnovo za upravljanje uporabniškega okolja v informacijskem sistemu uporabili tehnologijo skupinskih politik Group Policy, ki jo za Windows domenska okolja ponuja proizvajalec programske opreme Microsoft. Prvi del naloge raziskuje tehnologijo skupinskih politik, pri čemer analiziramo predpogoje za njihovo delovanje, nadalje so opisani posamezni mehanizmi in komponente skupinskih politik s pomočjo katerih uveljavljamo nastavitve na računalnikih in uporabnikih. Predstavljene so glavne kategorije nastavitev in njihova sestava, ter vse novosti, ki jih prinaša operacijskih sistem Microsoft Windows Server 2008 R2 na področju upravljanja s skupinskimi politikami. V drugem delu se posvečamo dejanskemu upravljanju Objektov skupinskih politik s pomočjo orodij, ki so na voljo. Podrobneje je opisano delo z Upraviteljskim vmesnikom skupinskih politik (GPMC), ter z orodjem za napredno upravljanje skupinskih politik (AGPM), prikazane pa so še možnosti upravljanja z drugimi orodji, kot so skripti, ukaznlupina Power Shell, gpupdate, gpresult in ADMX Migrator. V zadnjem delu se najprej ukvarjamo s strukturo Aktivnega imenika, ki je osnovna podlaga za vsako uspešno upravljanje uporabniškega okolja. Predstavljen je lasten predlog strukture organizacijskih enot Aktivnega imenika, ki je po našem mnenju primeren za večino organizacij. Temu delu sledi ukvarjanje z nastavitvami, ki jih konfiguriramo za računalniški in uporabniški del Objektov skupinskih politik. Opisano je konfiguriranje glavnih nastavitev, ki sega vse od zahtevnih varnostnih nastavitev, preusmerjanja uporabniških map, sistemskih nastavitev operacijskih sistemov, upravljanje porabe energije, pa vse do nastavitev tiskalnikov, mrežnih pogonov, ter bližnjic, ki jih ima uporabnik na svojem namizju. Na koncu je predstavljeno tudi upravljanje aplikacij s skupinskimi politikami in sicer aplikacij pisarniškega paketa Microsoft Office 2010, ter spletnega brskalnika Google Chrome. Vse konfigurirane nastavitve in samo delovanje skupinskih politik je bilo preizkušeno v navideznem testnem okolju Windows 2008 R2 domene. Tokom dela s skupinskimi politikami smo prišli do sklepa, da je uporaba tehnologije skupinskih politik nujna za vse organizacije, ki imajo Windows domeno, saj je lahkotnost in enostavnost upravljanja uporabniškega okolja prav presenetljiva in zelo učinkovita. KLJUČNE BESEDE Skupinske politike Aktivni imenik Upraviteljski vmesnik skupinskih politik Microsoft Windows Server 2008 R2 Microsoft Windows 7

4 ABSTRACT USER ENVIRONMENT MANAGEMENT WITH GROUP POLICY In all modern organizations business processes are dependent on the information system. It is therefore important to ensure that the information system is in optimal condition, since it s the only way to provide smooth and successful implementation of business processes. One of the key areas in management of information system is management of user environment. Best technology for managing the user environment in Windows domain based network, is Group Policy, which is the main topic of this diploma thesis. The first part of this diploma thesis explores the technology of group policies, analyzes the preconditions for its operation and investigates the main mechanisms through which we enforce settings for the users and computers. Also presented are the principal categories of settings and their components, including all innovations introduced in the field of group policy management by the operating system Microsoft Windows Server 2008 R2. The second part is devoted to the actual management of group policy objects using the tools that are available from Microsoft. We describe in detail two main tools: Group Policy Management Console and Advanced Group Policy Management tool. Also presented are other management tools such as scripts, Windows Power Shell, gpupdate, gpresult and ADMX Migrator tool. In the last section, we are first dealing with the structure of Active Directory, which is a basis for any successful management of user environment. We present our own proposal for the organizational unit structure of Active Directory, which we believe is suitable for most organizations. Than we deal with settings that are configured for the computer and user parts of the group policy objects. Configured are many settings, ranging from complex security settings, user folder redirection settings, system settings of operating systems, power management, through to printer settings, network drives settings and shortcuts for user's desktop. Finally, we present the application management with group policies for applications included in Microsoft Office 2010 suite and web browser Google Chrome. All configured settings in group policy objects and executed operations have been tested in virtual test environment based on Windows 2008 R2 domain. In the process of working with group policies, we have come to conclusion that the use of group policies is a must for all organizations with Windows domain based network, because of its simplicity, ease of use and effectiveness. KEYWORDS Group Policy Active Directory Group Policy Management Console Microsoft Windows Server 2008 R2 Microsoft Windows 7

5 KAZALO 1 Uvod Predstavitev problema Cilji in namen naloge Metode dela Skupinske politike Uvod v skupinske politike Predpogoji za uporabo skupinskih politik Aktivni imenik Sistem domenskih imen Replikacija Aktivnega imenika Storitev za ugotavljanje omrežne lokacije Kako delujejo skupinske politike Komponente Objekta skupinskih politik Vsebovalnik skupinske politike Predloga skupinske politike Procesiranje skupinskih politik Prvo procesiranje Objektov skupinskih politik Procesiranje (osveževanje) Objektov skupinskih politik v ozadju Zgodovina procesiranja (osveževanja) Objektov skupinskih politik Osveževanje skupinskih politik v primeru počasne povezave Vzvratno procesiranje Objektov skupinskih politik Novosti v Microsoft Windows Server 2008 / 2008 R Preference in nastavitve politik Skrbniške ADMX in ADML predloge Upravljanje skupinskih politik Upraviteljski vmesnik skupinskih politik (GPMC) Pregled Upraviteljskega vmesnika skupinskih politik Glavna opravila pri upravljanju skupinskih politik Napredna opravila pri upravljanju skupinskih politik Konfiguriranje nastavitev skupinskih politik... 25

6 3.2 Napredno upravljanje skupinskih politik (AGPM) Podpora procesu upravljanja s spremembami Glavna opravila pri naprednem upravljanju skupinskih politik Ostala pogosta opravila pri naprednem upravljanju skupinskih politik Ostala orodja Skripte Upraviteljskega vmesnika skupinskih politik Ukazna lupina Windows PowerShell Gpupdate.exe Gpresult.exe ADMX Migrator Orodja drugih proizvajalcev programske opreme Upravljanje informacijskega okolja s skupinskimi politikami Uvod v upravljanje uporabniškega okolja Testno okolje Sestava testnega okolja Centralno skladišče skrbniških ADMX in ADML predlog Izgradnja strukture organizacijskih enot Predlog strukture organizacijskih enot Ustvarjanje novih Objektov skupinskih politik Nastavitve računalniškega dela skupinskih politik Nastavitev politike gesel Splošne varnostne nastavitve Nastavitev rezerviranih uporabniških skupin Nastavitev sistemskih storitev Nastavitev pravic na datotekah, mapah in registrskih ključih Nastavitev naprednega Windows požarnega zidu Nastavitev upravljanja aplikacij Nastavitev možnosti za mape v nepovezanem načinu Nastavitev dostopa na daljavo z RDP Nastavitev strežnika za namestitev popravkov Nastavitev sistemskih spremenljivk Nastavitev upravljanja porabe energije Nastavitve uporabniškega dela skupinskih politik Nastavitev preusmerjanja uporabniških map Nastavitev nadzorne plošče Nastavitev namizja... 61

7 4.7.4 Nastavitev omrežnih pogonov Nastavitev bližnjic Nastavitve pogleda mape v raziskovalcu Nastavitev tiskalnikov Konfiguriranje področnih nastavitev Nastavitev Start Menija Upravljanje uporabe naprav Upravljanje aplikacij s skupinskimi politikami Upravljanje pisarniškega paketa Microsoft Office Upravljanje spletnega brskalnika Google Chrome Nameščanje aplikacij s skupinskimi politikami Zaključki Ocena učinkov Pogoji za uvedbo Priporočila Sklepna beseda Literatura in viri Kazalo slik Kazalo tabel Kratice in akronimi... 81

8 1 UVOD 1.1 PREDSTAVITEV PROBLEMA Vsaka moderna organizacija, ki želi delovati uspešno in učinkovito, si prizadeva za čim večjo standardizacijo in nadzor v svojem informacijskem sistemu, saj le na ta način zagotovimo lažje in učinkovito upravljanje, večjo prilagodljivost in povečano robustnost informacijskega sistema. To posledično prinaša zmanjševanje stroškov upravljanja, ter varnejše in uspešnejše poslovanje. Tehnologij, ki nam to omogočajo, je več, gre pa predvsem za programske rešitve, s katerimi običajno iz centralnega mesta upravljamo informacijski sistem. Eno od pomembnejših področij upravljanja je upravljanje uporabniškega okolja. Z uporabo tehnologij za upravljanje uporabniškega okolja iz centralnega mesta vsem uporabnikom zagotovimo enake pogoje za delo, informacijski sistem, in z njim poslovanje, pa v čim večji možni meri zavarujemo pred posledicami morebitnega povzročanja namerne ali nenamerne škode. Centralno upravljanje koristi tudi informacijskim podpornim službam, saj jim tako omogočimo hitro in učinkovito posredovanje ob težavah, ter poenostavimo samo vzdrževanje informacijskega sistema. Ključna tehnologija, ki nam zgoraj omenjene stvari omogoča v Microsoft Windows domenskih okoljih, je Group Policy skupinske politike, ki so relativno neznano a zelo močno orodje, ki ga nudi Windows Aktivni imenik in to brezplačno! Tehnologija skupinskih politik se vseskozi razvija in danes ponuja že preko 3000 osnovnih nastavitev s katerimi lahko nadzorujemo informacijsko okolje. V tej nalogi nas zanima na kakšen način lahko zagotovimo enotno uporabniško okolje, ki bo varno, ter enostavno in učinkovito upravljivo s centralnega nadzornega mesta s pomočjo tehnologije skupinskih politik Aktivnega imenika, ki jo prinašajo strežniški operacijski sistemi Microsoft Windows Server 2008 / 2008 R2. Sem sodi vzpostavitev primerne strukture Aktivnega imenika, ter upravljanje in konfiguriranje nastavitev tako za računalniške sisteme v omrežju, kot tudi za uporabnike, ki z njimi delajo. Na ta način želimo zagotoviti že omenjeno robustnost, ter standardizacijo informacijskega sistema in njegovih delov, kar je eden od glavnih problemov s katerimi se spopadamo v današnjih informacijskih okolij organizacij. V idealnem primeru to pomeni, da ima uporabnik ne glede na to na kateri računalnik se prijavi, vedno na voljo enake nastavitve uporabniškega okolja, kar mu omogoča takojšnje nadaljevanje z delom, informacijskim podpornim službam pa minimalizira in olajša posege pri uporabniku. 1.2 CILJI IN NAMEN NALOGE Glavni namen naloge je raziskovanje tehnologije skupinskih politik, ter prikaz njene uporabe v informacijskih sistemih, ki temeljijo na Windows domenskem okolju. Prvi cilj naloge je spoznati, kaj nam tehnologija skupinskih politik ponuja, ter na kakšen način jo upravljamo in uveljavljamo v informacijskem sistemu organizacije. Drugi cilj naloge je izdelava predloga nastavitev skupinskih politik, ki zadostijo Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 1

9 osnovnim zahtevam po nadzorovanem uporabniškem okolju. Tretji cilj naloge je spoznati vlogo Aktivnega imenika pri upravljanju s skupinskimi politikami in izdelava predloga strukture Aktivnega imenika. Četrti cilj je prikaz možnosti upravljanja posameznih aplikacij s pomočjo skupinskih politik. Zadnji cilj pa je opisati tehnologijo skupinskih politik v slovenskem jeziku (kar se bo samo po sebi uresničilo), ter zapis priporočil pri delu z njimi. 1.3 METODE DELA Za razjasnitev osnovnih pojmov, funkcionalnosti in delovanja skupinskih politik bo uporabljeno predvsem branje in preučevanje elektronskih virov (tako elektronskih knjig, kot zapisov in dokumentacije na spletenih straneh), ki jih je več kot dovolj, izostalo pa ne bo niti zbiranje ustnih virov. Praktični preizkus posameznih konceptov uveljavljanja in konfiguriranja nastavitev skupinskih politik bo potekal v za te namene vzpostavljeno izolirano testno okolje z Windows domeno raziskave.si, katero je sestavljeno iz dveh navideznih računalnikov, ki sta seveda omrežno povezana. Prvi navidezni računalnik predstavlja strežnik v vlogi domenskega krmilnika (operacijski sistem Microsoft Windows Server 2008 R2), drugi navidezni računalnik pa odjemalca (operacijski sistem Microsoft Windows 7) na katerem bomo uveljavljali konfigurirane nastavitve skupinskih politik. Navidezno okolje bo vzpostavljeno s pomočjo programske rešitve Vmware Workstation, ki jo je mogoče namestiti na Windows ali Linux gostitelja. Poleg izvajanja preizkušanja konfiguriranih nastavitev skupinskih politik na obeh navideznih sistemih, pa bomo nanju nameščali tudi vsa orodja in programsko opremo, ki jo potrebujemo za to nalogo, vseskozi pa se bodo izvajala tudi vsa skrbniška opravila, od ustvarjanja uporabnikov in uporabniških skupin, do pregledovanja dnevnikov dogodkov. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 2

10 2 SKUPINSKE POLITIKE 2.1 UVOD V SKUPINSKE POLITIKE Skupinske politike lahko opišemo kot tehnologijo, ki nam omogoča učinkovito in enostavno upravljanje z nastavitvami za uporabnike in računalnike, ki so člani Aktivnega imenika Microsoft Windows domene. Poenostavljeno rečeno je posamezna skupinska politika v resnici skupina nastavitev, ki določajo kaj uporabnik lahko dela z računalnikom in kaj ne. Te nastavitve lahko poljubno uveljavljamo v celotni organizaciji, oziroma njenem informacijskem sistemu, uporabnik ali računalnik pa jih brezpogojno in samodejno upoštevata. Tak način nadzora nad nastavitvami zagotavlja upravljanje s centralnega mesta, pomaga poenostaviti in avtomatizirati posamezne postopke, ki jih morajo vsakodnevno izvajati skrbniki sistemov, okrepi varnost in nadzor nad informacijskim sistemom, obenem pa vzdržuje zadovoljstvo in produktivnost uporabnikov. Osnovno vodilo uporabe skupinskih politik je, da s spremembo politike na enem mestu določimo politiko za vse objekte, oziroma posamezne ciljne skupine. Skupinske politike lahko uporabljamo v strežnikih od operacijskega sistema Microsoft Windows 2000 Server naprej, na odjemalski strani pa prav tako od operacijskega sistema Microsoft Windows 2000 naprej. Z vsakim novejšim operacijskim sistemom se je število možnih nastavitev povečevalo. V najnovejši različici strežniškega operacijskega sistema Microsoft Windows Server 2008 R2 in odjemalskega operacijskega sistema Microsoft Windows 7, je na voljo že preko 3000 osnovnih nastavitev, kar nam omogoča nastavitev še tako skritih kotičkov operacijskega sistema. Poleg nastavitev, ki nadzirajo operacijski sistem, pa so na voljo tudi nastavitve za posamezne aplikacije, ki še dodatno razširijo možnosti upravljanja s skupinskimi politikami. Primer take aplikacije, oziroma bolje kar celotnega paketa aplikacij, je pisarniški paket Microsoft Office. Poznamo dva tipa Skupinskih politik in sicer lokalne skupinske politike in skupinske politike Aktivnega imenika. Lokalne skupinske politike urejamo in uveljavljamo na vsakem računalniku posebej, kjer so tudi shranjene, kar s stališča centralnega upravljanja ni zaželeno, obenem pa ni na voljo vseh nastavitev, ki so drugače na voljo v skupinskih politikah Aktivnega imenika. V organizacijah, kjer želimo imeti centralno upravljanje se lokalnim politikam izognemo in zato uporabljamo izključno skupinske politike Aktivnega imenika, ki so shranjene v Aktivnem imeniku Microsoft Windows domene, preko katerega tudi uveljavljamo vse naše nastavitve. Skupinske politike, oziroma njihove nastavitve fizično nastavljamo znotraj Objekta skupinske politike (GPO), ki je shranjen v bazi Aktivnega imenika in v posebni mapi SYSVOL, ki se nahaja na domenskem krmilniku. Vsak Objekt skupinske politike ima nastavitve razdeljene na dva dela in sicer na tiste, ki se tičejo nastavitve računalnika, in tiste, ki omogočajo upravljanje z nastavitvami za uporabnika. Upravljanje z Objekti skupinske politike, oziroma skupinskimi politikami se vrši preko Upraviteljskega vmesnika skupinskih politik. Obenem je nepogrešljiv tudi Upraviteljski vmesnik za uporabnike in računalnike aktivnega imenika, preko katerega v skladu z načrtom upravljanja s skupinskimi politikami razporejamo posamezne uporabnike in računalnike v izbrane organizacijske enote,. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 3

11 2.2 PREDPOGOJI ZA UPORABO SKUPINSKIH POLITIK Skupinske politike so zelo obsežna in relativno zapletena tehnologija, ki pa za svoje delovanje potrebuje več drugih zahtevnih storitev in tehnologij. Za uspešno uporabo skupinskih politik je potrebno razumeti te storitve in tehnologije, še posebej je to koristno v primeru, ko gre kaj narobe in je potrebno napako odpraviti. Storitve in tehnologije katere tehnologija skupinskih politik potrebuje za svoje delovanje so: Aktivni imenik (AD) Sistem domenskih imen (DNS) Replikacija Aktivnega imenika Storitev za ugotavljanje omrežne lokacije (NLA) Vidimo lahko, da je potrebna uporaba storitev in tehnologij, ki niso pomembne le za uporabo skupinskih politik, temveč, kar za naše celotno omrežje. Uporaba teh storitev in tehnologij dejansko pomeni, da imamo v organizaciji na voljo polno funkcionalni informacijski sistem. Vsaka od zgoraj omenjenih storitev in tehnologij ima svojo vlogo pri uporabi skupinskih politik, njihovo razumevanje pa nam pomaga pri načrtovanju, implementaciji, upravljanju in odpravljanju morebitnih težav pri uporabi le-teh. Obenem je potrebno poudariti, da je centralno upravljanje s skupinskimi politikami ob zgoraj izpolnjenih predpogojih možno uporabljati le na uporabniških in računalniških objektih, ki so člani domene, ki jo uporabljamo v omrežju svoje organizacije. To pomeni, da morajo biti računalniki priključeni v domeno, uporabniki pa se na te domenske računalnike prijavljajo z domenskim uporabniškim imenom in geslom, ki jim omogoča dostop do virov informacijskega sistema v skladu z njihovimi avtorizacijami Aktivni imenik Aktivni imenik je najbolj pomembna tehnologija brez katere uporaba skupinskih politik ni mogoča. Aktivni imenik je v bistvu osnova v katero je vgrajena tehnologija skupinskih politik. V Aktivnem imeniku so shranjene vse informacije omrežja v obliki objektov, ki so medsebojno povezani. Objektov je več vrst (uporabniki, računalniki, kontakti, uporabniške skupine, tiskalniki, ), nas pa v smislu uporabe skupinskih politik zanimajo predvsem uporabniški in računalniški objekti domene. Aktivni imenik nam nadalje omogoča izgradnjo direktorijske strukture po meri organizacije, v katero nato razporejamo prej omenjene uporabniške in računalniške, ter druge objekte domene. Direktorijska struktura je sestavljena iz organizacijskih enot, ki so ključnega pomena za uspešno in učinkovito uporabo skupinskih politik. Posamezne skupinske politike povezujemo na te organizacijske enote, ter na ta način nadzorujemo nastavitve za uporabniške in računalniške objekte, ki so razporejeni v te organizacijske enote. Skupinske politike, oziroma bolj pravilno Objekte skupinske politike lahko povezujemo na domeno, domensko področje in organizacijske enote. Če ene od teh treh možnih povezav ne izvedemo, skupinska politika ne more delovati. Praviloma uporabljamo povezave na organizacijske enote, saj je le preko njih možno natančno uveljavljanje vseh nastavitev. Te akcije pa seveda lahko izvršujemo le ob ustreznih pravicah, ki nam jih dodeli skrbnik Aktivnega imenika. Aktivni imenik se nahaja na vsakem strežniku, ki je v vlogi domenskega krmilnika aktivne domene. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 4

12 2.2.2 Sistem domenskih imen Sistem domenskih imen ali DNS (Domain name system) je tehnologija, ki je integralni del vsake domene, v kateri se uporablja Aktivni imenik. V osnovi je storitev Sistema domenskih imen zadolžena za pretvarjanje DNS imen računalnikov v IP naslove in je fizično shranjena v obliki omrežno porazdeljene baze podatkov. Od njenega delovanja je neposredno odvisen Aktivni imenik, saj je potreben za medsebojno iskanje računalnikov, ter drugih pomembnih storitev v omrežju. Eden od pomembnejših zapisov v Sistemu domenskih imen, je zapis o imenu strežnikov v vlogi domenskih krmilnikov, s pomočjo katerega posamezni računalniki poiščejo domenski krmilnik, od katerega nato lahko prejmejo skupinske politike, ter izvedejo še druge akcije, ki so potrebne za vključitev v omrežje. Če Sistem domenskih imen ne deluje pravilno, domenskega krmilnika ni mogoče najti, kar pomeni, da uveljavljanje skupinske politike ne bo delovalo, prav tako pa ne bo mogoče urejati posameznega Objekta skupinske politike Replikacija Aktivnega imenika Običajno v omrežjih nimamo samo enega domenskega krmilnika, kar pomeni, da moramo zagotoviti, da so vsi elementi Aktivnega imenika (tudi Objekti skupinskih politik) na voljo na vseh domenskih krmilnikih, ter obenem izvajati sinhronizacijo na zadnje možno stanje. V ta namen uporabljamo replikacijo Aktivnega imenika. Če replikacija ne deluje se pričnejo dogajati čudne stvari, saj na nekaterih računalnikih stvari delujejo na spremenjen način, medtem ko na drugih ni opaziti sprememb. To lahko privede do nekonsistentnosti znotraj informacijskega sistema, v skrajnem primeru pa lahko povzroči tudi škodo v posameznih poslovnih procesih. Ker je vsak Objekt skupinske politike v resnici sestavljen iz dveh delov, tudi replikacija poteka na dva načina. Za del Objekta skupinske politike, ki je shranjen v posebni mapi SYSVOL na domenskem krmilniku, skrbi replikacija porazdeljenega datotečnega sistema (DFSR), za drugi del Objekta skupinske politike, ki je shranjen v bazi Aktivnega imenika, pa skrbi lastna replikacijska storitev Aktivnega imenika. Replikacija s pomočjo porazdeljenega datotečnega sistema (DFSR) je mogoča le v domenah, ki imajo funkcijski nivo višji od Windows Storitev za ugotavljanje omrežne lokacije Za pravilno delovanje skupinskih politik na odjemalcih mora biti aktivna storitev za ugotavljanje omrežne lokacije. Glavni nalogi te storitve sta, da vsake toliko časa preverja, ali je omrežna povezava počasna, ter ali je na voljo domenski krmilnik domene, kateri pripada računalnik. Preračunavanje hitrosti povezave je potrebno zato, ker se na ta način določa, katere skupinske politike se bodo posodobile. V primeru (pre)počasne povezave se posodobijo le izbrane skupinske politike, kar omogoča, da ne preobremenimo že tako počasne omrežne povezave. Z uporabo te storitve je izločeno ugotavljanje hitrosti na podlagi ICMP protokola, ki je v omrežjih dostikrat zaradi varnostnih razlogov onemogočen. Druga funkcija te storitve je, da s»klici«ugotavlja ali je na voljo domenski krmilnik domene, kateri pripada računalnik. Če je odgovor na klic negativen, se skupinske politike ne posodobijo. V kolikor je odgovor pritrdilen, sledi preverjanje zadnjega intervala za posodabljanje skupinske politike, ter nato posodobitev skupinske Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 5

13 politike na odjemalcu v skladu z vnaprej dogovorjenim intervalom. Ta storitev je na voljo od operacijskega sistema Microsoft Windows Vista naprej. 2.3 KAKO DELUJEJO SKUPINSKE POLITIKE Kot rečeno, uporabljamo skupinske politike zato, da lahko nastavimo operacijski sistem ali uporabniško okolje po naših željah in zahtevah. Zelo poenostavljeno lahko rečemo, da skupinske politike delujejo tako, da jih konfiguriramo v Aktivnemu imeniku, nato pa te nastavitve pošljemo na vse računalnike, ki te nastavitve brezpogojno upoštevajo. V resnici je stvar precej bolj kompleksna. Ob vzpostavitvi domene in pripadajočega Aktivnega imenika se samodejno ustvarita dva Objekta skupinske politike, ki sta že povezana v Aktivni imenik. Prvi se imenuje Default Domain Policy, drugi pa Default Domain Controllers Policy. Prvi je povezan na domeno in skrbi za privzete varnostne nastavitve, ter nastavitve politike gesel za celotno domeno (in vse uporabnike le-te). Drugi Objekt skupinske politike z imenom Default Domain Controllers Policy je povezan na organizacijsko enoto Domain Controllers in se uporablja za upravljanje varnostnih nastavitev strežnikov v vlogi domenskih krmilnikov. Na sliki 1 sta prikazana omenjena privzeta Objekta skupinske politike s povezavama v Aktivnemu imeniku. Slika 1: Privzeta Objekta skupinske politike Windows 2008 domene (Vir: Lastni) Prvi naslednji korak v tem procesu je ustvarjanje ustrezne strukture Aktivnega imenika v obliki organizacijskih enot v katere razporejamo uporabnike in računalnike. Nato se lahko lotimo ustvarjanja novega Objekta skupinske politike ali pa konfiguriranje nastavitev obstoječega Objekta skupinske politike (predpogoj je, da imamo za to ustrezne pravice). To ustvarjanje in konfiguriranje poteka preko Upraviteljskega vmesnika skupinskih politik, s pomočjo katerega izvedemo konfiguriranje vseh nastavitev znotraj (predhodno ustvarjenega) Objekta skupinske politike. V tabeli 1 so zapisana glavna področja skupinskih politik, ki jih lahko konfiguriramo v vsakem Objektu skupinske politike. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 6

14 Področje nastavitev Upravljanje in namestitev programske opreme Skripti Varnostne nastavitve Preusmeritev map Upravljanje kvalitete storitev (QoS) Nastavitve za Internet Explorer Namen S pomočjo skupinskih politik Aktivnega imenika lahko nameščamo in posodabljamo programsko opremo, tako v smislu računalniškega kot uporabniškega dela skupinske politike. Možno je tudi izvajanje odstranjevanja programske opreme glede na mesto uporabnika ali računalnika v Aktivnem imeniku. Nastavimo lahko zagon skript ob prižiganju ali ugašanju računalnika, prav tako pa tudi zagon skript ob prijavi ali odjavi uporabnika na računalniku. S skriptami običajno rešujemo probleme, ki jih s skupinskimi politikami ne moremo. Tu imamo možnost nastavljanja številnih varnostnih nastavitev, tako za uporabnika kot za računalnik. Varnostne nastavitve za računalniške objekte vključujejo politike računov, lokalne politike, nastavitve dnevnika dogodkov, nastavitve rezerviranih uporabniških skupin, sistemskih storitev, požarnega zidu, nadzora uporabe aplikacij in nadzora mrežnega dostopa. Za uporabniške objekte pa lahko nastavljamo politike infrastrukture javnih ključev, ter pravila za uporabo aplikacij S to nastavitvijo lahko preusmerjamo določene dele uporabniškega okolja in sicer različne mape uporabniškega profila (npr. Documents, Start menu ali Desktop) na omrežne deljene diske, kjer so vedno na voljo uporabniku, obenem pa enostavno izdelujemo varnostne kopije le-teh. Od operacijskega sistema Windows Vista naprej se je nabor preusmeritvenih map povečal. Dodane so mape Contacts, Downloads, Favorites, Links, Saved Searches, Music, Videos. S tem naborom nastavitev upravljamo s prioriteto in hitrostjo prenosa posameznih storitev v odhodnem omrežnem prometu. Z nastavitvijo te politike kontroliramo katera aplikacija, IP naslov ali protokol s pripadajočimi vrati ima določeno prioriteto v našem omrežju Nastavimo lahko obnašanje spletnega brskalnika Internet Explorer menijev, orodnih vrstic, nastavitev povezave, varnostnih nastavitev in ostalih vrednosti. Skrbniške predloge Skrbniške predloge uporabimo za konfiguriranje velikega števila nastavitev, ki se del uporabniškega vmesnika kot so nastavitve nadzorne plošče (Control Panel),namizja (Desktop), start menija in opravilne vrstice (Start Menu & Takbar). Te nastavitve konfigurirajo sistemski in uporabniški del registra, s čimer omejimo akcije, ki jih uporabnik lahko izvede na svojem računalniku. Zapisane so v ADMX datotekah. Tabela 1: Glavna področja skupinskih politik, ki jih lahko nastavljamo Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 7

15 Področje nastavitev Preference Tiskalniki Preprečevanje namestitve naprav Upravljanje porabe energije Namen S preferencami imamo možnost nastavljati skoraj celotno namizno okolje uporabnika, od nastavitev nadzorne plošče, omrežnih pogonov, spremenljivk okolja, omrežnih deljenih map, pa vse do nastavitve tiskalnikov, sistemskih storitev, USB naprav, ter še mnogo mnogo drugih. Skrbniki sistemov s to nastavitvijo pridobijo možnost delegiranja pravic uporabnikom, ki lahko nameščajo gonilnike za tiskalnike, ter tudi druge naprave. S temi nastavitvami lahko centralno upravljamo z namestitvami naprav na računalnike v organizaciji. Ustvarimo lahko politike, ki nadzorujejo dostop do zunanjih USB pogonov, CD/DVD zapisovalnikov in drugih izmenljivih medijev. S temi nastavitvami lahko v celoti upravljamo s porabo energije vseh računalnikov v organizaciji. Upravljanje s porabo lahko prinese bistvene prihranke. Na voljo imamo možnost, da nastavljamo posamezne nastavitve ali pa si izgradimo kar svoj načrt upravljanja porabe energije. Tabela 1: Glavna področja skupinskih politik, ki jih lahko nastavljamo (nadaljevanje) Vsako področje, ki je prikazano v tabeli 1, ima veliko nastavitev, ki jih lahko konfiguriramo ali za računalnik ali pa za uporabnika. Ko končamo z nastavljanjem, se vse spremembe shranijo v Objekt skupinske politike (v katerem smo izvedli nastavitve). Ta Objekt skupinske politike moramo nato povezati z ustreznim želenim mestom v strukturi Aktivnega imenika. Povezava je lahko izvedena na domensko področje (site), domeno (domain) ali organizacijsko enoto (organizational unit). Sama hierarhija Aktivnega imenika omogoča, da se nastavitve posamezne skupinske politike, ki je povezana visoko v drevesni strukturi Aktivnega imenika (npr. na domeno ali na organizacijske enote 1. nivoja) dedujejo navzdol do zadnjega nivoja, v katerega so razporejeni računalniški ali uporabniški objekti (npr. zadnja organizacijska enota v neki veji Aktivnega imenika). Zmožnost dedovanja sama po sebi zagotavlja učinkovit način za uveljavljanje skupinskih politik skozi celoten informacijski sistem organizacije in je ena od pomembnejših lastnosti pri uporabi skupinskih politik. S tem ko smo povezali določen Objekt skupinske politike z določenimi nastavitvami na primerno organizacijsko enoto v Aktivnemu imeniku, je naša delo v bistvu končano, izvesti se mora le še uveljavitev skupinske politike z izbranimi nastavitvami in njeno procesiranje na ciljnem računalniku. Procesiranje skupinske politike je dejanje, ki dokončno zapiše nastavitve (ki smo jih v Objektu skupinske politike nastavili) na ciljni računalnik, ki se prične v skladu z njimi tudi obnašati (uporabnik lahko uporablja računalnik v skladu z nastavitvami, ki jih je prejel). Procesiranje skupinske politike je poseben proces, ki ima svoja točno določena pravila. Na sliki 2 (glej naslednjo stran) je predstavljen vrstni red procesiranja skupinske politike in vpliv vse od začetnega lokalnega Objekta skupinske politike, do končnih nivojev Aktivnega imenika. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 8

16 Slika 2: Vrstni red procesiranja Objektov skupinskih politik (Vir: Windows Server 2008 AD Resource Kit, Lastni) 1. Če je omogočeno procesiranje Lokalnega Objekt skupinskih politik, se to izvede, ne glede na to ali je računalnik član domene ali ne (slika 2). 2. Naslednji nivo procesiranja je nivo domenskega področja. Če pogledamo na sliko 2 vidimo, da bo Objekt skupinske politike 1 uveljavljen za vse uporabnike in računalnike, ki so razporejeni v domene in organizacijske enote, ki pripadajo domenskemu področju. Če imamo konfigurirane enake nastavitve kot v lokalnem Objektu skupinske politike, bodo nastavitve iz Objekta skupinske politike 1 prevladale. 3. Sledeči nivo procesiranja je procesiranje vseh Objektov skupinskih politik, ki pripadajo domeni. Objekti skupinskih politik, ki so povezani na domeno bodo imeli vpliv le na uporabnike in računalnike kateri pripadajo. V primeru, da imamo konfigurirane enake nastavitve kot v lokalnem Objektu skupinske politike ali Objektu skupinske politike 1, bodo nastavitve iz Objekta skupinske politike 2 in 3 prevladale (slika 2). Vse nastavitve, ki niso v sporu z nastavitvami v domenskih Objektih skupinskih politik se podedujejo iz prejšnjih dveh nivojev. 4. Zadnji nivo procesiranja se izvede na nivoju organizacijskih enot, kjer se izvede procesiranje Objektov skupinskih politik, ki so nanje povezane. Nastavitve bodo uveljavljene le za tiste uporabnike in računalnike, ki pripadajo organizacijskim enotam, obenem pa prav tako velja, da bodo vse nastavitve podedovane v povezanih organizacijskih enotah na nižjih nivojih. V primeru, da imamo na nivoju organizacijske enote konfigurirane enake nastavitve kot v lokalnem Objektu skupinske politike ali Objektu skupinske politike 1, 2, 3, bodo nastavitve iz Objekta skupinske politike 4 prevladale (slika 2). Vse nastavitve, ki niso v sporu z nastavitvami v Objektih skupinskih politik na nivoju organizacijske enote se podedujejo iz treh višjih nivojev. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 9

17 2.4 KOMPONENTE OBJEKTA SKUPINSKIH POLITIK Skupinske politike Aktivnega imenika, oziroma Objekti skupinskih politik (GPO) v Aktivnem imeniku so sestavljeni iz dveh glavnih komponent, ki predstavljajo logično in fizično strukturo posameznega objekta. Logični del objekta je shranjeni v bazi Aktivnega imenika in se imenuje vsebovalnik skupinske politike (Group Policy container - GPC), drugi, fizični del objekta pa je shranjen v SYSVOL mapi, ki se nahaja na vsakem domenskem krmilniku in se imenuje predloga skupinske politike (Group Policy template - GPT) Vsebovalnik skupinske politike Vsebovalnik skupinske politike (GPC) se ustvari v bazi Aktivnega imenika, ko ustvarimo nov Objekt Skupinske politike. Vsebovalnik je viden preko Upraviteljskega vmesnika za uporabnike in računalnike aktivnega imenika, če izberemo vsebovalnik z imenom Policies, ki ga najdemo pod vejo System v drevesni strukturi Aktivnega imenika. Na sliki 3 je prikazano več vsebovalnikov skupinskih politik, ki jih najdemo pod vejo System/Policies v Aktivnem imeniku. Slika 3: Vsebovalniki skupinskih politik v Aktivnem imeniku (Vir: Lastni) Kot je razvidno iz slike 3 ima vsak vsebovalnik skupinske politike posebno ime v obliki črk in številk, ki se imenuje globalna enoznačna označba (global unique identifier GUID). Vsebovalnik skupinske politike ima več atributov, ki nam dajejo različne informacije o posameznem Objektu skupinske politike. Te informacije so sledeče: Ime Objekta skupinske politike Pot do pripadajoče predloge skupinske politike Seznam uporabniških in računalniških razširitev, ki se bodo uporabile pri procesiranju skupinske politike Različica skupinske politike Stanje skupinske politike s štirimi možnostmi: 0 omogočena v celoti, 1 uporabniški del onemogočen, 2 računalniški del onemogočen, 3 onemogočena v celoti Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 10

18 Dostopna lista, ki nam pove, kdo lahko ureja nastavitve Objekta skupinske politike, ter katerim skupinam računalnikov ali uporabnikov so namenjene Predloga skupinske politike Ko je ustvarjen nov Objekt skupinske politike se ustvari tudi nova predloga skupinske politike (GPT) in sicer v %SystemRoot%\SYSVOL mapi na vsakem domenskem krmilniku znotraj iste domene. Na sliki 4 so prikazane komponente predloge skupinske politike, ki je shranjena v SYSVOL mapi domenskega krmilnika ((\SYSVOL\sysvol\raziskave.si\Policies). Podrobnejši pregled nam kaže, da je posamezna predloga skupinske politike poimenovana z isto globalno enoznačno označbo (GUID), kot jo ima pripadajoči vsebovalnik skupinske politike v Aktivnem imeniku (glej sliko 3 na predhodni strani). Slika 4: Predloge skupinskih politik v %SystemRoot%\SYSVOL mapi domenskega krmilnika (Vir: Lastni) Predloga skupinske politike v resnici vsebuje večino nastavitev, ki jih konfiguriramo v posameznem Objektu skupinske politike, te pa so shranjene v obliki več map in datotek (slika 4). Posamezna komponenta predloge skupinske politike je predstavljena v tabeli 2: Komponenta Gpt.ini datoteka Opis Ta datoteka je namenjena shranjevanju različice predloge skupinske politike in imena pripadajočega Objekta skupinske politike. Številka različice omogoča odjemalskim razširitvam, da preverijo ali je odjemalec posodobljen v skladu z zadnjim stanjem nastavitev skupinske politike. Tabela 2: Opis komponent predloge skupinske politike Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 11

19 Komponenta Opis Adm mapa Če uporabljamo operacijske sisteme Windows Server 2008, Windows Server 2008 R2, Windows Vista in Windows 7, te mape ne uporabljamo več (ne obstaja več). Kljub temu pa se lahko ta mapa pojavi, če smo skupinske politike nastavljali s pomočjo orodij, ki so na voljo v predhodnih Windows operacijskih sistemih od zgoraj omenjenih. V tem primeru bo ta mapa vsebovala kopijo skrbniških ADM nastavitvenih predlog iz %SystemRoot%\inf mape računalnika, ki je v osnovi ustvaril Objekt skupinske politike. USER mapa Vsebuje vse nastavitve, ki so na voljo v uporabniškem delu Objekta skupinske politike. Odvisno od konfiguriranih nastavitev ta mapa lahko vsebuje naslednje elemente: datoteka Registry.pol vsebuje nastavitve registra za katerokoli skrbniško predlogo, katere nastavitve so konfigurirane podmapa Applications vsebuje informacije, ki so potrebne za namestitev programske opreme podmapa Documents & Settings vsebuje informacije o konfiguriranih preusmeritvah map podmapa Microsoft\IEAK vsebuje informacije o nastavitvah Internet Explorer-ja podmapa Scripts\Logon vsebuje dejanske datoteke, ki so uporabljene kot uporabniške prijavne skripte in so definirane v skupinskih politikah podmapa Scripts\Logoff vsebuje dejanske datoteke, ki so uporabljene kot uporabniške odjavne skripte in so definirane v skupinskih politikah MACHINE Vsebuje vse nastavitve, ki so na voljo v računalniškem delu mapa Objekta skupinske politike. Odvisno od konfiguriranih nastavitev ta mapa lahko vsebuje naslednje elemente: datoteka Registry.pol vsebuje nastavitve registra za katerokoli skrbniško predlogo, katere nastavitve so konfigurirane podmapa Aplications vsebuje informacije, ki so potrebne za namestitev programske opreme podmapa Microsoft\Windows NT\SecEdit vsebuje datoteko z imenom GptTmpl.inf, ki se uporablja za različne varnostne nastavitve, ki jih konfiguriramo v varnostnem delu Objekta skupinske politike podmapa Scripts\Logon vsebuje dejanske datoteke, ki so uporabljene kot prijavne skripte računalnika in so definirane v skupinskih politikah podmapa Scripts\Logoff vsebuje dejanske datoteke, ki so uporabljene kot odjavne skripte računalnika in so definirane v skupinskih politikah Tabela 2: Opis komponent predloge skupinske politike (nadaljevanje) Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 12

20 2.5 PROCESIRANJE SKUPINSKIH POLITIK Kot že rečeno je procesiranje skupinske politike dejanje, ki dokončno zapiše nastavitve, ki smo jih nastavili v Objektu skupinske politike na ciljni računalnik, kateri se prične v skladu z njimi tudi obnašati (uporabnik lahko uporablja računalnik v skladu z nastavitvami, ki jih je prejel). Tehnologija skupinskih politik in njihovo procesiranje deluje v skladu z arhitekturo odjemalec - strežnik, ki vključuje uporabo tako strežniških kot odjemalskih komponent za uveljavljanje skupinskih politik na računalnikih, ki so priključeni v omrežje (in so člani domene). Na sliki 5 je predstavljena interakcija strežnika in odjemalca v arhitekturi skupinskih politik. Slika 5: Interakcija strežnika in odjemalca v arhitekturi skupinskih politik (Vir: Windows Server 2008 AD Resource Kit, Lastni) S pomočjo strežniških razširitev (SSEs) za Microsoftov upraviteljski vmesnik (MMC) konfiguriramo nastavitve skupinskih politik preko Upraviteljskega vmesnika skupinskih politik (GPMC). S tem ustvarimo Objekt skupinske politike (GPO), ki je shranjen na domenskem krmilniku na dveh mestih in sicer v Aktivnemu imeniku (GPC) in v posebni mapi SYSVOL (GPT). V tem koraku je skupinska politika na voljo odjemalcu (slika 5). Nato odjemalske razširitve 1 (CSEs) interpretirajo konfigurirane nastavitve skupinske politike na strežniku (domenski krmilnik) in jih s pomočjo jedra za obdelavo skupinskih politik sprocesirajo in uveljavijo na ciljnem odjemalcu (računalnik). Odjemalske razširitve in jedro za obdelavo skupinskih politik sta del storitve 1 Odjemalske razširitve so posebna zbirka dinamičnih knjižnic (DLL), ki jih uporablja jedro za obdelavo skupinskih politik. Razširitve se samodejno namestijo ob namestitvi operacijskega sistema, posamezna razširitev ima enoznačno označbo (GUID). Aktivne razširitve so vidne v registru: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\GPExtensions Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 13

21 odjemalca za skupinske politike (Group Policy Client service gpsvc), ki je odgovorna za obdelovanje skupinskih politik. Ta storitev je na voljo le na novejših operacijskih sistemih (Windows Server 2008 / 2008 R2 in Windows Vista / 7), v starejših to nalogo opravlja storitev Winlogon Prvo procesiranje Objektov skupinskih politik Vsakokrat, ko je ustvarjen nov Objekt skupinske politike ali pa je spremenjen, se konfigurirane nastavitve procesirajo na odjemalcih šele v trenutku, ko odjemalci to zahtevajo. Zahteve odjemalcev se prožijo ob različnih časih in so lahko odvisne od naslednjih pogojev: tipa operacijskega sistema, ali je računalnik član domene ali ne, lokacije računalnika v Aktivnemu imeniku, kvalitete omrežne povezave in nastavitev osveževanja v ozadju. Ko se prižge računalnik se obdelajo in uveljavijo nastavitve iz računalniškega dela skupinskih politik. Ko se na računalnik prijavi uporabnik, se obdelajo in uveljavijo nastavitve za uporabniški del skupinskih politik. Odvisno od operacijskega sistema se nastavitve obdelajo v sinhronem ali asinhronem načinu. Asinhroni način procesiranja omogoča, da računalniku in uporabniku ni potrebno čakati, da se obdelajo vse nastavitve, temveč se to zgodi z zamikom v ozadju. To pomeni, da je start računalnika in prijava uporabnika hitrejša, kot pri sinhronem načinu procesiranja, kjer mora uporabnik najprej počakati, da se obdelajo vse nastavitve za računalniški in uporabniški del skupinskih politik, šele nato lahko začne z delom na računalniku. Sinhron način procesiranja je obvezen za vse strežniške operacijske sisteme od Windows 2000 Server naprej, medtem, ko je na odjemalcih ta način obvezen v primerih, ko se uporabnik prvič prijavi na računalnik, če uporabnik uporablja mrežni (roaming) profil ali ima preusmerjene mape na strežnik, ter v primeru namestitve programske opreme preko skupinskih politik Procesiranje (osveževanje) Objektov skupinskih politik v ozadju V primerih, ko spremenimo nastavitve skupinskih politik potem, ko se je uporabnik že prijavil, potrebujemo mehanizem, ki bo uveljavil nove nastavitve. V ta namen se uporablja procesiranje, oziroma osveževanje nastavitev skupinskih politik v ozadju, ki pa je odvisno od vrste operacijskega sistema. Za članske strežnike domene in odjemalske delovne postaje je privzeta vrednost osveževanja 90 minut, ki ji je dodano še naključno število minut v razponu od 0 do 30 minut. Ta naključna vrednost je dodana zato, da ne bi vsi računalniki v istem trenutku poizkušali osvežiti nastavitev (možnost preobremenitve in izpada omrežja in strežnikov). Posledično se lahko naslednje osveževanje nastavitev skupinskih politik v ozadju na odjemalcu sproži v 90 do 120 minutah (seveda za tiste računalnike, ki so priključeni). Za strežnike v vlogi domenskih krmilnikov je privzeta vrednost osveževanja v ozadju nastavljena na 5 minut. Vse do sedaj omenjene intervale osveževanja je možno spremeniti preko nastavitev skupinskih politik, tako za uporabniški, kot tudi računalniški del skupinskih politik Zgodovina procesiranja (osveževanja) Objektov skupinskih politik Vsak računalnik, ki procesira nastavitve iz skupinskih politik, ima pri sebi shranjeno zgodovino procesiranja le-teh v svojem sistemskem registru. Informacija zapisana v Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 14

22 sistemskem registru je glavna metoda, s katero storitev odjemalca za skupinske politike (gpsvc) ugotavlja ali so se nastavitve od zadnjega osveževanja skupinske politike kaj spremenile. Če je različica posameznega Objekta skupinske politike v sistemskem registru enaka tisti v Aktivnemu imeniku, se procesiranje, oziroma osveževanje ne zgodi. V primeru pa, ko je v Aktivnemu imeniku različica Objekta skupinske politike večja vsaj za ena, se procesiranje, oziroma osveževanje izvede. Zgodovina procesiranja pa je uporabljena tudi za ugotavljanje ali je bil določen Objekt skupinske politike in z njim nastavitve, izbrisan. Če se med procesiranjem ugotovi, da določenega Objekta skupinske politike ni več, se odstranijo konfigurirane nastavitve iz izbrisane skupinske politike, same nastavitve na odjemalcu pa se v večini primerov povrnejo na privzete vrednosti Osveževanje skupinskih politik v primeru počasne povezave V primeru počasne omrežne povezave se procesiranje, oziroma osveževanje nastavitev skupinskih politik spremeni. Glavno nalogo pri ugotavljanju hitrosti povezave ima storitev za ugotavljanje omrežne lokacije (glej tudi podpoglavje 2.2.4). V privzetem načinu delovanja se ugotavlja ali je hitrost omrežne povezave nad ali pod mejo 500 kbit/s. Če je s strani storitve za ugotavljanje omrežne lokacije ugotovljeno, da je hitrost omrežne povezave pod 500 kbit/s, se izvede procesiranje izključno le tistih nastavitev, ki so označene kot kritične (ne glede na to, da je Objektu skupinskih politik konfigurirano še veliko drugih nastavitev). Za kritične so označene nastavitve iz upraviteljskih predlog, varnostne nastavitve, IP varnostne nastavitve, nastavitve EFS 2 reševanja in nastavitve upravljanja kvalitete storitev (QoS). Procesiranja teh kategorij nastavitev ne moremo onemogočiti, medtem, ko lahko ostale prilagajamo po svojih željah s pomočjo skupinskih politik. Prav tako lahko konfiguriramo tudi mejo počasne omrežne povezave (privzeta vrednost 500 kbit/s) Vzvratno procesiranje Objektov skupinskih politik Ena od zanimivih možnosti, ki jo je potrebno posebej omogočiti, je procesiranje v vzvratnem načinu. Tipično se ob prijavi uporabnika na katerikoli računalnik uveljavijo nastavitve, ki veljajo za tega uporabnika. Včasih pa tega nočemo, oziroma želimo, da računalnik ostane nastavljen enako ne glede na to kdo se prijavi. V takem primeru omogočimo vzvratno procesiranje Objektov skupinskih politik. Pri omogočenem vzvratnem procesiranju imamo dve možnosti kako se to zgodi. V prvem načinu načinu spajanja, se najprej procesira uporabniški del nastavitev, nato pa še računalniški del. Računalniški del ima višjo prioriteto, zato obveljajo»njegove«nastavitve (v kolikor so konfigurirane enake nastavitve v uporabniškem delu Objekta skupinske politike). V drugem načinu načinu nadomeščanja, se uporabniški del nastavitev ne procesira, procesirajo se le nastavitve iz računalniškega dela Objekta skupinske politike. Vse konfigurirane nastavitve, ki se nanašajo na uporabnika so uveljavljene za vsakega uporabnika, ki se prijavi na računalnik. Tak način procesiranja je najbolj uporaben v primerih, ko je računalnik lociran na javnem mestu (primer: internetni kiosk), mi pa na ta način poskrbimo, da je računalnik vseskozi pod nadzorom, ter»zaklenjen«, da ga uporabniki ne»uničijo«. 2 EFS Encrypting File System. Tehnologija, ki omogoča šifriranje datotek in map v Microsoft Windows operacijskih sistemih Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 15

23 2.6 NOVOSTI V MICROSOFT WINDOWS SERVER 2008 / 2008 R2 Operacijska sistema Microsoft Windows Server 2008 in Microsoft Windows Server 2008 R2 prinašata nove zmožnosti pri procesiranju in upravljanju s skupinskimi politikami. Novosti so naslednje: Integracija Upraviteljskega vmesnika skupinskih politik (GPMC) Skupinskih politik se ne upravlja več preko upraviteljskega vmesnika Aktivnega imenika za uporabnike in računalnike. Poseben upraviteljski vmesnik za upravljanje skupinskih politik je bilo prej potrebno prenesti in namestiti posebej, sedaj pa je že integriran v sam Microsoft Windows Server 2008 / 2008 R2. Dodana je bila tudi podpora novim skrbniškim ADMX nastavitvenim predlogam, ki omogočajo nove možnosti filtriranja in dodajanja komentarjev, skozi nov bolj prijazen uporabniški vmesnik. Storitev odjemalca za skupinske politike (gpsvc) Ta storitev je odgovorna za procesiranje skupinskih politik. Uvedena je bila zato, da se procesiranje skupinskih politik popolnoma (tudi v varnostnem smislu) loči od ostalega dela sistema. Storitev za ugotavljanje omrežne lokacije (NLA) Skupinske politike sedaj uporabljajo to storitev za ugotavljanje spreminjajočih razmer v omrežju v smislu hitrosti povezave, ki vpliva na procesiranje skupinskih politik. Uvedena je bila predvsem zato, da se izloči ugotavljanje hitrosti na podlagi ICMP 3 protokola. Upraviteljske nastavitvene predloge na osnovi XML opisnega jezika Skupinske politike so tradicionalno uporabljale upraviteljske nastavitvene predloge v posebnem ADM formatu datoteke. V teh datotekah (predlogah) so opisane vse nastavitve, ki jih lahko konfiguriramo in uveljavljamo v sistemskem registru. Nov (xml) format teh datotek omogoča lažje upravljanje (tudi v več jezikih, za katere poskrbijo skrbniške ADML jezikovne predloge). Centralno skladišče skrbniških ADMX nastavitvenih predlog Vse skrbniške ADMX nastavitvene predloge lahko sedaj shranimo na posebno mesto na deljeni SYSVOL mapi domenskega krmilnika. S tem poskrbimo, da vsi skrbniki konfigurirajo enake nastavitve, obenem pa zagotovimo konsistentno upravljanje skupinskih politik v celotni domeni. Izboljšano beleženje dogodkov skupinskih politik Beleženje dogodkov sedaj poteka s pomočjo zgoraj omenjene storitve odjemalca za skupinske politike, posamezni dogodki pa se sedaj vpisujejo v dnevnik dogodkov sistema. Podpora mnogoterim lokalnim Objektom skupinske politike S to funkcionalnostjo pridobimo zmožnost uveljavljanja več vrst nastavitev preko lokalnih Objektov skupinske politike na enem računalniku. Nastavitve lahko uveljavljamo za točno določenega uporabnika, za uporabnike ki so člani lokalne uporabniške skupine Local Users (navadni uporabniki), ter za člane lokalne uporabniške skupine Administrators (skrbniki). Uporaba je priporočljiva predvsem na računalnikih, na katere se prijavlja več uporabnikov (deljena uporaba) in niso priključeni v domeno. 3 ICMP - Internet Control Message Protocol je eden od glavnih protokolov v IP skladu. Operacijski sistemi na računalnikih v omrežju ga uporabljajo npr. za sporočanje napak da npr. določena naprava ali storitev ni dosegljiva Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 16

24 Nove nastavitve skupinskih politik (preference) Dodane so nove nastavitve skupinskih politik za Microsoft Windows Server 2008 R2 / Microsoft Windows 7 jih je na voljo preko 3000, dvojec Microsoft Windows Server 2008 / Microsoft Windows Vista jih ponujata preko Uvedene so tudi nove odjemalske razširitve (CSEs) z imenom preference, ki omogočajo nastavljanje uporabniškega okolja na način, za katerega se je običajno uporabljalo prijavne skripte. Podpora za skriptno orodje ukazne lupine PowerShell S tem orodjem pridobimo možnost avtomatizacije, saj lahko iz ukazne vrstice upravljamo skupinske politike na način, ki ga drugače ponuja uporabniški vmesnik Upraviteljskega vmesnika skupinskih politik. 2.7 PREFERENCE IN NASTAVITVE POLITIK Z operacijskim sistemom Microsoft Windows Server 2008 so bile uvedene nove možnosti nastavitev uporabniškega okolja, ki so jih poimenovali preference. Preference nam omogočajo, da nastavimo omrežne pogone, nastavitve v registru, lokalne uporabnike in uporabniške skupine, sistemske storitve, datoteke in mape, ter še mnoge druge reči, vse to pa naredimo brez učenja skriptnih jezikov, ter iskanja nastavitev znotraj operacijskega sistema. Z njihovo uporabo lahko enostavno poenotimo uporabniško informacijsko okolje, ter izboljšamo njegovo upravljanje. Kategorija preferenc je znotraj Objekta skupinske politike ločena od nastavitev politik, tako, da imamo nastavitve politike v svojem razdelku, preference pa v svojem. Razlog za to ločitev je v tem, da je delovanje preferenc različno od nastavitev politik. Razlike so opisane spodaj v tabeli 3: Uveljavljanje Prilagodljivost Lokalni Objekt skupinske politike Preference Ni brezpogojno Uporabniški vmesnik ni onemogočen Nastavitve se lahko osvežuje ali pa uveljavi samo enkrat Enostavno ustvarjanje novih nastavitev za register, datoteke in mape Možno uvažanje posameznih nastavitev iz registra ali celotne veje registra Niso na voljo v lokalnem objektu skupinske politike Nastavitve Politik Brezpogojno Uporabniški vmesnik je onemogočen Nastavitve se osvežuje Za dodajanje nastavitev je potrebna kompatibilnost aplikacije, ter ustvarjanje novih skrbniških predlog Ni možno upravljati datotek, map, So na voljo v lokalnem objektu skupinske politike Tabela 3: Razlike med preferencami in nastavitvami politik Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 17

25 Prilagojenost aplikacij Shranjevanje in vpliv na nastavitve Ciljno uveljavljanje in filtriranje uveljavljanja Uporabniški vmesnik Preference Podpora aplikacijam, ki ne podpirajo uporabe skupinskih politik Prvotne nastavitve so prepisane Odstranitev nastavitve v preferencah ne povrne prvotne nastavitve Možno granularno ciljno uveljavljanje nastavitev za vsak element uporabniškega vmesnika Možno ciljno uveljavljanje za posamezen element preference Na voljo že znan uporabniški vmesnik za večino nastavitev Nastavitve Politik Podprte le aplikacije, ki podpirajo uporabo skupinskih politik Prvotne nastavitve se ne spremenijo Nastavitve shranjene v lastnih vejah registra Odstranitev nastavitve v politiki povrne prvotne nastavitve Filtriranje uveljavljanja je izvedeno s tehnologijo Windows Management Instrumentation (WMI) in zahteva pisanje WMI poizvedb Možno filtriranje na nivoju Objekta skupinske politike Na voljo alternativni uporabniški vmesnik za večino nastavitev Tabela 3: Razlike med preferencami in nastavitvami politik (nadaljevanje) Glavna razlika med preferencami in nastavitvami politik je v uveljavljanju nastavitev. V primeru nastavitev politik so le-te uveljavljene striktno in brezpogojno, saj se nastavitve zapišejo v del registra za skupinske politike, v katerem uporabnik nima pravice spreminjanja vrednosti. Aplikacije, ki podpirajo uporabo skupinskih politik, najprej pogledajo v ta del registra, šele nato iščejo nastavitve drugje v registru. Običajno to pomeni, da so posamezne funkcionalnosti in nastavitve aplikacij onemogočene za uporabnike, kar jim seveda preprečuje, da jih spremenijo. Nastavitve politik so shranjene v registru na sledečih mestih: računalniški del nastavitev Objekta skupinskih politik HKLM\Software\Policies HKLM\Software\Microsoft\Windows\CurrentVersion\Policies uporabniški del nastavitev Objekta skupinskih politik HKCU\Software\Policies HKCU\Software\Microsoft\Windows\CurrentVersion\Policies Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 18

26 V primerjavi z nastavitvami politik preference ne uveljavijo nastavitev brezpogojno. Preference ne zapisujejo svojih nastavitev v posebno vejo registra za skupinske politike, temveč jih zapisujejo na mesta, kjer so običajne nastavitve, ki jih uporablja posamezna aplikacija. S tem nam je omogočeno, da nastavljamo tudi aplikacije in dele operacijskega sistema, ki ne podpirajo uporabe skupinskih politik, obenem pa uporabniku ne onemogočimo uporabniškega vmesnika. To pomeni, da lahko uporabniki nastavitve tudi spremenijo, vendar ta nastavitev, ki je spremenjena s strani uporabnika, velja le do naslednjega osveževanje skupinske politike razen v primeru, ko preferenci določimo, da se nastavi samo prvič in nikoli več. 2.8 SKRBNIŠKE ADMX IN ADML PREDLOGE Skrbniške ADMX in ADML predloge so ene od glavnih elementov s pomočjo katerih dejansko konfiguriramo posamezne nastavitve skupinskih politik. Večina nastavitev skupinskih politik, ki jih lahko konfiguriramo, je namreč zapisana v tako imenovanih skrbniških ADMX nastavitvenih predlogah, ki so shranjene v obliki datoteke s končnico admx. Vsebina datoteke je zapisana v xml opisnem jeziku, ki je relativno enostavno berljiva in prenosljiva. Sestavni del skrbniških ADMX nastavitvenih predlog ali bolje rečeno obvezni spremljevalec, pa so skrbniške ADML jezikovne predloge, v katerih so zapisani opisi nastavitev, ki jih konfiguriramo v ADMX predlogah in so shranjene v obliki datoteke s končnico adml. Vsebina datoteke je prav tako zapisana v xml opisnem jeziku. Dejansko to pomeni, da vsaki skrbniški ADMX nastavitveni predlogi pripada skrbniška ADML jezikovna predloga brez obeh konfiguriranje nastavitev skupinskih politik ni mogoče. ADML jezikovna predloga pa ima še eno dobro lastnost in sicer, da je na voljo v več jezikih, kar pomeni, da je konfiguriranje lažje za tiste, ki jim angleški jezik ni prva izbira. Vsaka jezikovna različica vseh ADML jezikovnih predlog je shranjena v svoji mapi, na voljo pa so jeziki, ki so nameščeni v operacijskem sistemu (govorimo za Microsoft Windows 7 ). Poleg ADMX in ADML skrbniških predlog, ki so privzeto vgrajene v operacijski sistem, pa so na voljo tudi ADMX in ADML skrbniških predloge za posamezne aplikacije. Najbolj znan predstavnik aplikacij, ki jih lahko na ta način upravljamo, je pisarniški paket Microsoft Office, obstaja pa seveda še mnogo drugih, saj so tudi drugi proizvajalci programske opreme za Windows okolje sčasoma ugotovili, da je upravljanje s skupinskimi politikami tisto pravo in so v ta namen primerno prilagodili svoje aplikacije, ter skrbnikom ponudili ADMX in ADML predloge za te aplikacije. Na lokalnem računalniku najdemo skrbniške ADMX nastavitvene predloge v mapi»c:\windows\policydefinitions«, pripadajoče skrbniške ADML jezikovne predloge (če je privzet jezik ob namestitvi operacijskega sistema angleščina) pa v mapi»c:\windows\policydefinitions\en-us«. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 19

27 3 UPRAVLJANJE SKUPINSKIH POLITIK 3.1 UPRAVITELJSKI VMESNIK SKUPINSKIH POLITIK (GPMC) Z operacijskima sistemoma Microsoft Windows Server 2008 / 2008 R2, se spreminja način upravljanja s skupinskimi politikami v Aktivnemu imeniku. Glavna sprememba je v tem, da se ne uporablja več upraviteljskega vmesnika Aktivnega imenika za uporabnike in računalnike. Novo standardno orodje za upravljanje s skupinskimi politikami je Upraviteljski vmesnik skupinskih politik (Group Policy Management Console GPMC), ki je privzeto na voljo že ob sami vzpostavitvi Aktivnega imenika na strežnikih v vlogi domenskega krmilnika (velja seveda za operacijska sistema Microsoft Windows Server 2008 / 2008 R2). Upraviteljski vmesnik skupinskih politik je orodje, ki nam omogoča uveljavljanje, spreminjanje, delegiranje, urejanje in poročanje o skupinskih politikah skozi celotno organizacijo. Če želimo upravljati skupinske politike na drugih članskih strežnikih, je potrebno Upraviteljski vmesnik skupinskih politik namestiti preko posebnega čarovnika za namestitve funkcij. Običajno želimo upravljati skupinske politike tudi iz delovnih postaj, ki jih uporabljajo skrbniki sistemov. V tem primeru je potrebno na delovno postajo namestiti posebno zbirko skrbniških orodij z imenom Remote Server Administration Tools (RSAT), ki je prosto na voljo za prenos na spletnih straneh Microsofta. Ko je Upraviteljski vmesnik skupinskih politik nameščen, ga lahko poženemo s klikom na gumb Start, izberemo Administrative Tools, nato pa izberemo upravljanje skupinskih politik - Group Policy Management. Na sliki 6 je prikazan uporabniški vmesnik Upraviteljskega vmesnika skupinskih politik (GPMC). Slika 6: Uporabniški vmesnik Upraviteljskega vmesnika skupinskih politik (Vir: Lastni) Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 20

28 Na tem mestu je potrebno poudariti, da je Upraviteljski vmesnik skupinskih politik, ki je prikazan na sliki 6, na voljo le v primeru, da uporabljamo operacijske sisteme Microsoft Windows Server 2008 / 2008 R2, Microsoft Windows Vista / Windows 7. Uporaba ostalih operacijskih sistemov za upravljanje skupinskih politik v domenskem okolju Windows Server 2008 / 2008 R2 ni zaželeno Pregled Upraviteljskega vmesnika skupinskih politik Kot je vidno na sliki 6 je Upraviteljski vmesnik skupinskih politik sestavljen iz več vej, ki predstavljajo različne funkcionalnosti. Na prvem nivoju je vidno v katerem domenskem gozdu 4 (Forest) se nahajamo. Če bi želeli upravljati skupinske politike v drugih gozdovih, jih tu enostavno lahko dodamo, vzpostavljeno pa mora biti medsebojno zaupanje (trust). Na naslednjem nivoju po drevesu navzdol imamo na voljo štiri veje. Za nas je najbolj pomembna veja domene (Domains), pod katero so prikazane domene, ki jih trenutno upravljamo. Na sliki 6 je prikazana ena (raziskave.si), lahko pa jih je več. Na sledečem nivoju pod domeno pa imamo veje, ki jih predstavljajo organizacijske enote (Organizational Unit) prvega nivoja, katere v večini primerov uporabljamo za dejansko upravljanje uporabniškega okolja s pomočjo skupinskih politik. Druga po vrsti je veja, ki predstavlja domenska področja (Sites), s pomočjo katerih je predstavljena fizična struktura omrežja. Vsebina le-teh je privzeto skrita, saj običajno ne želimo, da na ta nivo povežemo večje število skupinskih politik. Zadnji dve veji sta še modeliranje skupinskih politik (Group Policy Modeling), ter rezultanta skupinskih politik (Group Policy Results). S pomočjo prve lahko simuliramo, kako bodo izbrane nastavitve skupinskih politik vplivale na ciljne objekte Aktivnega imenika (preigravanje scenarija kaj bi bilo, če bi bilo), v drugi veji pa dejansko izvemo katere nastavitve skupinskih politik so bile uveljavljene na ciljnih objektih Aktivnega imenika. Na sliki 7 je podrobneje predstavljena struktura in umestitev posameznih elementov skupinskih politik v Upraviteljskem vmesniku skupinskih politik. Slika 7: Umestitev posameznih elementov skupinskih politik v Upraviteljskem vmesniku skupinskih politik (Vir: Lastni) 4 Domenski gozd je najvišja logična enota v strukturi Aktivnega imenika. Aktivni imenik je sestavljen iz gozdov, dreves in domen. Domene se združujejo v drevesa, drevesa pa se združujejo v gozdove. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 21

29 3.1.2 Glavna opravila pri upravljanju skupinskih politik Glavni opravila, ki jih izvajamo preko Upraviteljskega vmesnika skupinskih politik v smislu upravljanja Objektov skupinskih politik so sledeča (predpostavljamo, da smo v drevesu domene slika 7): Ustvarjanje novega Objekta skupinske politike Postavimo se v mapo»group Policy Objects«in z desnim klikom na izbran Objekt skupinske politike prikličemo pojavni meni, v katerem s klikom izberemo možnost»new«, vpišemo ime in potrdimo izvedbo. Povezovanje Objekta skupinske politike Z desnim klikom na izbrani organizacijski enoti prikličemo pojavni meni, v katerem s klikom izberemo»link an Existing GPO«, v novem pojavnem oknu nato izberemo Objekt skupinske politike, ki ga želimo povezati z izbrano organizacijsko enoto, potrdimo izbor in povezava je ustvarjena. Konfiguriranje nastavitev Objekta skupinske politike Z desnim klikom na izbran Objekt skupinske politike prikličemo pojavni meni, v katerem s klikom izberemo možnost»edit«in pred nami se pojavi okno uporabniškega vmesnika v katerem lahko konfiguriramo vse nastavitve izbranega Objekta skupinske politike. Konfiguriranje nastavitev nato poteka v skladu z zapisanim v podpoglavju 3.1.3). Na sliki 8 je prikazan uporabniški vmesnik za konfiguriranje nastavitev izbranega Objekta skupinske politike (v tem primeru je izbran Objekt skupinske politike Default Domain Policy). Slika 8: Uporabniški vmesnik za konfiguriranje nastavitev izbranega Objekta skupinske politike (Vir: Lastni) Brisanje Objekta skupinske politike Postavimo se v mapo»group Policy Objects«in z desnim klikom na izbran Objekt skupinske politike prikličemo pojavni meni, v katerem s klikom izberemo možnost»delete«in potrdimo izbris. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 22

30 Ustvarjanje nove organizacijske enote Z desnim klikom na izbranem mestu v obstoječi drevesni strukturi prikličemo pojavni meni, v katerem s klikom izberemo možnost»new Organizational Unit«, vpišemo ime in potrdimo izvedeno akcijo. Prekinitev povezave Objekta skupinske politike Z desnim klikom na izbran Objekt skupinske politike prikličemo pojavni meni, v katerem s klikom izberemo možnost»link Enabled«(pred njo je kljukica), ikona Objekta skupinske politike»posivi«, povezave ni več - slika 9. Slika 9: Tipična stanja ikon v Upraviteljskem vmesniku skupinskih politik pri izvajanju standardnih in naprednih opravil (Vir: Lastni) Izdelava varnostne kopije Objekta skupinske politike Postavimo se v mapo»group Policy Objects«in z desnim klikom na izbran Objekt skupinske politike prikličemo pojavni meni, v katerem s klikom izberemo možnost»back Up «, poiščemo mesto na katero želimo shraniti varnostno kopijo, ter potrdimo izvedbo opravila. Povrnitev Objekta skupinske politike iz varnostne kopije Z desnim klikom na mapo»group Policy Objects«prikličemo pojavni meni, v katerem s klikom izberemo možnost»manage Backups «, nato v pojavnem oknu izberemo Objekt skupinske politike, ki ga želimo povrniti, povrnemo ga s klikom na gumb»restore«, ter potrditvijo akcije Napredna opravila pri upravljanju skupinskih politik Napredna opravila, ki jih izvajamo preko Upraviteljskega vmesnika skupinskih v smislu upravljanja Objektov skupinskih politik, so sledeča (predpostavljamo, da smo v drevesu domene slika 7 na predhodni strani): Prekinitev dedovanja Z desnim klikom na izbrani organizacijski prikličemo pojavni meni, v katerem s klikom izberemo možnost»block Inheritance«, na ikoni izbrane organizacijske enote se pojavi klicaj na modri podlagi. S tem je dedovanje prekinjeno (slika 9 zgoraj). Za povrnitev dedovanja še enkrat izvedemo enako akcijo. Spreminjanje stanja Postavimo se v mapo»group Policy Objects«in z desnim klikom na izbran Objekt skupinske politike prikličemo pojavni meni, v katerem s klikom pokažemo na možnost»gpo Status«, iz novega pojavnega menija pa izberemo želeno možnost: -»Enabled«za omogočanje Objekta skupinske politike (privzeto nastavljen),»user Configuration Settings Disabled«za onemogočanje uporabniškega dela,»computer Configuration Settings Disabled«za onemogočanje računalniškega dela, ter»all Settings Disabled«za onemogočanje vseh nastavitev Objekta skupinske politike. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 23

31 Spreminjanje vrstnega reda procesiranja skupinskih politik S klikom izberemo organizacijsko enoto, na katero je povezanih več Objektov skupinskih politik, nato pa v desnem podoknu Upraviteljskega vmesnika skupinskih politik s pomočjo smernih puščic spreminjamo vrstni red povezanih Objektov skupinske politike. Povezan Objekt skupinske politike, ki ima najnižjo zaporedno številko, bo procesiran zadnji, tisti z najvišjo pa prvi. Filtriranje uveljavljanja nastavitev s pomočjo uporabniških skupin S klikom izberemo Objekt skupinske politike, pri katerem želimo filtrirati uveljavljanje nastavitev glede na uporabniške skupine. V desnem podoknu Upraviteljskega vmesnika skupinskih politik v področju»security Filtering«kliknemo gumb»add«, ter preko pojavnega okna izberemo uporabniško skupino, za katero želimo uveljaviti nastavitve skupinske politike. V primeru, da kateri od navedenih uporabniških skupin želimo odvzeti pravico do uveljavljanja skupinske politike, kliknemo na želeno uporabniško skupino in jo nato s klikom na gumb»remove«odstranimo. Filtriranje uveljavljanja nastavitev s pomočjo WMI 5 filtrov S klikom izberemo Objekt skupinske politike, pri katerem želimo filtrirati uveljavljanje nastavitev glede na uporabo WMI filtra. V desnem podoknu Upraviteljskega vmesnika skupinskih politik v področju»wmi Filtering«iz spustnega seznama izberemo ustrezen predhodno ustvarjen WMI filter (WMI filtre, ki so na voljo vidimo v mapi»wmi Filters«(slika 6 ali 7). Pregled poročila o nastavitvah S klikom izberemo Objekt skupinske politike, o katerem želimo videti poročilo o nastavitvah. V desnem podoknu Upraviteljskega vmesnika skupinskih politik nato izberemo zavihek»settings«, v katerem se nam prikaže poročilo o nastavitvah. Za pregledovanje posameznih vnosov kliknemo na povezave»show All«ali»Show«na desni strani podokna. Ustvarjanje poročila o simulaciji vpliva nastavitev Objektov skupinskih politik na ciljne objekte Aktivnega imenika Z desnim klikom na mapi»group Policy Modeling«prikličemo pojavni meni, v katerem s klikom izberemo možnost»»group Policy Modeling Wizzard «, nato pa s pomočjo čarovnika povemo, za katere objekte v Aktivnemu imeniku in na kakšen način želimo izvesti simulacijo. Rezultat simulacije se pojavi kot podveja v mapi»group Policy Modeling«, s klikom na rezultat pa v desnem podoknu dobimo možnost pregledovanja poročila o simuliranih nastavitvah. Ustvarjanje poročila o rezultanti nastavitev Objektov skupinskih politik na ciljnih objektih Aktivnega imenika Z desnim klikom na mapi»group Policy Results«prikličemo pojavni meni, v katerem s klikom izberemo možnost»»group Policy Results Wizzard «, nato pa s pomočjo čarovnika povemo, za katere objekte v Aktivnemu želimo izvesti rezultanto. Rezultanta se pojavi kot podveja v mapi»group Policy Results«, s klikom na rezultanto pa v desnem podoknu dobimo možnost pregledovanja poročila o nastavitvah na ciljnem objektu Aktivnega imenika. 5 WMI - Windows Management Instrumentation je glavna tehnologija, ki nam zagotavlja upravljanje Windows operacijskih sistemov, tako lokalno, kot na daljavo. WMI filtriranje nam omogoča uveljavljanje nastavitev skupinskih politik glede na zahtevane lastnosti operacijskega sistema (npr. velikost pogona, tip procesorja, kapaciteto spomina,...) Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 24

32 3.1.4 Konfiguriranje nastavitev skupinskih politik V predhodnih dveh podpoglavjih so opisana vsa pomembnejša opravila, ki jih lahko izvajamo na posameznih Objektih skupinske politike ali elementih strukture Upraviteljskega vmesnika skupinskih politik. V tem podpoglavju pa si bomo ogledali, kako dejansko lahko konfiguriramo nastavitve, ki so na voljo v posameznem Objektu skupinske politike. Kot je že bilo nakazano, moramo najprej priti do glavnega okna uporabniškega vmesnika, v katerem so na voljo vse nastavitve (slika 8). Do le-tega pridemo tako, da z desnim klikom na izbran Objekt skupinske politike prikličemo pojavni meni, v katerem s klikom izberemo možnost»edit«. Nato v drevesni strukturi vseh nastavitev poiščemo področje nastavitev, katere želimo konfigurirati. V našem primeru smo si za potrebe predstavitve konfiguriranja nastavitev izbrali nastavitev gumba za vklop in izklop v Start meniju operacijskega sistema Microsoft Windows 7, katero najdemo pod uporabniškim delom nastavitev (User Configuration slika 8) v veji Administrative Templates\Start Menu and Taskbar, ime nastavitve pa je Change Start Menu power button. Na sliki 10 je prikazano tipično okno uporabniškega vmesnika za konfiguriranje nastavitev. Slika 10: Okno uporabniškega vmesnika za konfiguriranje izbrane nastavitve (Vir: Lastni) Pod številkami od 1 do 3 (slika 10) lahko izberemo tri možnosti za konfiguriranje izbrane nastavitve in sicer:»not Configured«možnost ne naredi nič, nastavitev ostane konfigurirana tako, kot je bila do sedaj.»enabled«možnost nam omogoči, da konfiguriramo nastavitev in sicer se nam ob izboru te možnosti v spodnjem levem delu okna označenega s številko 4 ponudi več možnosti, kako naj konfiguriramo izbrano nastavitev. Izbrana konfigurirana nastavitev obvelja, uporabnik je ne more spremeniti.»disabled«možnost ima v tem primeru isto funkcionalnost kot možnost»not Configured«, v drugih primerih pa je običajno uporabljena zato, da se uporabniku onemogoči dostop do izbrane nastavitve. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 25

33 Funkcionalnost izbrane možnosti (Not Configured, Enabled in Disabled) je opisana v spodnjem desnem delu okna označenega s številko 5 na sliki 10. Vsebino tega okna moramo vedno pozorno prebrati, da se lahko prepričamo kaj nam posamezna možnost prinese. Pri konfiguriranju nastavitev je še posebej pomembno, da smo pozorni na nastavitve, ki uporabljajo tako imenovano»negativno logiko«- primer: če želimo določeno nastavitev onemogočiti (recimo nastavitev za onemogočanje log datotek - Disable Logging), jo je potrebno konfigurirati na omogočeno (Enabled). V oknu za konfiguriranje nastavitev lahko v zgornje desno polje dodamo tudi svoj komentar izbrane nastavitve ali konfiguracije (označeno s številko 6 na sliki 10), pod številko 7 na sliki 10 pa lahko izvemo, na katerih operacijskih sistemih bo uveljavljanje te nastavitve sploh delovalo (v našem primeru Windows 7 in Windows Server 2008 R2). Na zgornjem delu vmesnika sta na voljo še dva gumba (označeno s številko 8 na sliki 10), s katerima se pomikamo naprej in nazaj med vsemi nastavitvami izbrane veje. Konfiguriranje nastavitve zaključimo s klikom na gumb»ok«, nato še zapremo okno uporabniškega vmesnika z vsemi nastavitvami in nova konfigurirana nastavitev prične veljati. Nastavitev lahko preverimo skozi podokno za poročila v Upraviteljskem vmesniku skupinskih politik. 3.2 NAPREDNO UPRAVLJANJE SKUPINSKIH POLITIK (AGPM) V sklopu upravljanja skupinskih politik, oziroma Objektov skupinskih politik, se nam lahko zgodi, da več skrbnikov spreminja nastavitve v Objektu skupinskih politik, ne, da bi vedelo eden za drugega, ali pa, da se uveljavijo spremembe nastavitev skupinskih politik ne, da bi jih sploh kdo predhodno testiral. Rezultat takega delovanja je lahko katastrofalen. Zato se samo po sebi zastavlja vprašanje, kako se izogniti takim situacijam, ter nasploh kako zagotoviti nadzor nad upravljanjem skupinskih politik. Odgovor bi seveda bil uvedba procesa upravljanja s spremembami (Change Management), potrebujemo pa še programsko orodje, ki nam bo ta proces tehnično podprlo. Kljub temu, da Upraviteljski vmesnik skupinskih politik omogoča delegiranje pravic upravljanja preko uporabniških skupin, pa sam po sebi ne zmore podpreti procesa upravljanja s spremembami, niti ne more preprečiti zgoraj opisane situacije. Eno izmed možnih orodij za podporo procesa upravljanja skupinskih politik je Microsoftova rešitev z imenom Napredno upravljanje skupinskih politik Advanced Group Policy Management (AGPM), ki je na voljo v okviru paketa tehnologij za upravljanje namizij - Microsoft Desktop Optimization Pack (MDOP). Orodje je brezplačno na voljo vsem strankam Microsofta, ki imajo podpisano količinsko pogodbo v kateri so vključene tako imenovane Software Assurance ugodnosti. Glavna značilnost tega orodja je, da se popolnoma integrira v Upraviteljski vmesnik skupinskih politik, ki ga že poznamo in na ta način ne obremenjuje informacijskega okolja z novimi zahtevami, obenem pa skrbnikom ne nalaga pretiranega učenja novih funkcionalnosti, kar bi se zgodilo, če te integracije ne bi bilo. Glavne prednosti, ki jih pridobimo z Naprednim upravljanjem skupinskih politik so naslednje: Nastavitve posameznega Objekta skupinske politike lahko konfiguriramo v tako imenovanem nepovezanem načinu (offline), kjer lahko nastavitve testiramo predno jih uveljavimo v produkcijskem okolju. Na centralno mesto shranjujemo vse različice posameznega Objekta skupinske politike, kar nam omogoča, da jih v primeru pojavitve kakršnegakoli problema lahko povrnemo na delujočo predhodno različico. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 26

34 Odgovornost za naloge konfiguriranja, odobravanja in pregledovanja Objektov skupinskih politik razporedimo med več ljudi, to pa storimo s pomočjo delegiranja članstva v posamezne vloge. Odstranimo možnost, da bi dva skrbnika konfigurirala nastavitve istega Objekta skupinske politike. Omogočeno je analiziranje in primerjanje posameznih različic istega Objekta skupinske politike ali pa dveh različnih Objektov skupinske politike med seboj. Poenostavimo ustvarjanje novih Objektov skupinske politike z uvedbo svojih predlog, v katerih konfiguriramo glavne tipične nastavitve. Dodelimo in nadzorujemo dostop do produkcijskega okolja. Omogočeno je izvažanje nastavitev Objekta skupinske politike v datoteko, ki jo lahko uporabimo za prenos iz testnega v produkcijsko okolje. Orodje za Napredno upravljanje skupinskih politik, je potrebno namestiti posebej, namestitev pa je dvodelna. Najprej moramo namestiti strežniški del, ki je odgovoren za shranjevanje Objektov skupinskih politik, njihov prenos v produkcijsko okolje Aktivnega imenika, ter delegiranje vlog pri upravljanju skupinskih politik. V našem primeru je nameščen kar na domenski krmilnik z imenom DC-Streznik, ki upravlja domeno raziskave.si. Ko je strežniški del nameščen, pa moramo namestiti še odjemalski del orodja preko katerega dejansko vršimo napredno upravljanje skupinskih politik. V primeru namestitve na strežnik je predpogoj že nameščen Upraviteljski vmesnik skupinskih politik, v primeru namestitve na odjemalca pa mora biti nameščena zbirka skrbniških orodij z imenom Remote Server Administration Tools (RSAT) z omogočenim Upraviteljskim vmesnikom skupinskih politik. Ko je orodje na odjemalcu nameščeno, se nam v že znanem Upraviteljskem vmesniku skupinskih politik v domenski veji pojavi element»change Control«, ki predstavlja vstopno točko za napredno upravljanje skupinskih politik slika 11. Slika 11: Napredno upravljanje skupinskih politik preko Upraviteljskega vmesnika skupinskih politik (Vir: Lasten) Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 27

35 Iz slike 11 lahko vidimo, da se upravljalni del orodja za napredno upravljanje skupinskih politik nahaja v desnem podoknu Upraviteljskega vmesnika skupinskih politik, ter, da je osnovno orodje za upravljanje skupinskih politik tudi v naprednem načinu (s podporo procesu upravljanja s spremembami) še vedno Upraviteljski vmesnik skupinskih politik, ki ga zaženemo na način, ki je opisan na začetku tega poglavja Podpora procesu upravljanja s spremembami Na sliki 12 je predstavljen proces, ki ga uporablja orodje za napredno upravljanje skupinskih politik v podporo procesu upravljanja s spremembami. Vključitev v nadzor Prenos v produkcijo Rezervacija Pregled zahteve Sprememba nastavitev Zahteva za odobritev Umik rezervacije Slika 12: Proces naprednega upravljanja skupinskih politik (Vir: Lasten) V procesu samem sodelujejo uporabniki, ki so (v idealnem primeru) lahko člani ene od štirih vlog pregledovalec (Reviewer), konfigurator (Editor), odobritelj (Approver) ter skrbnik (Full Control). V vsakem posameznemu koraku procesa sodeluje lahko le uporabnik, ki ima delegirano primerno vlogo. V prvem koraku se ali ustvari nov Objekt skupinske politike ali pa uvozi Objekt skupinske politike iz produkcije, tako, da se na ta način poskrbi, da je Objekt skupinske politike pod nadzorom orodja za napredno upravljanje skupinskih politik. V naslednjem koraku si uporabnik, ki želi spreminjati nastavitve določenega Objekta skupinske politike, najprej rezervira le-tega za konfiguracijo (v tem trenutku ta Objekt skupinske politike ni dosegljiv drugim uporabnikom), nato sledi sprememba in konfiguriranje nastavitev. Po končanem konfiguriranju se umakne rezervacija, ter obenem pošlje zahteva za odobritev sprememb. Zahteva za odobritev sprememb se pregleda, ter v primeru odobritve v zadnjem koraku prenese v produkcijsko okolje. Zahteva za odobritev sprememb se (če je strežnik za napredno upravljanje skupinskih politik tako nastavljen) pošlje uporabnikom v vlogi odobritelja v obliki elektronske pošte, tako, da le-tem ni potrebno vseskozi gledati in preverjati Upraviteljskega vmesnika skupinskih politik. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 28

36 3.2.2 Glavna opravila pri naprednem upravljanju skupinskih politik Glavna opravila, ki jih izvajamo preko Upraviteljskega vmesnika skupinskih v smislu naprednega upravljanja Objektov skupinskih politik so sledeča (predpostavljamo, da smo v drevesu domene in je izbrana mapa»change Control«slika 11, stran 26): Ustvarjanje novega Objekta skupinske politike Z desnim klikom na mapi»change Control«prikličemo pojavni meni, v katerem s klikom izberemo možnost»new Controlled GPO «, v pojavnem oknu vpišemo ime, izberemo mesto kreiranja (arhiv ali produkcija), izberemo predlogo na kateri temelji, ter počakamo, da čarovnik zaključi z delom. Ustvarjen nov Objekt skupinske politike je viden v seznamu na zavihku»controlled«orodja za napredno upravljanje skupinskih politik. Rezervacija Objekta skupinske politike za konfiguriranje Z desnim klikom na izbran Objekt skupinske politike v zavihku»controlled«prikličemo pojavni meni, v katerem s klikom izberemo možnost»check Out «, ter vpišemo komentar. Rezervacija je končana, ikona izbranega Objekta skupinske politike se obrobi z rdečo barvo. Konfiguriranje nastavitev Objekta skupinske politike Z desnim klikom na rezerviran Objekt skupinske politike v zavihku»controlled«prikličemo pojavni meni, v katerem s klikom izberemo možnost»edit«, nato se prikaže okno uporabniškega vmesnika v katerem lahko konfiguriramo vse nastavitve izbranega Objekta skupinske politike (slika 8 na strani 21). Konfiguriranje posameznih nastavitev nato poteka v skladu z že omenjenim postopku v podpoglavju 3.1.3). Umik rezervacije Objekta skupinske politike za konfiguriranje Z desnim klikom na rezerviran Objekt skupinske politike v zavihku»controlled«prikličemo pojavni meni, v katerem s klikom izberemo možnost»check In «, ter vpišemo komentar. Rezervacija je preklicana, obroba ikone izbranega Objekta skupinske politike se normalizira. Pregled konfiguriranih nastavitev Objekta skupinske politike Z desnim klikom na izbran Objekt skupinske politike v zavihku»controlled«prikličemo pojavni meni, v katerem s klikom izberemo možnost»settings«, pokaže se nov pojavni meni, iz katerega lahko izberemo dva formata in način v katerem bo izpisano poročilo o konfiguriranih nastavitvah. Na voljo imamo formata html in xml, na voljo pa je tudi način pregleda povezav. Odobritev nastavitev Objekta skupinske politike in prenos v produkcijo Z desnim klikom na čakajoč Objekt skupinske politike v zavihku»pending«prikličemo pojavni meni, v katerem s klikom izberemo možnost»approve«, ter vpišemo komentar, zatem pa še potrdimo prenos v produkcijsko okolje. V primeru, da nam spremembe niso všeč jih zavrnemo s klikom na možnost»reject«. Direktni prenos Objekta skupinske politike v produkcijo Z desnim klikom na izbran Objekt skupinske politike v zavihku»controlled«prikličemo pojavni meni, v katerem s klikom izberemo možnost»deploy «, preverimo povezavo na organizacijsko enoto s klikom na gumb»advanced «, ter potrdimo prenos v produkcijo s klikom na gumb»yes«marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 29

37 Vrstni red zgoraj naštetih opravil predstavlja pravilno zaporedje, ki ga moramo upoštevati za izvajanje procesa upravljanja s spremembami za napredno upravljanje skupinskih politik (glej predhodno podpoglavje 3.2.1). Kot je že bilo zapisano, poteka konfiguriranje posameznih nastavitev na enak način kot je opisan v podpoglavju Razlika je le v tem, da se vse akcije najprej zapišejo v bazo, katero kontrolira strežniški del orodja za napredno upravljanje skupinskih politik, šele nato se spremembe prenesejo (s pomočjo doslej opisanih akcij) v produkcijo, oziroma v Aktivni imenik Ostala pogosta opravila pri naprednem upravljanju skupinskih politik Brisanje Objekta skupinske politike Z desnim klikom na izbran Objekt skupinske politike v zavihku»controlled«prikličemo pojavni meni, v katerem s klikom izberemo možnost»delete «, nato v pojavnem oknu določimo mesto brisanja (arhiv ali produkcija), ter potrdimo izbris. Objekta skupinske politike ne vidimo več, vendar v resnici še ni izbrisan nahaja se v košu, ki ga lahko vidimo pod zavihkom»recycle Bin«, kjer ga lahko dokončno izbrišemo (z desnim klikom izberemo možnost»destroy «) ali pa obnovimo nazaj na staro mesto (z desnim klikom izberemo možnost»restore «). Pregled zgodovine Objekta skupinske politike Z desnim klikom na izbran Objekt skupinske politike v zavihku»controlled«prikličemo pojavni meni, v katerem s klikom izberemo možnost»history«, pokaže se okno v katerem lahko vidimo zgodovino izbranega Objekta skupinske politike. Pregled razlik v nastavitvah dveh Objektov skupinske politike Najprej izberemo dva Objekta skupinskih politik v zavihku»controlled«(ob izboru držimo pritisnjeno Control tipko na tipkovnici), nato pa z desnim klikom na enega od izbranih Objekt skupinske politike prikličemo pojavni meni, v katerem s klikom izberemo možnost»differences«, pokaže se nov pojavni meni, iz katerega lahko izberemo dva v katerem bo izpisano poročilo o razlikah v konfiguriranih nastavitvah. Na voljo imamo formata html in xml. Ustvarjanje predloge Objekta skupinske politike Z desnim klikom na izbran Objekt skupinske politike v zavihku»controlled«prikličemo pojavni meni, v katerem s klikom izberemo možnost»save as Template «, pokaže se okno v katerega vpišemo ime naše predloge in potrdimo kreiranje. Novo predlogo Objekta skupinske politike lahko vidimo pod zavihkom»templates«v vmesniku naprednega upravljanja skupinskih politik. Izvoz Objekta skupinske politike in njegovih nastavitev v datoteko Z desnim klikom na izbran Objekt skupinske politike v zavihku»controlled«prikličemo pojavni meni, v katerem s klikom izberemo možnost»export to «, pokaže se okno v katerega vpišemo ime datoteke in izberemo mesto kamor bomo datoteko shranili. Preimenovanje Objekta skupinske politike Z desnim klikom na izbran Objekt skupinske politike v zavihku»controlled«prikličemo pojavni meni, v katerem s klikom izberemo možnost»rename «, pokaže se okno v katerega vpišemo novo ime Objekta skupinske politike in komentar. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 30

38 3.3 OSTALA ORODJA Upraviteljski vmesnik skupinskih politik in orodje za napredno upravljanje skupinskih politik sta glavno orodje s pomočjo katerih upravljamo skupinske politike. Obstajajo pa še druga orodja, ki so lahko odlično dopolnilo, ter nam izdatno lahko pomagajo pri upravljanju, vzdrževanju in uveljavljanju skupinskih politik Skripte Upraviteljskega vmesnika skupinskih politik Upraviteljski vmesnik skupinskih politik (GPMC) nam preko vgrajenih COM 6 objektov omogoča, da s pomočjo zaganjanja ustreznih skript vršimo pravzaprav enake akcije, kot nam jih nudi uporabniški vmesnik. Vzorčne skripte so na voljo za prenos na Microsoftovih spletnih straneh (na spletu jih poiščemo z besedami: Group Policy Management Console Sample Scripts), privzeto pa se namestijo v mapo»c:\program Files (x86)\microsoft Group Policy\GPMC Sample Scripts«. V tabeli 4 so zapisane vse skripte, ki jih dobimo ob namestitvi. BackupAllGPOs.wsf BackupGPO.wsf CopyGPO.wsf CreateEnvironmentFromXML.wsf CreateGPO.wsf CreateMigrationTable.wsf CreateXMLFromEnvironment.wsf DeleteGPO.wsf DumpGPOInfo.wsf DumpSOMInfo.wsf FindDisabledGPOs.wsf FindDuplicateNamedGPOs.wsf FindGPOsByPolicyExtension.wsf FindGPOsBySecurityGroup.wsf FindGPOsWithNoSecurityFiltering.wsf FindSOMsWithExternalGPOLinks.wsf findorphanedgposinsysvol.wsf FindUnlinkedGPOs.wsf GetReportsForAllGPOs.wsf GetReportsForGPO.wsf GrantPermissionOnAllGPOs.wsf ImportAllGPOs.wsf ImportGPO.wsf ListAllGPOs.wsf ListSOMPolicyTree.wsf QueryBackupLocation.wsf RestoreAllGPOs.wsf RestoreGPO.wsf SetGPOCreationPermissions.wsf SetGPOPermissions.wsf SetGPOPermissionsBySOM.wsf SetSOMPermissions.wsf Tabela 4: Seznam vseh vzorčnih skript za upravljanje skupinskih politik Imena posameznih skript že sama po sebi povedo, v katere namene jih lahko uporabimo: varnostno kopiranje in povrnitev iz varnostnih kopij Objektov skupinske politike, kopiranje in uvoz Objektov skupinske politike, ustvarjanje in brisanje Objektov skupinske politike, iskanje in poročanje o Objektih skupinske politike, ter določanje uporabniških pravic na Objektih skupinske politike. Skripto zaženemo tako, da v okno ukazne vrstice napišemo ukaz»cscript ime_izbrane_skripte.vbs«- na sliki 13, smo za primer zagnali skripto ListAllGPOs.wsf, ki nam pokaže vse Objekte skupinske politike za testno domeno raziskave.si. Uporaba skript za upravljanje skupinskih politik je pomembna zaradi tega, ker nam omogočajo avtomatizacijo posameznih opravil. 6 COM (Component Object Mode) objekti omogočajo posameznim programskim komponentam, da lahko komunicirajo med seboj in so ena izmed pomembnejših tehnologij v Windows operacijskih sistemih, ter sestavni del aplikacij, ki delujejo v njih. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 31

39 Slika 13: Zagon skripte v oknu ukazne vrstice (Vir: Lastni) Eden od pomembnejših opravil je izdelava varnostnih kopij, ki jo s pomočjo skripte»backupallgpos.wsf» in urnika opravil lahko izvajamo samodejno glede na urnik opravila (vsak dan, vsako uro, ). Skripte lahko uporabljamo le ob predpogoju, da imamo že nameščen Upraviteljski vmesnik skupinskih politik Ukazna lupina Windows PowerShell Microsoft je z operacijskima sistemoma Microsoft Windows Server 2008 in Windows Vista uvedel nov uporabniški vmesnik ukazne vrstice, ki jo je poimenoval ukazna lupina Windows PowerShell, z njim pa je želel nadomestiti in izboljšati možnosti orodja ukazne vrstice, ki smo ga obravnavali v predhodnem podpoglavju Ukazna lupina Windows PowerShell kombinira klasične možnosti ukazne vrstice z novim skriptnim jezikom, ki praviloma skrbnikom sistemov omogočajo izvedbo avtomatizacije posameznih področij upravljanja informacijskih sistemov. Izvedba posameznih akcij se vrši preko v naprej pripravljenih opravil (cmdlets), ki so neke vrste programčki, ki jih izvajamo v ukazni vrstici. V tabeli 5 je seznam opravil, oziroma programčkov, ki so na voljo za upravljanje skupinskih politik. Backup-GPO Copy-GPO Get-GPInheritance Get-GPO Get-GPOReport Get-GPPermissions Get-GPPrefRegistryValue Get-GPRegistryValue Get-GPResultantSetOfPolicy Get-GPStarterGPO Import-GPO New-GPLink New-GPO New-GPStarterGPO Remove-GPLink Remove-GPO Remove-GPPrefRegistryValue Remove-GPRegistryValue Rename-GPO Restore-GPO Set-GPInheritance Set-GPLink Set-GPPermissions Set-GPPrefRegistryValue Set-GPRegistryValue Tabela 5: Seznam PowerShell opravil za upravljanje skupinskih politik. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 32

40 Da bi lahko uporabljali opravila, oziroma programčke iz Tabele 5, jih moramo najprej uvoziti v Windows PowerShell orodje. V ta namen zaženemo Ukazno lupino Windows PowerShell iz menija Start na način, da v iskalno okno levo spodaj vpišemo PowerShell in pritisnemo tipko»enter«na tipkovnici. V uporabniškem vmesniku orodja Windows PowerShell nato za uvoz zgoraj omenjenega seznama opravil, izvedemo ukaz»import-module grouppolicy«. S tem je ukazna lupina Windows PowerShell pripravljena za delo z Objekti skupinskih politik. Iz Tabele 5 lahko že iz imen opravil vidimo, da Windows PowerShell ukazna lupina ponuja še nekaj več možnosti za upravljanje skupinskih politik, kot skripti, ki so predstavljeni v predhodnem podpoglavju Poleg standardnih opravil, ki nam jih omogočajo skripti (varnostne kopije, poročanje, uvoz, ustvarjanje, brisanje), lahko z opravili ukazne lupine Windows PowerShell upravljamo povezave na organizacijske enote, dedovanje, ter vrednosti v registrih, ki so povezani s konfiguracijo preferenc. Opravilo zaženemo tako, da v okno ukazne lupine Windows PowerShell napišemo ukaz v obliki»ime_opravila -parametri«- slika 14 spodaj prikazuje primer zagona opravilo get-gpo s parametrom -all, ki nam pokaže vse Objekte skupinske politike za testno domeno raziskave.si. Slika 14: Zagon opravila»get-gpo all«v ukazni lupini Windows PowerShell (Vir: Lastni) Enako kot pri uporabi skript za upravljanje skupinskih politik je uporaba ukazne lupine Windows PowerShell pomembna zaradi tega, ker nam omogoča avtomatizacijo posameznih opravil. Windows PowerShell orodje z vgrajenimi opravili za upravljanje skupinskih politik je na voljo le na operacijskem sistemu Microsoft Windows Server 2008 R2, z nameščenim Upraviteljskim vmesnikom skupinskih politik in na operacijskem sistemu Microsoft Windows 7 z nameščeno zbirko skrbniških orodij z imenom Remote Server Administration Tools (RSAT), ter omogočenim Upraviteljskim vmesnikom skupinskih politik. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 33

41 3.3.3 Gpupdate.exe V trenutku, ko spremenimo nastavitve določenega Objekta skupinske politike, se lete še ne uveljavijo na ciljnih računalnikih. Potrebno je počakati na interval v katerem se zgodi procesiranje (osveževanje) skupinske politike ali pa moramo sprožiti ponovni zagon računalnika (kar pa v večini primerov ne bomo storili samo zato, da bi se skupinske politike lahko osvežile). Za primer, ko bi skupinske politike želeli osvežiti in uveljaviti takoj po spremembah, pa imamo v operacijskih sistemih od Microsoft Windows XP naprej na voljo orodje gpupdate.exe. To orodje zaganjamo na ciljnem računalniku v oknu ukazne vrstice in sicer v obliki»gpupdate /parameter«. Parametri nam omogočajo različno proženje osveževanja skupinskih politik in so naslednji: /Target:{Computer User} S tem parametrom določimo ali želimo osvežiti samo računalniški ali samo uporabniški del skupinskih politik /Force Parameter določa, da se ponovno uveljavijo vse nastavitve skupinskih politik. Privzeto se uveljavijo le nastavitve skupinskih politik, ki so se spremenile. /Wait:{value} S tem parametrom določimo koliko časa je potrebno čakati, da se procesiranje katerihkoli skupinskih politik zaključi. Privzeta vrednost je 600 sekund, vrednost 0 pomeni, da ne čakamo. /Logoff S tem parametrom določimo, da se po končanem procesiranju skupinskih politik samodejno odjavi trenutno prijavljenega uporabnika. To funkcionalnost potrebujemo v primerih, ko uveljavljamo skupinske politike, katerih nastavitve začnejo veljati šele po ponovni prijavi uporabnika na računalnik. /Boot S tem parametrom določimo, da se po končanem procesiranju skupinskih politik računalnik samodejno ponovno zažene. To funkcionalnost potrebujemo v primerih, ko uveljavljamo skupinske politike, katerih nastavitve začnejo veljati šele po ponovnem zagonu računalnika. To orodje je že privzeto vgrajeno v vse različice operacijskih sistemov od Microsoft Windows XP naprej (je del namestitve operacijskega sistema) Gpresult.exe To orodje uporabljamo, kadar želimo pregledati uveljavljene nastavitve skupinskih politik na določenem računalniku v obliki poročila. V bistvu ima orodje podobno funkcionalnost kot mapa»group Policy Results Wizzard «v Upraviteljskem vmesniku skupinskih politik, preko katere ustvarjamo poročila o rezultanti nastavitev Objektov skupinskih politik na ciljnih objektih Aktivnega imenika, ki je omenjeno na koncu podpoglavja Glavna razlika je v tem, da je gpresult.exe orodje ukazne vrstice, brez uporabniškega vmesnika. Ustvarjena poročila o uveljavljenih nastavitvah lahko pregledujemo v samem oknu ukazne vrstice ali pa jih shranimo v obliki datoteke. Kot je že omenjeno, orodje zaženemo na kateremkoli ustreznem računalniku v oknu ukazne vrstice in sicer v Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 34

42 obliki»gpresult /parameter«. Parametri nam omogočajo določanje obsežnost informacij, ki so prikazane v poročilu in so naslednji: /s <Computer> S tem parametrom določimo ime ali IP naslov oddaljenega računalnika za katerega želimo ustvariti poročilo. Privzeto je nastavljena obravnava računalnika na katerem smo prijavljeni (brez /s parametra). /u [<Domain>\]<UserName> S tem parametrom določimo domeno in uporabniško ime uporabnika s katerim želimo zagnati orodje gpresult. Privzeto zaganja orodje uporabnik, ki je trenutno prijavljen na računalniku. /p [<Password>] S tem parametrom določimo geslo za uporabniško ime uporabnika, ki je zapisan v pod parametrom /u /user [<TargetDomain>\]<TargetUser> S tem parametrom določimo domeno in uporabniško ime uporabnika za katerega želimo prikazati poročilo o uveljavljenih nastavitvah. /scope {user computer} S tem parametrom določimo ali želimo v poročilu prikazati samo uporabniški ali samo računalniški del uveljavljenih nastavitev. Če tega parametra ne uporabimo, se poročilo ustvari za oba dela (uporabniški in računalniški del). [/x /h] <FileName> S tem parametrom določimo, da poročilo shranimo v obliki datoteke in sicer imamo možnost izbire formata: /x za XML format, ter /h za HTML format /r, /v, /z S parametrom /r prikažemo samo povzetek poročila, s parametrom /v prikažemo detajlno poročilo, s parametrom /z pa zelo detajlno poročilo z vsemi podrobnostmi o uveljavljenih nastavitvah. Slika 15: Primer HTML poročila ustvarjenega z gpresult.exe (Vir: Lasten) Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 35

43 Uporaba orodja gpresult.exe je zaželena predvsem v primerih, ko želimo takoj izvedeti katere nastavitve skupinske politike so se uveljavile na ciljnih računalnikih, na ta način pa lahko tudi določimo ali se nastavitve uveljavljajo v skladu z našimi pričakovanji. To orodje je že privzeto vgrajeno v vse različice operacijskih sistemov od Microsoft Windows XP naprej (je del namestitve operacijskega sistema) ADMX Migrator Orodje ADMX Migrator nam pomaga hitro in enostavno pretvoriti lastne skrbniške ADM nastavitvene predloge v skrbniške ADMX nastavitvene predloge. Pretvorba je zaželena, saj so v novih operacijskih sistemih (Microsoft Windows Server 2008 / 2008 R2 in Microsoft Windows Vista / 7) prednostno v uporabi skrbniške ADMX nastavitvene predloge. Orodje je prosto na voljo na spletnih straneh Microsofta, na voljo pa je v dveh oblikah in sicer kot orodje ukazne vrstice ali kot»prava«aplikacija z uporabniškim vmesnikom. Namestitev in uporaba je enostavna. Poleg osnovne funkcije pretvorbe iz ADM formata v ADMX format skrbniških nastavitvenih predlog, pa nam omogoča tudi izdelavo lastnih skrbniških ADMX nastavitvenih predlog, ki jih lahko prilagodimo svojim željam in nato uporabimo v produkcijskem okolju. Izdelava je enostavna in poteka preko uporabniškega vmesnika, je pa potrebno kar nekaj znanja, da izdelamo pravilno in uporabno skrbniško ADMX predlogo Orodja drugih proizvajalcev programske opreme V tej nalogi so predstavljena orodja, ki so brezplačno na voljo s strani proizvajalca programske opreme Microsoft, obstajajo pa seveda tudi plačljiva orodja drugih proizvajalcev, ki pa jih podrobneje ne bomo predstavili. Pomembno je le, da vemo, da obstajajo, ter, da v njih lahko poiščemo funkcionalnosti, ki jih z Microsoftovimi orodji ne moremo zagotoviti. Najbolj znana orodja drugih proizvajalcev so: Group Policy Administrator, Change Guardian (vse NetIQ) GPOADmin (Quest), GPExpert (SDM Software) PowerBroker Desktops (BeyondTrust) Specops Deploy, Specops Inventory, Specops Command, Specops Password Policy, Specops Gpupdate (vse Special Operations Software) PolMan, ADM Template Editor, Policy Reporter, Group Policy Analysis Report (vse Sysprosoft) Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 36

44 4 UPRAVLJANJE INFORMACIJSKEGA OKOLJA S SKUPINSKIMI POLITIKAMI 4.1 UVOD V UPRAVLJANJE UPORABNIŠKEGA OKOLJA V vseh modernih organizacijah so od informacijskega sistema odvisni poslovni procesi, oziroma posledično uspešnost ali neuspešnost organizacije pri poslovanju. Zato je potrebno poskrbeti, da je informacijski sistem v čim boljši kondiciji, saj le tako lahko zagotovimo nemoteno in uspešno izvedbo poslovnih procesov v organizaciji. S pravilnim in učinkovitim upravljanjem informacijskega sistema to lahko tudi dosežemo, eden od ključnih področij upravljanja pa je upravljanje uporabniškega okolja. Kot osnovo za upravljanje uporabniškega okolja v informacijskem sistemu potrebujemo neko tehnologijo, ki nam to omogoča. V tej nalogi v tej vlogi nastopa tehnologija skupinskih politik, s pomočjo katere želimo vzpostaviti varno, robustno, uporabniku prijazno in fleksibilno uporabniško okolje, ki bo zadovoljilo tako uporabnike, kot informacijske podporne službe, ter nenazadnje nudilo ustrezno podporo poslovnemu okolju organizacije. Upravljanje uporabniškega okolja si lahko predstavljamo kot upravljanje računalnikov (strežnikov, delovnih postaj, prenosnih računalnikov) in uporabnikov (v vlogah običajnih uporabnikov, gostov in skrbnikov), ki se na njih prijavljajo. S pomočjo nastavitev za ti dve kategoriji upravljanja določimo način in pogoje pod katerimi lahko uporabniki dostopajo do informacijskih virov. Skupinske politike v zadnji inačici ponujajo preko 3000 osnovnih nastavitev, ki nam to pomagajo doseči, seveda ob primernem načrtovanju in uporabi le teh (glavne kategorije nastavitev so že opisane v tabeli 1 v podpoglavju 2.3). Zaželeno je seveda, da se čim bolj seznanimo s posameznimi možnostmi nastavitev, tako, da lahko že v naprej predvidevamo kaj je možno in kaj ne. Da bi upravljanje doseglo svoj namen, moramo najprej preučiti, kaj od nas zahteva poslovno okolje, kateri poslovni procesi se odvijajo, kakšen je informacijski sistem organizacije, ter kakšne so vloge posameznih uporabnikov, tako z vidika poslovnih procesov, kot z vidika informacijskega sistema. Ko so te stvari jasne, se lahko lotimo oblikovanja osnovnih izhodišč, na podlagi katerih lahko nato upravljamo uporabniško okolje. Predno pričnemo s tehničnim začetkom upravljanja uporabniškega okolja je potrebno določiti osebe, oziroma uporabnike ali uporabniške skupine, ki bodo to močno orodje za upravljanje lahko uporabljale na posameznih nivojih organizacije. Prvi tehnični korak za uspešno izvajanje upravljanja uporabniškega okolja s skupinskimi politikami je izvedba izgradnje primerne strukture organizacijskih enot v Aktivnemu imeniku. Na podlagi te strukture bomo razporejali računalnike in uporabnike v ustrezne organizacijske enote, preko katerih bodo le-ti lahko»prejemali«nastavitve. Ob načrtovanju strukture organizacijskih enot moramo imeti v mislih tudi že posamezne nastavitve skupinskih politik, tukaj mislimo predvsem na tiste nastavitve, ki bodo globalno vplivale na vse uporabnike in/ali računalnike. Naslednji tehnični korak ob izgrajeni strukturi organizacijskih enot pa je kreiranje Objektov skupinskih politik v katerih konfiguriramo standardne nastavitve za Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 37

45 računalnike in/ali uporabnike. Pri konfiguriranju nastavitev je potrebno biti previden, saj lahko že z eno napačno nastavitvijo ohromimo celoten informacijski sistem. Glavni cilj uvedbe standardnih nastavitev je, da se uporabniško okolje čim bolj poenoti, saj le na ta način lahko dosežemo visoko stopnjo standardizacije, ki nam omogoča doseči zgoraj omenjene cilje upravljanja. Popolne standardizacije se sicer ne da doseči, vendar se je potrebno potruditi, da jo uresničimo v čim večji možni meri, saj so koristi precej večje od slabosti. Upravljanje uporabniškega okolja je proces, ki se nikoli ne konča. Vzrok je v tem, da je organizacija s pripadajočim informacijskim sistemom živ organizem, ki se stalno spreminja, temu primerno pa moramo zato tudi vseskozi prilagajati upravljanje uporabniškega okolja. 4.2 TESTNO OKOLJE Za namene raziskovanja koncepta delovanja, konfiguriranja in uveljavljanja nastavitev skupinskih politik je vzpostavljeno testno okolje, ki simulira tipično Windows domensko okolje, ki se uporablja v informacijskih sistemih organizacij. Testno okolje je sicer minimalistično zasnovano, kljub temu pa izpolnjuje vse pogoje za upravljanje uporabniškega okolja s skupinskimi politikami. S pomočjo testnega okolja bomo tudi oblikovali predlog strukture organizacijskih enot v Aktivnemu imeniku, predloge standardnih nastavitev skupinskih politik tako za uporabnike kot računalnike, ter prikazali, kako se lahko lotimo upravljanja nastavitev posameznih aplikacij. V vsakem primeru pa je priporočljivo, da je v vsaki organizaciji poleg produkcijskega vzpostavljeno tudi primerljivo testno okolje, saj le na ta način lahko predhodno preizkusimo vplive konfiguriranih nastavitev skupinskih politik. Ko so konfigurirane nastavitve dovolj preizkušene pa jih lahko prenesemo v produkcijsko okolje Sestava testnega okolja Testno okolje je vzpostavljeno v obliki navideznega informacijskega okolja za katerega poskrbi virtualizacijska 7 rešitev Vmware Workstation, ki jo je mogoče namestiti na Windows ali Linux gostitelja. Namestili smo različico za Windows okolje, ki je za preizkus brezplačno na voljo na domači spletni strani proizvajalca rešitve Vmware. Z virtualizacijo si pomagamo zato, ker so današnje delovne postaje dovolj zmogljive, da lahko gostijo več navideznih računalnikov, obenem pa je tak način testiranja tudi bolj praktičen in navsezadnje cenejši, kot nabava dveh novih (fizičnih) računalnikov. V navideznem testnem okolju se nahajata dva navidezna Vmware računalnika, ki sta omrežno povezana v domeno raziskave.si. Prvi navidezni računalnik predstavlja strežnik v vlogi domenskega krmilnika domene raziskave.si s pripadajočim Aktivnim imenikom in DNS strežnikom in predstavlja srce testnega okolja. Ime strežnika je DC-Streznik, na njem teče operacijski sistem Microsoft Windows Server 2008 R2 Standard z nameščenim servisnim paketom številka 1. Kot omenjeno, je to strežnik domene raziskave.si, katere funkcionalnost je na nivoju Windows Server 2008 R2. Na njem je omogočen Upraviteljski vmesnik 7 Virtualizacija je način kako strojne vire fizičnega računalnika (gostitelj) s pomočjo virtualizacijske programske rešitve dodelimo večim navideznim računalnikom (gost). Rezultat virtualizacije je v končni fazi vedno nek navidezen stroj, ki ga ne moremo»otipati«marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 38

46 skupinskih politik (GPMC), nameščen pa je tudi strežniški in odjemalski del orodja za napredno upravljanje skupinskih politik različice 4.0 (AGPM), ter orodje za migracijo skrbniških nastavitvenih predlog ADMX migrator. Drugi navidezni računalnik nastopa v vlogi tipičnega odjemalca (delovna postaja uporabnika) in je član domene raziskave.si, v katero je povezan preko internega omrežja navideznega testnega okolja. Ime računalnika je Win7-DelovnaPostaja na njem teče operacijski sistem Microsoft Windows 7 Enterprise z nameščenim servisnim paketom številka 1 (angleška jezikovna različica). Na njem je nameščena tudi zbirka skrbniških orodij z imenom Remote Server Administration Tools (RSAT) preko katerih je omogočen Upraviteljski vmesnik skupinskih politik (GPMC). Dodatno je nameščen še pisarniški paket Microsoft Office 2010, ter spletni brskalnik Google Chrome. Na sliki 16 je prikazan tehnični povzetek obeh navideznih računalnikov testnega okolja. Slika 16: Tehnični povzetek računalnikov v testnem okolju (Vir: Lastni) Namestitveni mediji za operacijski sistem Windows Server 2008 in Windows 7, ter pisarniški paket Office 2010 so pridobljeni iz naročnine na storitev Microsoft Technet Plus, ki je namenjena vsem testerjem in razvijalcem Centralno skladišče skrbniških ADMX in ADML predlog Glede na priporočila je potrebno za konsistentno upravljanje skupinskih politik vzpostaviti centralno skladišče skrbniških ADMX nastavitvenih predlog in skrbniških ADML jezikovnih predlog, ki omogočajo vsem skrbnikom enako podlago za konfiguriranje nastavitev. V ta namen zato na strežniku v vlogi domenskega krmilnika najprej ustvarimo novo mapo z imenom»policydefinitions«na mestu»c:\windows\sysvol\sysvol\raziskave.si\policies\«. V na novo ustvarjeni mapi»policydefinitions«pa kreiramo še eno mapo z imenom»en-us«(privzet jezik je angleščina). Nato moramo iz odjemalskega računalnika (operacijski sistem Microsoft Windows 7) v to novo ustvarjeno mapo prenesti še vse skrbniške ADMX nastavitvene predloge in pripadajoče skrbniške ADML jezikovne predloge, kar najlaže storimo kar z uporabo xcopy orodja ukazne vrstice za kopiranje datotek: Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 39

47 ukaz za kopiranje skrbniških ADMX nastavitvenih predlog: xcopy %systemroot%\policydefinitions\* logonserver%\sysvol\%userdnsdomain%\policies\policydefinitions ukaz za kopiranje skrbniških ADML jezikovnih predlog (angleščina): xcopy %systemroot%\policydefinitions\en-us\* logonserver%\sysvol\%userdnsdomain%\policies\policydefinitions\en-us\ Kopiranje seveda izvedemo z uporabnikom, ki je v vlogi domenskega skrbnika, saj ima le ta pravice za pisanje po SYSVOL mapi domenskega krmilnika. Z uspešnim kopiranjem smo vzpostavili centralno skladišče skrbniških ADMX in ADML predlog, kar lahko preverimo v Upraviteljskem vmesniku skupinskih politik, kjer mora v vmesniku za konfiguriranje nastavitev v veji z skrbniškimi predlogami pisati sledeče besedilo:»policy definitions (ADMX files) retrieved from the Central Store«, kar je prikazano tudi spodaj na sliki 17. Slika 17: Centralno skladišče skrbniških ADMX nastavitvenih in ADML jezikovnih predlog (Vir: Lastni) 4.3 IZGRADNJA STRUKTURE ORGANIZACIJSKIH ENOT Organizacijska enota predstavlja logično enoto Aktivnega imenika, v katero združujemo objekte Aktivnega imenika domene. Posamezne organizacijske enote lahko vsebujejo naslednje objekte Aktivnega imenika: Računalnike Kontakte Uporabniške skupine Tiskalnike Deljene mape Uporabnike Naša pozornost je namenjena predvsem računalnikom in uporabnikom, saj njihovo članstvo v posamezni organizacijski enoti omogoča, da bodo»prejeli«ustrezne nastavitve iz Objektov skupinskih politik, ki so povezani na njihove organizacijske enote. Pomembno je tudi dejstvo, da določena organizacijska enota lahko vsebuje Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 40

48 tudi drugo organizacijsko enoto, le-ta pa lahko vsebuje še tretjo organizacijsko enoto in tako naprej. To nadalje pomeni, da lahko po svojih željah oblikujemo strukturno drevo organizacijskih enot, preko katerega nato lahko zelo granularno upravljamo uporabniško okolje s konfiguriranimi nastavitvami skupinskih politik. Izgradnja primerne strukture organizacijskih enot v Aktivnemu imeniku je ključnega pomena za uspešno izvajanje upravljanja uporabniškega okolja s skupinskimi politikami. Pristopov pri načrtovanju in gradnji strukture organizacijskih enot v Aktivnemu imeniku je več, osnovno vodilo pa naj bi bilo, da se oblikuje taka struktura, ki bo omogočala čim bolj preprosto upravljanje, tako v smislu uveljavljanja nastavitev, kot skrbniških opravil. Pri tem je potrebno vedeti, da se z upravljanjem ukvarjajo predvsem skrbniki, zato mora biti struktura organizacijske enote predvsem prijazna do njih in njihovega pogleda na informacijski sistem organizacije. Samo načrtovanje nikoli ni lahko, zato je najboljše, da vzamemo v roke papir in večkrat preigramo vse potencialne scenarije na podlagi katerih želimo upravljati uporabniško okolje. V vsakem primeru pa moramo že pri začetnem načrtovanju strukture organizacijskih enot imeti predstavo, katere nastavitve želimo uveljaviti, ter katerim uporabnikom bodo zaupana posamezna skrbniška opravila v tej strukturi. Običajno je struktura organizacijskih enot sestavljena iz več nivojev, pri čemer vrhnji (korenski ali prvi) nivoji določajo neke skupne lastnosti (kot so na primer geografsko področje, organizacijska enota organizacije, stroškovno mesto) na podlagi katerih nato vanje združujemo objekte Aktivnega imenika (računalnike, uporabnike). Z nadaljnjimi nivoji uveljavljamo nastavitve, ki so lastne samo organizacijskim enotam na teh nivojih, saj je vrhnji, prvi nivo vedno le najmanjši skupni imenovalec vseh želja po nastavitvah. Tipični pristopi pri izgradnji strukture organizacijskih enot Aktivnega imenika so naslednji: Oddelčna struktura Z oddelčno strukturo organizacijskih enot se posnema organiziranost organizacije v obliki oddelkov. Prednost take strukture je, da jo že vsi uporabniki»naravno«poznajo in jo dobro razumejo. Slabost take strukture pa je, da jo bo po vsej verjetnosti potrebno ponovno oblikovati, če pride do reorganizacije ali prestrukturiranja. Na vrhnjih nivojih imamo organizacijske enote, ki predstavljajo posamezne oddelke, vsaka oddelčna organizacijska enota pa ima na naslednjem nivoju dve organizacijski enoti eno za uporabnike in drugo za računalnike. Geografska struktura Z geografsko strukturo organizacijskih enot želimo vzpostaviti upravljanje na podlagi geografske lokacije. V tej strukturi so na vrhnjih nivojih organizacijske enote, ki predstavljajo največje geografske enote celine, na drugem nivoju pa so organizacijske enote, ki predstavljajo naslednjo manjšo geografsko enoto države. Prednosti take strukture je več. Geografska struktura je precej stabilna, saj se organizacije velikokrat reorganizirajo interno na posameznih lokacijah, zelo redko pa v globalnem geografskem smislu. Ime lokacije pa tudi že samo po sebi pove, kje se uporabnik ali računalnik nahaja. Prva slabost take strukture je, da bi neka taka globalna organizacija imela vse uporabnike in računalnike v eni domeni, kar pomeni nehvaležno replikacijo posameznih sprememb po vseh lokacijah (celinah!). Druga slabost pa je, da struktura ne odraža organiziranosti organizacije (npr. v obliki oddelkov). Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 41

49 Stroškovna struktura Stroškovna struktura organizacijskih enot odraža stroškovna mesta organizacije. Na vrhnjem nivoju se nahajajo organizacijske enote, ki predstavljajo glavna stroškovna mesta organizacije, organizacijske enote nižjih nivojev pa lahko prestavljajo geografsko lokacijo ali oddelčno organizacijo. Za organizacije, kjer je najbolj pomemben proračun in obvladovanja stroškov je taka struktura prav gotovo primerna. Tipska struktura Tipska struktura organizacijskih enot odraža način, kako upravljamo z uporabniki in računalniki. Na vrhnjem nivoju se nahajajo organizacijske enote, ki predstavljajo glavne skupine uporabnikov ter računalnikov, na naslednjih nivojih pa so razdeljeni v organizacijske enote, ki predstavljajo posamezne tipe uporabnikov in računalnikov. Prednost je prav gotovo zmožnost uveljavljanja nastavitev politik glede na tip uporabnika ali računalnika, slabost pa je, da struktura ne odraža organiziranosti organizacije (npr. v obliki oddelkov). Naštete možne strukture organizacijskih enot so prikazane spodaj na sliki 18. Slika 18: Možne strukture organizacijskih enot (Vir: Lastni) Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 42

50 4.4 PREDLOG STRUKTURE ORGANIZACIJSKIH ENOT Predlog strukture organizacijskih enot, ki je predstavljen v tem razdelku, se nanaša na tipično organizacijo, ki se ukvarja z nabavo in prodajo, katere glavni sestavni deli (organizacijsko gledano) so posamezni oddelki. To pa seveda ne pomeni, da predlog strukture ne ustreza organizaciji kakšne druge panoge, prav nasprotno, večina organizacij je običajno organiziranih s pomočjo oddelkov, zato je ta predlog ustvarjen predvsem z mislijo na oddelčno organizirane organizacije, pri čemer je sama panoga v kateri deluje organizacija relativno nepomembna. Če se za trenutek še malo ozremo v predhodno poglavje 4.3, lahko v zvezi z vsemi predstavljenimi tipičnimi strukturami ugotovimo, da ima vsaka nekaj dobrih lastnosti in nekaj slabih. Glavna zahteva pri oblikovanju predloga je bila, da mora struktura odražati, tako organizacijsko strukturo organizacije, kot tudi informacijska področja upravljanja, kar pomeni, da nobena tipična struktura organizacijskih enot predstavljena v predhodnem poglavju 4.3 ne ustreza našim zahtevam. Oddelčna struktura ne upošteva informacijskega vidika, tipska struktura pa ne upošteva organizacijskega vidika. Zato nam ne preostane nič drugega, kot, da združimo obe omenjeni strukturi v eno in sicer v tako imenovano hibridno tipsko-oddelčno strukturo, ki je predstavljena na sliki 19 spodaj. Slika 19: Predlog strukture organizacijskih enot (Vir: Lastni) Podrobnejšo razlago predloga strukture organizacijskih enot lahko začnemo na vrhu slike 19, kjer je s številko 1 označena domena Aktivnega imenika raziskave.si in predstavlja vrhnji nivo pod katerim lahko dodajmo želene organizacijske enote. Takoj pod oznako domene se nahaja organizacijska enota»domain Controllers«(številka 2 na sliki 19), ki je privzeto ustvarjena ob namestitvi Aktivnega imenika, v njej pa se (privzeto) nahajajo strežniki v vlogi domenskega krmilnika. Naslednji nivo, ki je označen s številkami 3, 4 in 5 predstavlja vrhnji nivo naše hibridne strukture organizacijskih enot in sicer je zastopan s tremi organizacijskimi enotami v katere združujemo strežnike (OE Strezniki), računalnike (OE Racunalniki) in uporabnike (OE Uporabniki). Za tak vrhnji nivo smo se odločili zato, ker na ta Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 43

51 način poskrbimo, da se skrbniki lahko enostavno orientirajo glede na tip objekta, katerega želijo upravljati. Kot bo povedal vsak skrbnik, so običajno nastavitve za strežnike različne od tistih, ki jih uporabljajo računalniki, popolna zgodba zase pa so uporabniki in njihove nastavitve. Pod organizacijsko enoto OE Strezniki, se nahajajo organizacijske enote drugega nivoja te veje OE Clanski Strezniki, OE Grucni Strezniki, OE Varnostni Strezniki in OE Navidezni Strezniki. Ime posamezne organizacijske enote pove kateri tip strežnikov se nahaja v posamezni organizacijski enoti, razdelitev strežnikov še v drugi nivo pa je potrebna zato, ker posamezni tipi strežnikov pač zahtevajo svoje nastavitve. Veliko sodobnih organizacij ima v svojem informacijskem sistemu nameščene navidezne strežnike dveh glavnih virtualizacijskih tehnologij, Vmware in Hyper-V. Posledično je organizacijska enota OE Navidezni Strezniki razdeljena še v dve organizacijski enoti tretjega nivoja - OE HyperV Strezniki in OE Vmware Strezniki (številka 6 na sliki 19), s pomočjo katerega bolj granularno upravljamo tudi ta tip strežnikov. Če gremo naprej, imamo pod organizacijsko enoto OE Racunalniki na drugem nivoju prisotni dve organizacijski enoti OE Delovne Postaje in OE Prenosniki (številki 7 in 8 na sliki 19), ki predstavljata dva različna tipa računalnikov. Za tako strukturo na drugem nivoju te veje smo se odločili zato, ker je okolje delovanja teh dveh tipov računalnikov povsem različno. Delovne postaje se vedno nahajajo v pisarnah, prenosniki pa se pretežno nahajajo na terenu in so običajno le malo časa prisotni na fizični lokaciji organizacije. Mobilnost prenosnikov in njihovo upravljanje zahteva specifične nastavitve, zato je taka ločitev povsem logična. Obe dve organizacijski enoti imata pod seboj še strukturo organizacijskih enot na tretjem nivoju, ki pa odraža organizacijsko strukturo organizacije z organizacijskimi enotami, ki predstavljajo posamezne oddelke. Če pogledamo na sliko 19, lahko vidimo, da struktura oddelčnih organizacijskih enot pod organizacijsko enoto OE Delovne Postaje in organizacijsko enoto OE Prenosniki ni enaka, to pa zato, ker v vseh oddelkih ne uporabljajo delovnih postaj (v našem primeru oddelek vodstva), prav tako pa je uporaba prenosnikov na voljo le nekaterim oddelkom (v našem primeru oddelkom informatike, marketinga in vodstva). Oddelčna struktura organizacijskih enot na tretjem nivoju omogoča, da upravljamo nastavitve specifičnih aplikacij in orodij, ki niso enaka v vseh oddelkih. Zadnja veja, ki jo je še potrebno predstaviti, pa je veja pod organizacijsko enoto OE Uporabniki, ki ima na drugem nivoju vzpostavljene oddelčne organizacijske enote vseh oddelkov organizacije (OE Informatika, OE Kadrovska, OE Marketing, OE Nabava, OE Prodaja, OE Racunovodstvo, OE Skladisce in OE Vodstvo). V te organizacijske enote razporejamo uporabnike, oziroma uporabniške račune v domeni, seveda glede na oddelek uporabnika v katerem le-ta opravlja svoje delo. Kljub težnji k čim večji standardizaciji pa uporabniki posameznih oddelkov vseeno potrebujejo ločeno obravnavo na določenih področjih, zato je taka struktura povsem upravičena. Kot smo videli (slika 19) je oddelčna struktura organizacijskih enot prisotna pod organizacijskima enotama OE Racunalniki in OE Uporabniki, ne pa tudi OE Strezniki. Razlog za to je preprost, saj strežniki običajno ne»domujejo«v posameznih oddelkih, tako kot računalniki in uporabniki, njihov»dom«pa je običajno stacioniran v enem oddelku in sicer oddelku informatike. Predlagana struktura organizacijskih enot Aktivnega imenika nam omogoča veliko možnosti predvsem natančno usmerjenega upravljanja, tako v smislu nastavitev, kot delegiranja pravic. Glavna slabost te strukture je, da, če pride do reorganizacije ali Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 44

52 prestrukturiranja organizacije potem potrebno ponovno oblikovati oddelčne strukture, kar pa v našem primeru niti ni tako grozno, saj je oddelčna struktura na koncu drevesa organizacijskih enot bolj pomembno je, da ohranimo vrhnje nivoje nedotaknjene. Ob predstavljenem predlogu je potrebno še omeniti, da se predpostavlja, da organizacija deluje le na enem geografskem področju (mesto, pokrajina, država), če temu ni tako in bi potrebovali še geografske organizacijske enote na vrhu strukture, jih zgolj vpeljemo kot organizacijske enote prvega nivoja, pod vsako izmed njih pa uporabimo zgoraj predstavljen predlog strukture organizacijskih enot. 4.5 USTVARJANJE NOVIH OBJEKTOV SKUPINSKIH POLITIK Takoj, ko imamo izgrajeno osnovno strukturo organizacijskih enot, se lahko lotimo tudi ustvarjanja novih Objektov skupinskih politik s pomočjo katerih bomo dejansko upravljali uporabniško okolje s skupinskimi politikami. Ustvarjanje novih Objektov skupinskih politik se ne sme začeti, dokler si ne razjasnimo dveh osnovnih stvari. Prva je, da moramo natančno vedeti katere nastavitve želimo konfigurirati znotraj Objekta skupinskih politik. Druga stvar pa je, da moramo vedeti na katere organizacijske enote bomo na novo ustvarjene skupinske politike povezali, oziroma katere dele strukture in objektov želimo upravljati s skupinskimi politikami. Obstoj novega Objekta skupinske politike brez ali s slabo konfiguriranimi nastavitvami ni smiseln, v najslabšem primeru pa ob neprimerni povezanosti na organizacijske enote lahko povzroči tudi škodo v informacijskem sistemu organizacije, oziroma posledično zastoj pri izvajanju poslovnih procesov. Ob načrtovanju pred dejanskim ustvarjanjem novih Objektov skupinskih politik je potrebno poleg nastavitev in izvedbe povezav upoštevati tudi ali se bo izvedlo dedovanje konfiguriranih nastavitev na nižje nivoje, ter ali bo struktura organizacijskih enot zadostovala za uveljavitev nastavitev pri vseh ciljnih objektih. Dedovanje je zelo pomembna lastnost in jo poizkušamo izkoriščati v čim večji meri, saj si na ta način zelo poenostavimo upravljanje in uveljavljanje nastavitev skupinskih politik. Postopek za ustvarjanje novih objektov skupinskih politik je relativno enostaven in hiter, opisan pa je že v podpoglavju (z Upraviteljskim vmesnikom skupinskih politik) in v podpoglavju (preko orodja za napredno upravljanje skupinskih politik), pri čemer je zaželena uporaba slednjega postopka. Po kreiranju novega Objekta skupinskih politik ima le-ta sledeče karakteristike: Nobena nastavitev ni konfigurirana (prazen Objekt skupinske politike, razen če ne uporabimo že katere od predlog). Objekt skupinske politike je omogočen (stanje). Oba dela nastavitev, tako računalniški kot uporabniški, sta aktivna in na voljo za konfiguriranje. Po konfiguriranju nastavitev pa nam, kot je bilo že večkrat rečeno, preostane še povezovanje novega Objekta skupinske politike na izbrano organizacijsko enoto. Tudi ta postopek je že opisan v podpoglavju Pri ustvarjanju novih Objektov skupinskih politik moramo biti zbrani in natančni, zelo pomembno pa je, da na koncu vse konfigurirane nastavitve in spremembe povezav ustrezno dokumentiramo! Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 45

53 4.6 NASTAVITVE RAČUNALNIŠKEGA DELA SKUPINSKIH POLITIK V tem delu se bomo posvetili konfiguriranju posameznih nastavitev računalniškega dela skupinskih politik, torej konfigurirali bomo nastavitve, s katerimi predvsem upravljamo konfiguracijo operacijskega sistema. Nastavitev je veliko, mi pa se bomo poizkušali osredotočiti predvsem na tiste najpomembnejše. Konfigurirane bodo nastavitve dveh Objektov skupinskih politik in sicer Default Domain Policy in OE Racunalniki (ustvarjen na novo). Objekt skupinskih politik OE Racunalniki je povezan na organizacijsko enoto OE Racunalniki slika 20 spodaj: Slika 20: Lokacija skupinske politike OE Racunalniki (Vir: Lastni) V Objektu skupinskih politik OE Racunalniki smo onemogočili uporabniški del nastavitev, saj jih ne potrebujemo. Konfigurirane nastavitve bomo z dedovanjem uveljavljali na računalniku Win7-DelovnaPostaja, ki se nahaja v organizacijski enoti OE Delovne Postaje Informatika, kot je prikazano na sliki 21 spodaj: Slika 21: Lokacija delovne postaje Win7-DelovnaPostaja (Vir: Lastni) Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 46

54 4.6.1 Nastavitev politike gesel Politika gesel je v vsakem informacijskem sistemu temeljna politika, ki določa, na kakšen način in pod katerimi pogoji uporabniki dostopajo do informacijskih virov. Z njo v bistvu določamo stopnjo varnosti v informacijskem sistemu, tehnologija skupinskih politik pa nam omogoča, da jo tudi udejanjimo in striktno uveljavljamo v tehničnem smislu. Ker želimo politiko gesel uveljavljati v vsej organizaciji, je zato primerno, da nastavitve konfiguriramo v Objektu skupinskih politik Default Domain Policy, ki se nahaja na vrhu drevesne strukture Aktivnega imenika in tako vpliva na vse objekte v upravljani domeni (raziskave.si). Nastavitve za gesla najdemo v strukturi drevesa Objekta skupinskih politik na mestu Computer Configuration/Policies/Windows Settings/Security Settings/Account Policies/, kjer konfiguriramo dve kategoriji nastavitev in sicer Password Policy, ter Account Lockout Policy. V Password Policy nastavitvah konfiguriramo sledeče: Enforce password history 24 passwords remembered Maximum password age 120 days Minimum password age 1 days Minimum password length 14 characters Password must meet complexity requirements Enabled Store passwords using reversible encryption Disabled Tako konfigurirane nastavitve določajo, da mora biti geslo uporabnika dolgo vsaj 14 znakov, geslo je potrebno menjati vsakih 120 dni, geslo mora biti»staro«vsaj en dan pred naslednjo menjavo, ob menjavi se upošteva zgodovina 24-ih že uporabljenih gesel, geslo se shrani s pomočjo nereverzibilne enkripcije, vključena pa je tudi kompleksnost gesla, kar pomeni, da mora geslo vsebovati eno veliko črko angleške abecede, eno malo črko angleške abecede, eno število od 0 do 9 in en poseben znak (!,@,?, ). V Account Lockout Policy nastavitvah konfiguriramo sledeče: Account lockout duration Account lockout threshold Reset account lockout counter after 0 minutes 5 invalid logon attempts 20 minutes Tako konfigurirane nastavitve določajo da ima uporabnik na voljo pet poskusov za prijavo, ko petič vnese napačno geslo se uporabnik zaklene in ostane zaklenjen (nastavitev 0 minutes) ne more več dostopati do računalnika, oziroma posledično do informacijskega sistema. Po 20 minutah se števec poskusov vrne na nič. S temi nastavitvami želimo potencialnim napadalcem preprečiti, da bi uganili geslo ali pa, da bi s pomočjo generatorja gesel prišli do informacijskega sistema. V Objektu skupinskih politik Default Domain Policy pa konfiguriramo še eno nastavitev, za katero želimo, da velja za celotno domeno in sicer kateri uporabniki imajo pravico, da računalnik pridružijo domeni. To nastavitev konfiguriramo zato, da dodamo možnost dodajanja računalnikov v domeno tudi za uporabnike, ki niso skrbniki domene (ali pa celo izključno njim). Nastavitev najdemo v strukturi drevesa Objekta skupinskih politik na mestu Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies//User Rights Assignment, njeno ime pa je Add workstations to domain, konfiguriramo pa jo z vrednostjo Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 47

55 »RAZISKAVE\Skrbniki-Racunalnik-v-domeno«, ki predstavlja uporabniško skupino domene, v katero potem dodajamo uporabnike, kateri potrebujejo to pravico Splošne varnostne nastavitve Nastavitve politike gesel so osnovne varnostne nastavitve, je pa še veliko drugih s pomočjo katerih še bolj utrdimo varnost in nadzor nad vstopnimi točkami v informacijski sistem. Te nastavitve so že bolj specifične in jih zato konfiguriramo v Objektu skupinskih politik OE Racunalniki, ki je glavna skupinska politika za nadzor na vsemi računalniki v domeni, tako delovnimi postajami kot prenosniki (slika 20 in 21). S prvo izmed skupine varnostnih nastavitev želimo določiti, katere dogodke zapisujemo v varnostni dnevnik, ki ga ima vsak računalnik. Nastavitve zanj najdemo v strukturi drevesa Objekta skupinskih politik na sledečem mestu Computer Configuration/Policies/Windows Settings/SecuritySettings/Local Policies/ Audit Policy in smo ga nastavili sledeče: Audit account logon events Audit account management Audit directory service access Audit logon events Audit object access Audit policy change Audit privilege use Audit process tracking Audit system events Success, Failure Success, Failure Failure Success, Failure Success, Failure Success, Failure Success, Failure No auditing Success, Failure Z zgoraj zapisanimi nastavitvami nadzorujemo dostop do objektov, uporabo privilegijev za dostop do informacijskega sistema ter upravljanje uporabniških računov in sistema. Nastavitev ima lahko vrednost»success«, ki pomeni da se je dogodek v okviru zgoraj naštetih akcij uspešno izpeljal, vrednost»failure«pa, da se ni. Stvar je uporabna, če želimo recimo poizvedeti, kdo na vsak način želi priti do podatkov na določenem mestu, do katerih pa nima dostopa. Naslednja malo večja skupina varnostnih nastavitev se nahaja v strukturi drevesa Objekta skupinskih politik na mestu Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/User Rights Assignment. Zanimata pa nas predvsem dve nastavitvi v okviru te veje in sicer: Allow log on through Terminal Services RAZISKAVE\Uporabniki-Dostop-na-Daljavo Manage auditing and security log RAZISKAVE\Skrbniki-Dostop-do-varnostnega-dnevnika S prvo nastavitvijo določimo domensko uporabniško skupino katera ima pravice, da preko protokola za oddaljeni dostop dostopa do računalnika, z drugo nastavitvijo pa določimo, kateri uporabniki imajo pravico branja varnostnega dnevnika dogodkov in njegovega upravljanja. V obeh primerih sta to že ustvarjeni domenski uporabniški skupini, v katere po potrebi dodamo uporabnike (domene seveda), kateri tak dostop potrebujejo pri svojem delu. Nadalje imamo na voljo skupino nastavitev v strukturi drevesa Objekta skupinskih politik na mestu Computer Configuration/Policies/Windows Settings/Security Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 48

56 Settings/Local Policies/Security Options, kjer bi konfigurirane nastavitve lahko razdelili v tri skupine in sicer so v prvi nastavitve s pomočjo katerih konfiguriramo vgrajena lokalna uporabniška računa: Accounts: Guest account status Accounts: Administrator account status Accounts: Rename administrator account Disabled Enabled "Skrbnik" S prvo nastavitvijo onemogočimo vgrajeni lokalni uporabniški račun Guest (katerega ne želimo in ne bomo uporabljali), z drugo omogočimo vgrajeni lokalni skrbniški račun Administrator, ter ga s tretjo nastavitvijo preimenujemo v Skrbnik. V drugi skupini so konfigurirane nastavitve, ki določajo način prijave za uporabnika: Interactive logon:do not display last user name Enabled Interactive logon:do not require CTRL+ALT+DEL Disabled Interactive logon: Number of previous logons to cache (in case domain controller is not available) 5 logons Interactive logon: Prompt user to change password before expiration 10 days Interactive logon: Require Domain Controller authentication to unlock workstation Enabled Konfigurirane nastavitve določajo da se ob prijavi ne pokaže uporabniško ime zadnjega uporabnika, ki se je prijavljal, uporabnik mora za prijavo obvezno pritisniti kombinacijo tipk CTRL+ALT+DEL, shrani se 5 zadnjih prijav (za primer ko ni na voljo omrežja, oziroma domenskega krmilnika), uporabnik pa ob prijavi 10 dni pred pretekom gesla začne prejemati obvestilo o preteku le-tega. Omogočena je tudi nastavitev, ki zahteva, da se odklepanje računalnika vedno izvede preko domenskega krmilnika. V tretji skupini pa imamo konfigurirani nastavitvi za večjo varnost omrežja in sicer: Network security: Do not store LAN Manager hash value on next password change Enabled Network security: LAN Manager authentication level Send NTLMv2 response only. Refuse LM & NTLM S prvo določimo, da se ob menjavi gesla ne shrani njegov»hash«, z drugo pa določimo najvarnejšo obliko omrežne komunikacije. Zadnje področje konfiguriranih nastavitev v tem podpoglavju pa so nastavitve dnevnika dogodkov - Event Log-a. V strukturi drevesa Objekta skupinskih politik jih najdemo na mestu Computer Configuration/Policies/Windows Settings/ Security Settings/Event Log, konfigurirane pa so naslednje nastavitve: Maximum application log size Maximum security log size Maximum system log size Retention method for application log Retention method for security log Retention method for system log kilobytes kilobytes kilobytes As needed As needed As needed Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 49

57 Gre za konfiguriranje nastavitev velikosti posameznega dnevnika dogodkov (aplikacijski, varnostni in sistemski), ter hrambe vsebovanih dogodkov (prepisovanje obstoječih z novimi, ko je to potrebno, se pravi ko je dnevnik poln) Nastavitev rezerviranih uporabniških skupin Konfiguriranje nastavitev rezerviranih uporabniških skupin je zelo pomembno, saj moramo za uspešno upravljanje nadzorovati, kateri uporabniki lahko kaj počnejo na računalnikih. V vsaki resni organizaciji, oziroma v njenem informacijskem sistemu, uporabniki ne morejo biti skrbniki svojih računalnikov in tako mora tudi ostati. Za to poskrbimo z nastavitvami rezerviranih uporabniških skupin, ki so na voljo v strukturi drevesa Objekta skupinskih politik v Computer Configuration/Policies/Windows Settings/Restricted Groups veji. Konfiguriramo jih na sledeč način: BUILTIN\Administrators RAZISKAVE\Skrbniki-Racunalnikov BUILTIN\Remote Desktop Users RAZISKAVE\Uporabniki-Dostop-na-Daljavo BUILTIN\Event Log Readers RAZISKAVE\Skrbniki-Dostop-do-dnevnikadogodkov Z zgornjimi nastavitvami določimo, da so lahko skrbniki računalnikov le uporabniki, ki so člani uporabniške domenske skupine RAZISKAVE\Skrbniki-Racunalnikov, računalnik na daljavo lahko preko protokola za oddaljeni dostop uporabljajo le uporabniki, ki so člani uporabniške domenske skupine RAZISKAVE\Uporabniki- Dostop-na-Daljavo in dnevnik dogodkov tako lokalno, kot na daljavo lahko berejo le uporabniki, ki so člani uporabniške domenske skupine RAZISKAVE\Skrbniki- Dostop-do-dnevnika-dogodkov. Zaradi striktnega uveljavljanja skupinskih politik te nastavitve omogočajo, da na primer izločimo vse skrbnike iz posameznih računalnikov, ki niso člani domenske skupine RAZISKAVE\Skrbniki-Racunalnikov, pa četudi so to nekdaj bili Nastavitev sistemskih storitev Sistemske storitve operacijskega sistema so ene od glavnih komponent, ki skrbijo za to, da lahko računalnik deluje (še posebej v omrežju informacijskega sistema organizacije). V najnovejšem operacijskem sistemu Microsoft Windows 7 Enterprise je privzeto vgrajeno preko 160 sistemskih storitev, tako, da si prav gotovo želimo, da imamo tudi nad njimi nekaj nadzora. Skupinske politike nam omogočajo, da za posamezno storitev določimo ali je omogočena ali onemogočena, če pa je omogočena, pa lahko določimo način zagona (samodejni ali ročni), obenem pa še dodamo uporabniške pravice za posamezno storitev slika 22. Slika 22: Primer konfiguriranja sistemske storitve (Vir: Lastni) Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 50

58 Nastavitve za sistemske storitve najdemo v strukturi drevesa Objekta skupinskih politik na mestu Computer Configuration/Policies/Windows Settings/Security Settings/System Services. Tudi te nastavitve konfiguriramo v Objektu skupinskih politik OE Racunalniki. Seznam konfiguriranih nastavitev sistemskih storitev je na sliki 23 spodaj: Slika 23: Konfigurirane nastavitve sistemskih storitev(vir: Lastni) V večini primerov gre za onemogočanje posameznih storitev, za katere ne želimo da se zaženejo. Med njimi pa je tudi nekaj takih, za katere absolutno zahtevamo, da se zaženejo (konfiguriran samodejni»automatic«zagon). Dober primer je DHCP sistemska storitev, ki je ključna, saj brez nje računalnik ne more pridobiti omrežnega IP naslova, kar posledično pomeni, da ne sodeluje v omrežju, oziroma uporabnik z njim ne bo mogel delati. Da bi to situacijo preprečili, še preko skupinskih politik poskrbimo, da je ta storitev vedno aktivna Nastavitev pravic na datotekah, mapah in registrskih ključih Nastavitve uporabniških pravic na datotekah, mapah in registrskih ključih pridejo prav v primeru, ko uporabnik računalnika ni njegov skrbnik, zato moramo običajno uporabniku posebej omogočiti dostop do različnih lokacij datotečnega sistema in registra, ki jih potrebuje pri svojem delu. Drugi še bolj pogost primer uporabe pa je v primeru, ko izvajamo strožji varnostni režim nad dostopom do datotek, map in registrskih ključev operacijskega sistema, s čimer želimo zavarovati računalnik in informacijski sistem pred namernimi ali nenamernimi poškodbami v obliki Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 51

59 zlonamerne programske opreme ali nepravilne uporabe s strani uporabnika. Nastavitve za nastavitev uporabniških pravic na datotekah in mapah najdemo v strukturi drevesa Objekta skupinskih politik na mestu Computer Configuration/Policies/Windows Settings/Security Settings/File System, za nastavitve uporabniških pravic na registrskih ključih pa na mestu Computer Configuration/Policies/Windows Settings/Security Settings/Registry. Konfigurirane nastavitve za nastavitev uporabniških pravic na izbranih mapah so predstavljene na sliki 24: Slika 24: Konfigurirane nastavitve za nastavitev uporabniških pravic na izbranih mapah (Vir: Lastni) Na sliki 24 sta predstavljeni dve mapi datotečnega sistema, ki smo ju konfigurirali s pomočjo skupinskih politik za nastavitev uporabniških pravic. Prva v bistvu ni mapa ampak kar sistemski pogon C:\ (%SystemDrive%\) na katerem želimo preprečiti možnost pisanja navadnim uporabnikom, druga pa je mapa C:\Temp (%SystemDrive%\Temp), na kateri pa obratno od predhodnega primera uporabnikom eksplicitno dovolimo pisanje. Mapa C:\Temp predstavlja začasno mapo, ki jo ustvarimo ob namestitvi operacijskega sistema in je ena redkih v kateri dovolimo, da ima uporabnik pravice za pisanje (uporabnik ni skrbnik sistema!) Nastavitev naprednega Windows požarnega zidu Naslednja zelo pomembna komponenta, ki nam pomaga braniti operacijski sistem in informacijski sistem pred zlonamernimi napadalci, je napredni Windows požarni zid, ki opravlja vlogo kontrolorja omrežnega prometa. To vlogo opravlja s pomočjo v naprej konfiguriranih pravil, ki posameznim storitvam, komponentam in programom Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 52

60 dovoljujejo ali zavračajo komunikacijo na ciljnih računalnikih ali strežnikih. Nastavitve za napredni Windows požarni zid se v strukturi drevesa Objekta skupinskih politik nahajajo na mestu Computer Configuration/Policies/Windows Settings/Security Settings/Windows Firewall with Advanced Security. Vse nastavitve konfiguriramo v Objektu skupinskih politik OE Racunalniki. Na sliki 25 je predstavljena nastavitev naprednega Windows požarnega zidu, ki pove, da je požarni zid vključen za vse tri mrežne profile ko smo vključeni v omrežje domene (Domain Profile), ko smo vključeni v zasebno omrežje (Private Profile) in ko smo vključeni v javno omrežje (Public Profile). Slika 25: Vključen napredni Windows požarni zid (Vir: Lastni) Z vključitvijo naprednega Windows požarnega zidu pa še nismo pri koncu, ampak šele na začetku konfiguriranja nastavitev. Zatem je potrebno nastaviti še pravila za prihajajoč omrežni promet (Inbound Rules) in pa odhajajoč omrežni promet (Outbound Rules), kar ni ravno lahka naloga. Na sliki 26 je prikazan izsek pravil za prihajajoč omrežni promet, ki vključuje tudi že nastavljena privzeta pravila v operacijskem sistemu. Slika 26: Izsek pravil za prihajajoč omrežni promet (Vir: Lastni) Najlažji način za konfiguriranje nastavitev pravil požarnega zidu je, da jih najprej konfiguriramo na določenem računalniku skozi nadzorno ploščo le-tega, ko smo z Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 53

61 nastavitvami pravil zadovoljni, pa jih izvozimo v datoteko wfw, ki jih v naslednjem koraku uvozimo v Objekt skupinske politike na zgoraj opisano mesto. Priporočljivo je, da upoštevamo že konfigurirane nastavitve pravil, ki so privzeto na voljo v operacijskem sistemu, nato pa dodajamo svoja pravila ali prilagajamo obstoječa. V vsakem primeru mora v tem delu konfiguriranja nastavitev skupinskih politik sodelovati tudi oseba, ki dobro pozna protokole in lastnosti omrežnih komunikacij Nastavitev upravljanja aplikacij Upravljanje aplikacij pridobiva na pomenu šele v zadnjem času, v skladu s tem pa je na voljo vedno več programskih orodij, ki to omogočajo. V primeru uporabe operacijskega sistema Microsoft Windows 7 posebnega orodja ne potrebujemo, saj je upravljanje aplikacij vgrajeno v skupinske politike brezplačno! Upravljanje aplikacij poteka s pravili, s pomočjo katerih določimo, kdo lahko uporablja posamezno aplikacijo na podlagi različnih lastnosti le-teh. Nastavitve upravljanja aplikacij so na voljo v strukturi drevesa Objekta skupinskih politik na mestu Computer Configuration/Policies/Windows Settings/Security Settings/Application Control Policies in so združene pod vejo z imenom AppLocker, ki je tudi uradno ime, ki ga proizvajalec programske opreme Microsoft uporablja za poimenovanje tehnologije upravljanja aplikacij. Pravila za upravljanje aplikacij so razdeljene v tri kategorije in sicer v pravila za samoizvršilne datoteke (Executable Rules), pravila za Windows namestitvene datoteke (Windows Installer Rules) in pravila za skripte (Script Rules). Posamezna pravila lahko uporabnikom ali dovoljujejo ali prepovedujejo uporabo določene datoteke aplikacije. Lastnosti, na podlagi katerih konfiguriramo posamezno pravilo, pa so mesto (pot) datoteke,»hash«datoteke in izdajatelj datoteke. V primeru izdajatelja datoteke lahko nadalje določimo tudi najmanjšo možno različico datoteke. Na sliki 27 je prikazan izsek konfiguriranih pravil za samoizvršljive datoteke, ki vključujejo tudi pravila za zagon vseh samoizvršljivih datotek, ki so vključene v pisarniški paket Microsoft Office Slika 27: Izsek pravil za samoizvršljive datoteke (Vir: Lastni) Prvi vnos na sliki 27 na primer predstavlja pravilo, da lahko vsi uporabniki, ki so člani uporabniške skupine skrbnikov sistema, zaganjajo samoizvršljive datoteke na kateremkoli mestu v datotečnem sistemu operacijskega sistema, medtem ko naslednja dva vnosa dovoljujeta navadnim uporabnikom zagon samoizvršljivih datotek le na mestih s programskimi datotekami (Program Files) in v Windows mapi Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 54

62 sistema (Windows). Če se recimo v mapi C:\Temp nahaja samoizvršljiva datoteka in jo uporabnik, ki ni član uporabniške skupine skrbnikov sistema, zažene, se pravica do zagona preveri, ter zavrne ali odobri. Če zagon ne ustreza zgornjim pravilom, uporabniku operacijski sistem zavrne zagon na način kot je prikazan na sliki 28: Slika 28: Zavrnjen zagon samoizvršljive datoteke (Vir: Lastni) Priporočilo za konfiguriranje pravil je, da uporabljamo pristop, s katerim uveljavljamo dovoljenja (vse kar ni dovoljeno je prepovedano) in ne prepovedi (vse kar ni prepovedano je dovoljeno). Najlažji način za konfiguriranje nastavitev pravil upravljanja aplikacij je, da jih najprej konfiguriramo na določenem računalniku skozi lokalni Objekt skupinske politike, ko so pravila preizkušena, pa jih izvozimo v datoteko xml, ki jo nato uvozimo v Objekt skupinske politike na zgoraj opisano mesto v Objektu skupinskih politik OE Racunalniki. Pri konfiguriranju nastavitev upravljanja aplikacij moramo biti zelo previdni, saj napačno definirano pravilo lahko v popolnosti ohromi delovanje operacijskega sistema in aplikacij Nastavitev možnosti za mape v nepovezanem načinu Računalnik je član domene, kar pomeni, da uporabnik običajno dostopa do omrežnih virov, ki vsebujejo želene informacije v obliki datotek. V Windows operacijskih sistemih je možno določene mape (na primer preusmerjene mape o katerih bo govora v podpoglavju 4.7.1) uporabljati tudi v tako imenovanemu nepovezanemu načinu, kar pomeni, da te mape lahko uporabljamo tudi takrat, ko nismo v omrežju. Ker želimo preprečiti, da bi uporabniki sami določali katere mape lahko uporabljajo v tem načinu, jim moramo to preprečiti z onemogočanjem nastavitev v uporabniškem vmesniku raziskovalca operacijskega sistema. To nastavitev najdemo v strukturi drevesa Objekta skupinskih politik na mestu Computer Configuration/Policies/AdministrativeTemplates/Network/ Offline Files, konfiguriramo pa nastavitev Allow or Disallow use of the Offline Files feature in sicer na vrednost Disabled. Še vedno konfiguriramo nastavitve v Objektu skupinskih politik OE Racunalniki Nastavitev dostopa na daljavo z RDP Uporaba tehnologije dostopa na daljavo do računalnika preko vgrajenega protokola za oddaljeni dostop RDP je dandanes osnovna možnost za delo na daljavo, ki jo želijo izkoriščati tako uporabniki, kot skrbniki sistemov. Kljub temu, da smo z nastavitvijo rezerviranih uporabniških skupin v podpoglavju že določili kateri uporabniki se lahko prijavljajo na računalnik preko protokola za oddaljeni dostop, pa to še ni dovolj za uporabo oddaljene povezave protokola RDP. Nastaviti moramo še globalno vrednost, ki tako povezavo dovoljuje, le-ta se v strukturi drevesa Objekta skupinskih politik nahaja na mestu Computer Configuration/Policies/Administrative Templates/WindowsComponents/Remote Desktop Services/Remote Desktop Session Host/ Connections, konfiguriramo pa nastavitev Allow users to Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 55

63 connect remotely using Remote Desktop Services in sicer na vrednost Enabled. Da bi bila uporaba računalnika preko protokola oddaljenega dostopa čim bolj varna, nastavimo še, da je pri prijavi zahtevana NLA avtentikacija, kar storimo na mestu Computer Configuration/Policies/ Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Security konfiguriramo pa nastavitev Require user authentication for remote connections by using Network Level Authentication in sicer na vrednost Enabled. Nastavitvi sta konfigurirani v Objektu skupinskih politik OE Racunalniki. Računalnik sedaj preko protokola RDP dovoljuje varne oddaljene povezave nanj, ki jo lahko vzpostavijo uporabniki, ki so navedeni v rezervirani uporabniški skupini Remote Desktop Users (konfigurirano v podpoglavju 4.6.3) Nastavitev strežnika za namestitev popravkov Proizvajalec programske opreme Microsoft za vse svoje Windows operacijske sisteme redno izdaja popravke, s katerimi pokrpamo odkrite varnostne luknje, popravimo hrošče, ter dodamo kakšno novo funkcionalnost ali orodje. Ti popravki obstajajo tudi za skoraj vse Microsoftove aplikacije (Office, Forefront, Silverlight, ), vsem pa je skupno, da poteka prenos in namestitev teh popravkov preko enega in istega mehanizma z imenom Windows Update. Zelo priporočljivo je, da te popravke redno nameščamo, še posebej tiste, ki so označeni kot kritični. Prenos popravkov poteka iz spletnih strežnikov Microsofta, kar pomeni, da se mora vsak računalnik vedno znova in znova povezovati na te spletne strežnike, kar s stališča organizacije seveda ni sprejemljivo. Zato je Microsoft omogočil, da se vsi računalniki povezujejo na strežnik za namestitev popravkov (WSUS), ki ga imamo nameščenega znotraj informacijskega sistema, z njim pa vzdržujemo podatkovno bazo tako vseh popravkov, ki so na voljo, kot tudi stanje nameščenih popravkov na posameznem računalniku. Da bi ta strežnik lahko uporabljal vsak računalnik, ter, da bi lahko izvajali nadzor nad nameščenimi popravki pa poskrbimo s konfiguriranjem nastavitev Objekta skupinskih politik in sicer na mestu Computer Configuration/Policies/Administrative Templates/Windows Components/ Windows Update, ki so prikazane na sliki 29: Slika 29: Nastavitve za strežnika za namestitev popravkov (Vir: Lastni) Na sliki 29 so prikazane nastavitve, ki določajo, da se namestitev popravkov izvaja vsako sredo bo 3. uri zjutraj, če je uporabnik prijavljen se ponovni zagon računalnika ne izvede, ga pa na vsakih 30 minut pozove naj to naredi. Če računalnik zgreši uro Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 56

64 za namestitev, čez eno uro spet poizkuša z izvedbo namestitve popravkov. Konfigurirana mora biti tudi vrednost za ime notranjega strežnika za popravke (WSUS-Streznik), saj se brez nje računalniki ne bodo posodabljali preko notranjega strežnika za popravke, ampak bodo poizkušali najti popravke na spletu Nastavitev sistemskih spremenljivk Nastavitve sistemskih spremenljivk nam omogočajo upravljanje tako vgrajenih spremenljivk operacijskega sistema, kot lastnih spremenljivk v obliki poti do map. Te nastavitve najdemo v strukturi drevesa Objekta skupinskih politik na mestu Computer Configuration/Preferences/Windows Settings/Environment, v našem primeru pa konfiguriramo sistemski spremenljivki operacijskega sistema za mesto začasnih datotek TEMP in TMP, ki jima določimo vrednost C:\Temp. Na ta način kontroliramo vso»nesnago«, ki jo tokom uporabe»izvrže«operacijski sistem. Obe nastavitvi skupinskih politik sta prikazani na sliki 30: Slika 30: Nastavitve sistemskih spremenljivk TEMP in TMP (Vir: Lastni) Nastavitev upravljanja porabe energije Informacijski sistem je velik porabnik električne energije, posledično je tudi račun za njeno uporabo običajno precej visok. Skupinske politike nam ponujajo možnost, da ta račun znižamo in sicer s pomočjo nastavitev upravljanja porabe energije. To pomeni, da s pomočjo posebnih načrtov upravljanja porabe energije določimo na kakšen način delujejo računalniki v smislu porabe električne energije, predvsem v primerih, ko ne sedimo za njim in ga posledično ne uporabljamo. Posamezne nastavitve zajemajo upravljanje ugašanja monitorjev ter računalnikov in njegovih komponent s pomočjo časovnih omejitev, obenem pa določajo tudi režim delovanja računalnika. Nastavitve upravljanja porabe energije so na voljo v strukturi drevesa Objekta skupinskih politik na mestu Computer Configuration/Preferences/Control Panel Settings/Power Options, in so predstavljene na sliki 31 na naslednji strani. Kot rečeno je potrebno ustvariti načrt upravljanja porabe energije, v katerem določimo posamezne vrednosti za ugašanje monitorja, trdega diska, mrežnih kartic, USB vrat, V našem primeru smo ustvarili kar dva načrta za upravljanje porabe energije in sicer prvega, ki velja med delovnim časom in smo ga poimenovali Upravljanje porabe znotraj delovnega časa (desna polovica slike 31), ter drugega, ki velja izven delovnega časa in smo ga poimenovali Upravljanje porabe zunaj delovnega časa (leva polovica slike 31). Veljavnost posameznega načrta določa časovna omejitev trajanja, ki jo pač določimo v skladu z delovnim časom organizacije. Prvi načrt porabe, ki velja od 7h zjutraj do 18h popoldne, daje prednost maksimalni zmogljivosti sistema pred porabo energije, medtem, ko je v drugem načrtu porabe, ki velja od 18h popoldne do 7h zjutraj situacija ravno obratna. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 57

65 Slika 31: Upravljanje porabe energije z dvema načrtoma (Vir: Lastni) Upravljanje porabe energije pa je še posebej kritično na prenosnikih, saj v primeru uporabe baterije želimo, da nam ta zdrži vsaj toliko časa, da lahko opravimo želeno delo. Prav zato ima vsaka nastavitev možnost, da jo konfiguriramo tudi za primer, ko naš računalnik za vir napajanja uporablja baterijo. 4.7 NASTAVITVE UPORABNIŠKEGA DELA SKUPINSKIH POLITIK V tem delu se bomo posvetili konfiguriranju posameznih nastavitev uporabniškega dela skupinskih politik, torej konfigurirali bomo nastavitve, s katerimi predvsem upravljamo nastavitve namizja uporabnika, s katerimi poizkušamo zagotoviti čim bolj standardno uporabniško okolje za vsakega uporabnika v organizaciji. Konfigurirane bodo nastavitve Objekta skupinskih politik OE Uporabniki slika 32: Slika 32: Lokacija skupinske politike OE Uporabniki (Vir: Lastni) Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 58

66 Objekt skupinskih politik OE Uporabniki je povezan na organizacijsko enoto OE Uporabniki, kot je prikazano na sliki 32. V Objektu skupinskih politik OE Uporabniki smo onemogočili računalniški del nastavitev, saj jih ne potrebujemo. Konfigurirane nastavitve bomo s pomočjo dedovanja uveljavljali za uporabnika Marija Novak, ki se nahaja v organizacijski enoti OE Informatika, kot je prikazano na sliki 33: Slika 33: Lokacija uporabnika Marija Novak (Vir: Lastni) Nastavitev preusmerjanja uporabniških map Pri delu uporabniki shranjujejo različne datoteke na različna mesta, med njimi pa so tudi mape na računalniku na katerem trenutno delajo. Shranjevanje datotek v mape na lokalnem računalniku je problematično, saj se za te mape običajno ne izdeluje varnostnih kopij, kar v primeru okvare trdega diska pomeni, da smo izgubili tudi vse datoteke, ki so bile na njemu shranjene. To nevarnost lahko rešujemo s pomočjo nastavitve preusmerjanja uporabniških map, ki nam omogoča, da določene posebne mape uporabnika preusmerimo na mrežno lokacijo, kjer se za vse datoteke že privzeto izdelujejo varnostne kopije. Preusmerjanje pa nam ne omogoča zgolj varnostnih kopij naših datotek, temveč tudi, da so te datoteke vedno na voljo uporabniku, neodvisno na kateri računalnik v domeni se uporabnik prijavi, dodatna dobra lastnost pa je, da lahko upravljamo z velikostjo preusmerjenih map s pomočjo vnaprej določenih kvot. Preusmerjamo lahko naslednje uporabniške mape: AppData, Desktop, Start Menu, Documents, Pictures, Music, Videos, Favorites, Contacts, Downloads, Links, Searches in Saved Games. Nastavitve za preusmerjanje teh map najdemo v strukturi drevesa Objekta skupinskih politik na mestu User Configuration/ Policies/Windows Settings/Folder Redirection. Da bi lahko preusmerili mape na mrežno lokacijo, je potrebno na neki mrežni lokaciji, kjer je dovolj prostora, ustvariti deljeno mrežno mapo z ustreznimi uporabniškimi pravicami. Priporočljivo je, da to deljeno mapo skrijemo. V našem primeru smo deljeno mapo ustvarili kar na domenskem krmilniku na mestu C:\Uporabniki, skrita pot do deljene mape pa se glasi \\DC-STREZNIK\Uporabniki$. V to mapo bomo preusmerjali posebne mape za uporabnikove dokumente (Documents), Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 59

67 uporabnikove priljubljene zaznamke (Favorites) in uporabnikovo namizje (Desktop). Na sliki 34 so prikazane konfigurirane nastavitve za prej omenjene mape: Slika 34: Preusmeritev map Documents in Favorites v deljeno mapo \\DC-STREZNIK\Uporabniki$ (Vir: Lastni) Te konfigurirane nastavitve omogočajo zgoraj omenjeno dosegljivost vsebine teh treh map kjerkoli v organizaciji, da se datoteke res nahajajo v deljeni mapi na strežniku se lahko prepričamo s pomočjo slike 35: Slika 35: Uporabnikovi dokumenti v deljeni mapi \\DC- STREZNIK\Uporabniki$ (Vir: Lastni) Ob tem je potrebno poudariti, da uporabnik ne ve, da so njegovi dokumenti na strežniku, saj on shranjuje dokumente v mapo Documents, za katero misli, da se nahaja na računalniku Nastavitev nadzorne plošče Nadzorna plošča ponuja uporabniku množico možnosti za konfiguriranje, ne sicer vseh, ker je potrebno za nekatere imeti skrbniške uporabniške pravice. Konfiguriranje nastavitev v nadzorni plošči s strani uporabnika želimo čim bolj omejiti, saj se dostikrat zgodi, da uporabnik nekaj narobe spremeni, potem pa stvari ne zna več popraviti. Za ta namen uporabimo nastavitev za skrivanje ikon nadzorne Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 60

68 plošče, s pomočjo katere skrijemo ikone za katere mislimo, da jih uporabnik pri svojem delu ne potrebuje. Nastavitve za nastavitev nadzorne plošče najdemo v strukturi drevesa Objekta skupinskih politik na mestu User Configuration/ Policies/ AdministrativeTemplates/Control Panel, konfiguriramo pa nastavitev Show only specified Control Panel items, ki jo konfiguriramo na vrednost Enabled, nato pa vpišemo imena ikon za katere želimo, da so prikazana uporabnikom v nadzorni plošči. Končni rezultat konfiguriranja nastavitev nadzorne plošče je na sliki 36: Slika 36: Vse ikone nadzorne plošče po konfiguriranju nastavitev nadzorne plošče (Vir: Lastni) Uporabnikom dovolimo, da lahko konfigurirajo nastavitve za prikaz dodatne ure, nastavitve tipkovnice in miške, resolucije, poštne nastavitve, nastavitve start menija in opravilne vrstice, regionalne nastavitve ter nastavitve za sinhronizacijo datotek Nastavitev namizja Z nastavitvami namizja želimo dodatno zaščiti naš sistem pred nepooblaščenim dostopom tretjih uporabnikov, ter preprečiti»igranje«z nastavitvami namizja. Najpogostejši tarči igranja sta ohranjevalnik zaslona ter nastavitev slike za ozadje namizja. Lepo bi bilo, če za vse uporabnike uveljavimo enako nastavitev, še posebej pa to velja za ohranjevalnik zaslona, ki ga vključimo kot varnostni element pri dostopu do dobrin informacijskega sistema. To storimo tako, da v strukturi drevesa Objekta skupinskih politik na mestu User Configuration/ Policies/ Administrative Templates/Control Panel/Personalization konfiguriramo sledeče nastavitve: Enable screen saver Enabled Force specific screen saver Enabled Screen saver executable name OhranjevalnikZaslona.scr Password protect the screen saver Enabled Prevent changing desktop background Enabled Screen saver timeout Enabled Number of seconds to wait to enable the screen saver Seconds: 900 Zgornje konfigurirane nastavitve nam vključijo lastni ohranjevalnik zaslona z imenom OhranjevalnikZaslona.scr, ki se vključi po 15 minutah neaktivnosti uporabnika, ker pa je tudi zaščiten z geslom, mora ob prekinitvi ohranjevalnika zaslona uporabnik vnesti geslo za dostop do domene. Na ta način po 15 minutah neaktivnosti Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 61

69 uporabnika samodejno zaklenemo računalnike, kar nam sicer v celoti ne rešuje problema sprehajanja uporabnika ob»odprtem«računalniku, nekaj pa vseeno prispeva k večji varnosti v informacijskem sistemu. Z drugo skupino nastavitev pa želimo onemogočiti, da bi uporabnik lahko spremenil ozadje na namizju, zato v strukturi drevesa Objekta skupinskih politik na mestu User Configuration/ Policies/ Administrative Templates/ Desktop/Desktop konfiguriramo naslednje nastavitve: Desktop Wallpaper Wallpaper Name: Wallpaper Style: Disable Active Desktop Enabled C:\Windows\Web\Wallpaper\Windows\img0.jpg Fit Enabled S konfiguriranimi nastavitvami vsem uporabnikom predpišemo enako ozadje namizja in njegovo razporejanje, obenem pa še onemogočimo uporabo tako imenovanega aktivnega namizja. Spreminjanje ozadja je že onemogočeno s konfigurirano nastavitvijo Prevent changing desktop background (glej zgoraj) Nastavitev omrežnih pogonov Omrežni pogoni uporabnikom nudijo najhitrejši dostop do deljenih map v omrežju, saj nam ni potrebno vedeti natančne poti do neke omrežne lokacije na kateri se nahaja deljena mapa z dokumenti. Običajno večje skupine uporabnikov (na primer oddelki) uporabljajo iste omrežne pogone, s pomočjo skupinskih politik pa jim omogočimo, da jih ni potrebno vedno znova nastavljati. Posameznemu uporabniku so na voljo in konfigurirani vedno isti omrežni pogoni ne glede na to kateri računalnik se prijavi! V strukturi drevesa Objekta skupinskih politik lahko omrežne pogone preprosto konfiguriramo na mestu User Configuration/Preferences/Windows Settings/ Drive Maps. Slika 37 prikazuje konfigurirana omrežna pogona H: in M:, ki predstavlja dve deljeni mapi MapaA in MapaB, nahajata pa se na strežniku DC- Streznik: Slika 37: Omrežna pogona H: in M: v skupinskih politikah (Vir: Lastni) Vsaki deljeni mapi je dodeljena črka, dodana pa je tudi kljukica, ki omogoča, da se omrežni pogon samodejno poveže (Reconnect). Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 62

70 Rezultat, ki je po uveljavitvi skupinske politike viden v raziskovalcu za prijavljenega uporabnika Marija Novak, pa je prikazan na sliki 38: Slika 38: Omrežna pogona H: in M: v raziskovalcu (Vir: Lastni) Nastavitev bližnjic Bližnjice so osnovni pripomoček pri zaganjanju aplikacij nameščenih v operacijskem sistemu, ter dostopanju do različnih mest v operacijskem sistemu. Skupinske politike nam nudijo možnost, da bližnjice do posameznih aplikacij, spletnih strani in objektov operacijskega sistema ponudimo uporabnikom vedno in ne glede na to, na kateri računalnik so prijavljeni. Bližnjice konfiguriramo v strukturi drevesa Objekta skupinskih politik na mestu User Configuration/Preferences/Windows Settings/Shortcuts. Na sliki 39 je prikazana nastavitev bližnjic za Microsoft Office Word 2010 in Microsoft Office Excel 2010, ki ju»pošljemo«na namizje vsakega uporabnika, za katerega veljajo nastavitve Objekta skupinskih politik OE Uporabniki. Slika 39: Nastavitev bližnjic za Office Word 2010 in Office Excel 2010 za uporabnikovo namizje (Vir: Lastni) Mesta, na katere lahko»pošiljamo«bližnjice so namizje, start meni, priljubljeni zaznamki, zagonska mapa ter še nekaj drugih, pri ustvarjanju le-teh pa moramo upoštevati, da morda na vseh računalnikih ni na voljo določene aplikacije ali mesta v operacijskem sistemu, zato tudi bližnjica ne bo veljavna Nastavitve pogleda mape v raziskovalcu Pogled mape (Folder Options) je odgovoren za različne aspekte obnašanja glavnega orodja za delo z datotekami raziskovalca. Na voljo sta dve skupini nastavitev. V prvi skupini konfiguriramo različne funkcije prikaza elementov za različne dele raziskovalca. Najbolj pomembna je verjetno nastavitev, ki omogoča prikazovanje končnic datotek v raziskovalcu, takoj za njo pa možnost skrivanja Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 63

71 sistemskih in zaščitenih datotek. Druga skupina nastavitev skrbi za določanje odpiranja posameznih datotek z izbranimi aplikacijami na podlagi končnice datoteke. To velikokrat pride prav, sploh v situacijah, ko lahko določeno datoteko odpiramo z več programi, določiti pa želimo novo privzeto aplikacijo za odpiranje. Omenjene nastavitve konfiguriramo v strukturi drevesa Objekta skupinskih politik na mestu User Configuration/Preferences/Control Panel Settings/Folder Options. Na sliki 40 sta predstavljeni obe skupini nastavitev, na levi strani funkcije prikaza elementov v raziskovalcu, na desni strani pa odpiranje log datotek z aplikacijo Wordpad: Slika 40: Nastavitve pogleda mapa v raziskovalcu (Vir: Lastni) Konfigurirane nastavitve funkcije prikaza raziskovalca v našem primeru med drugimi določajo, da se v raziskovalcu prikaže končnica datoteke, nato, da se sistemske in zaščitene datoteke ne pokažejo, omogočen je prikaz mrežnih pogonov, kriptirane mape so označene z drugo barvo in tako naprej. Za konfiguriranje nastavitev pogleda mape v raziskovalcu lahko rečemo, da nam lahko izdatno pomagajo pri nastavljanju izgleda raziskovalca, ki je za uporabnike osnovno orodje za delo z datotekami in mapami Nastavitev tiskalnikov Tiskanje je ne glede na obljube o pisarnah brez papirja še vedno ena od stvari, ki je neizogibno potrebna za normalno delo (čeprav vedno manj). Je pa tudi ena od večnih težav s katero se srečujejo vsi uporabniki in skrbniki sistemov in sicer v smislu namestitve pravega tiskalnika. Uporabniki že tako ali tako običajno ne vedo čisto dobro kateri tiskalnik je pravi za njih (običajno najbližji), skrbniki pa do sedaj niso imeli primernega orodja s katerim bi uporabnikom dodeljevali ustrezne tiskalnike, tako da je ob menjavi tiskalnikov precej trpela podporna služba, ki je morala izvesti veliko število akcij pri uporabnikih (da o slabi volji uporabnikov ne govorimo). Večja ko je organizacija, večje je število tiskalnikov in tudi večja je potencialna zmeda na tem področju. S konfiguriranjem nastavitev v strukturi drevesa Objekta skupinskih politik, ki jih najdemo na mestu User Configuration/Preferences/Control Panel Settings/Printers lahko ustvarimo tiskalnike, ki jih nato preko skupinskih politik»dodeljujemo«uporabnikom. V našem primeru smo na strežniku DC-Streznik dali na voljo za uporabo dva omrežna tiskalnika in sicer z imenoma HP Business Inkjet 1200 in HP Color Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 64

72 LaserJet CP3505 PCL6, katerega smo konfigurirali tudi, da je v vlogi privzetega tiskalnika. Konfigurirane nastavitve obeh omenjenih tiskalnikov so prikazane spodaj na sliki 42. Slika 42: Konfigurirana tiskalnika v skupinskih politikah (Vir: Lastni) Te konfigurirane nastavitve ustvarijo dva nova tiskalnika, ki jih lahko nato uporabnik normalno uporablja. Da se tiskalnika res nahajata na računalniku, se lahko prepričamo s pomočjo slike 43: Slika 43: Dodeljena tiskalnika na odjemalskem računalniku (Vir: Lastni) Kot že rečeno je tiskalnik HP Color LaserJet CP3505 v vlogi privzetega tiskalnika, kar lahko že na prvi pogled ugotovimo s pomočjo velike kljukice na zeleni podlagi, ki se nahaja na ikoni (privzetega) tiskalnika (slika 43) Konfiguriranje področnih nastavitev S konfiguriranjem področnih nastavitev za uporabnika določimo njegove lokalne področne nastavitve, ki vključujejo obliko zapisa števil, valuto, časa in format zapisa datumov. Te nastavitve so podlaga za vse aplikacije, ki so nameščene na posameznem računalniku in neposredno vplivajo na njihovo delovanje. Področne nastavitve konfiguriramo predvsem, ko imamo opravka z uporabniki, ki prihajajo iz Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 65

73 različnih držav, kar je sploh značilno v primerih, ko je organizacija fizično razpršena v različnih državah. Na ta način enostavno poskrbimo, da določen uporabnik»prejeme«pravilne področne nastavitve glede na to iz katere države prihaja. Seveda konfiguriranje področnih nastavitev ni namenjeno samo»mednarodnim«uporabnikom, temveč nam ponuja možnost, da za vse uporabnike določimo osnovne področne nastavitve. Nastavitve lahko konfiguriramo v strukturi drevesa Objekta skupinskih politik na mestu User Configuration/Preferences/Control Panel Settings/Regional Options, kjer dodamo želeno področno nastavitev in jo primerno konfiguriramo. Na sliki 44 je konfiguriranje formata zapisa časa in datuma. Slika 44: Konfigurirane področne nastavitve za čas in datum (Vir: Lastni) V našem primeru smo konfigurirali področne nastavitve za Slovenijo, kar pomeni, da je naša privzeta valuta evro ( ), privzet je metrični sistem, format prikaza časa je HH:mm:sss, format zapisa datuma pa dd.mm.yyyy (krajša oblika) in d. MMMM yyyy (daljša oblika). Možnost konfiguriranja področnih nastavitev bi zelo prišla prav pred štirimi leti in pol, ko je naša država s 1. Januarjem 2007 zamenjala valuto tolar (SIT) za evro ( ), saj bi na ta način z eno potezo za vse uporabnike spremenili privzeto valuto iz SIT v Nastavitev Start Menija Start meni je osnovno izhodišče za vsakega uporabnika Windows namizja in je integralni del uporabniške izkušnje v operacijskih sistemih Windows. Pri nastavitvah start menija gre ponovno za konfiguriranje nastavitev, s katerimi poizkušamo doseči čim bolj enovito uporabniško okolje. Nastavitev start menija je zaželena, saj se v nastavitvah skriva veliko elementov, ki jih lahko konfiguriramo. Konfiguriramo lahko nastavitve zapisa zgodovine zadnjih odprtih datotek in zadnjih uporabljenih programov, prikaz posameznih bližnjic do map in orodij operacijskega sistema, ter samo obnašanje start menija pri njegovem odpiranju in zapiranju. V strukturi drevesa Objekta skupinskih politik najdemo nastavitve start menija na mestu User Configuration/Preferences/Control Panel Settings/Start Menu. Za konfigurirane nastavitve start menija želimo, da se za vsakega uporabnika uveljavijo le enkrat običajno pri prvi prijavi na računalnik. To pa zato, ker je način kako posamezni uporabniki uporabljajo start meni zelo različen, kar pomeni, da moramo uporabniku vseeno dopustiti nekaj svobode, saj bi drugače pretirano Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 66

74 omejevanje vodilo v slabo voljo uporabnika in nenazadnje na zmanjšano produktivnost in učinkovitost. Na sliki 45 je na levi strani slike prikazano okno s konfiguriranimi nastavitvami start menija, na desni strani slike pa okno, v katerem povemo, da bomo nastavitve uveljavljali samo prvič. Slika 45: Nastavitve Start menija in njegovega uveljavljanja (Vir: Lastni) Na sliki 45 je prikazana ena od konfiguriranih nastavitev in sicer nastavitev za skrivanje mape Music to pomeni, da te bližnjice do te mape v start meniju uporabnik ne bo videl. Konfiguriramo lahko nastavitve tako modernega start menija, ki je privzet v operacijskem sistemu Microsoft Windows 7, kot tudi nastavitve klasičnega start menija, ki ga poznamo že precejšnje število let Upravljanje uporabe naprav Upravljanje uporabe naprav je področje, ki se je pričelo razvijati šele v zadnjih letih, za kar je odgovorna predvsem pojavitev univerzalnih serijskih vrat (USB), ki omogočajo, da na računalnik lahko priključimo različne naprave. Do sedaj smo za namen upravljanja uporabe naprav potrebovali programske rešitve, ki niso bile ravno najbolj poceni, s skupinskimi politikami pa to lahko storimo brezplačno. Organizacije, ki uveljavljajo varnostne politike pri uporabi dobrin informacijskega sistema, običajno v njih tudi omejujejo dostop do naprav, ki jih lahko priključimo na računalnik. Najbolj pogost predstavnik teh naprav pa so pomnilniški USB ključi. S pomočjo nastavitev upravljanja uporabe naprav lahko onemogočimo uporabo disketnih enot, CD/DVD enot, vrat za uporabo USB naprav, s čimer preprečimo, da bi uporabnik občutljive informacije v obliki datotek lahko shranil na prenosni medij in jih odnesel iz organizacije, ter potencialno povzročil poslovno škodo. V bistvu omejitev pri konfiguriranju uporabe naprav ni, saj lahko omogočimo ali onemogočimo vse naprave, ki se lahko priključijo na računalnik (njihovo prisotnost lahko vidimo v upravitelju naprav Device Manager-ju). Z nastavitvami upravljanja naprav v resnici ne preprečimo namestitve same naprave na računalnik (na primer pomnilniškega USB ključa), temveč jih le onemogočimo, takoj ko so»prisotne«na računalniku. Konfiguriranje nastavitev uporabe naprav se izvaja v strukturi drevesa Objekta skupinskih politik na mestu User Configuration/Preferences/Control Panel Settings/Devices. Konfiguriranje je zelo preprosto, saj je potrebno le izbrati, katero napravo ali razred naprav želimo Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 67

75 omogočiti ali onemogočiti, to pa je načeloma tudi vse. V našem primeru smo onemogočili kar cel razred naprav in sicer USB Mass Storage Device, kar pomeni, da nam pomnilniški USB ključ ne bo deloval. Na sliki 46 je prikazano okno z lastnostmi za pomnilniški USB ključ Kingston Data Traveler 400, ki smo ga priključili na odjemalski računalnik. Kot je razvidno iz slike 46 je sicer nameščen, ampak onemogočen - torej ga ne moremo uporabljati, cilj je dosežen. Slika 46: Onemogočen pomnilniški USB ključ s pomočjo konfiguriranja nastavitev uporabe naprav (Vir: Lastni) 4.8 UPRAVLJANJE APLIKACIJ S SKUPINSKIMI POLITIKAMI Doslej smo se posvetili predvsem upravljanju in konfiguriranju računalniških in uporabniških nastavitev, ki so na voljo v skupinskih politikah operacijskega sistema Microsoft Windows 7. Čeprav je že teh nastavitev preko 3000, pa obstajajo tudi druge skupinske politike, ki prinašajo možnost upravljanja s skupinskimi politikami tudi za aplikacije, ki jih nameščamo na računalnike z operacijskim sistemom Microsoft Widows. Nastavitve za aplikacije so shranjene v obliki skrbniških ADMX nastavitvenih predlog, ki nam jih proizvajalci posameznih aplikacij pripravijo in dajo na voljo, običajno kar prek svojih spletnih strani. Logično je, da v upravljanju aplikacij s skupinskimi politikami prednjači proizvajalec programske opreme Microsoft, saj je tehnologija skupinskih politik nenazadnje njegov otrok. Obenem je potrebno povedati, da je na voljo relativno malo novih skrbniških ADMX nastavitvenih predlog za aplikacije, veliko več pa je na voljo skrbniških ADM nastavitvenih predlog za aplikacije, ki so se uporabljale v informacijskih sistemih pred izdajo operacijskih sistemov Windows Server 2008 / 2008 R2 in Windows Vista / 7. V primerih ko imamo na voljo zgolj skrbniške ADM predloge, te še vedno lahko uporabljamo, čeprav to ni zaželeno. V skrajnem primeru lahko uporabimo orodje ADMX Migrator, s katerim lahko pretvorimo obstoječe ADM predloge v ADMX predloge (načeloma to sicer ni priporočljivo, saj je ADMX Migrator namenjen pretvorbi lastnih skrbniških ADM predlog). Glavni predstavnik aplikacij, ki jih lahko upravljamo s pomočjo skupinskih politik in so na voljo v skrbniških ADMX predlogah, je pisarniška zbirka Microsoft Office, skupinske politike pa so na voljo za različici 2007 in 2010, medtem Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 68

76 ko so za različico 2003 na voljo le skrbniške ADM nastavitvene predloge. Poleg Microsoftovih aplikacij pa so za upravljanje s skupinskimi politikami pripravljene tudi aplikacije drugih proizvajalcev, kot so na primer VMware View Client, VMware View Agent, ActivIdentity Client, Google Chrome,, še vedno pa obstaja veliko drugih za katere bi si želeli imeti podprto upravljanje s pomočjo skupinskih politik, pa se to do sedaj še ni uresničilo (dober primer je Oracle/Sun Java). Z upravljanjem aplikacij s skupinskimi politikami še dodatno poskrbimo za boljše upravljanje uporabniškega okolja, kar prispeva svoj delež k ciljem, ki bi jih radi s samim upravljanjem dosegli. Vedno več proizvajalcev programske opreme se zaveda, da morajo ob snovanju aplikacij upoštevati tudi tehnologijo skupinskih politik, saj je kontrolirano upravljanje z njihovo pomočjo vedno pogostejša zahteva s strani kupcev, še posebej tistih, ki prihajajo iz večjih podjetij z veliko uporabniki. Sčasoma se bo ponudba takih aplikacij prav gotovo razširila, saj je v tem obdobju že jasno, da je tehnologija skupinskih politik ena od ključnih tehnologij pri upravljanju Windows orientiranih informacijskih sistemov Upravljanje pisarniškega paketa Microsoft Office 2010 Zbirka aplikacij, ki so združene v pisarniški paket Microsoft Office, je najpogostejši spremljevalec uporabnikov, ki pri svojem delu uporabljajo računalnike z nameščenim operacijskim sistemom Windows. Zgodovina tega pisarniškega paketa je že dolga, trenutno pa je v prodaji različica 2010, na voljo pa je več različnih izdaj, ki vključujejo različne aplikacije. Kot je bilo že večkrat omenjeno v tej nalogi, je možno pisarniški paket Microsoft Office, oziroma njegove nastavitve, upravljati s pomočjo skupinskih politik. S pomočjo skupinskih politik je možno upravljati sledeče aplikacije, ki so vključene v pisarniški paket Microsoft Office 2010: Microsoft Access 2010 Microsoft Excel 2010 Microsoft InfoPath 2010 Microsoft Office 2010 Microsoft OneNote 2010 Microsoft Outlook 2010 Microsoft PowerPoint 2010 Microsoft Project 2010 Microsoft Publisher 2010 Microsoft SharePoint Designer 2010 Microsoft SharePoint Workspace 2010 Microsoft Visio 2010 Microsoft Word 2010 Za vse zgoraj omenjene aplikacije so na voljo nastavitve za uporabniški del Objekta skupinskih politik, za računalniški del pa so na voljo le splošne nastavitve za pisarniški paket, ter aplikacije PowerPoint, Visio in InfoPath. Celotno število nastavitev, ki jih lahko konfiguriramo za vse omenjene aplikacije presega 4000! Upravljanje pisarniškega paketa Microsoft Office 2010 se prične s tem, da na spletnih straneh proizvajalca Microsoft poiščemo skrbniške ADMX nastavitvene predloge za Microsoft Office 2010, prenesemo in razpakiramo ustrezno različico (32-bitna ali 64-bitna različica), nato pa vse ADMX in ADML datoteke prenesemo v centralno skladišče skrbniških ADMX in ADML predlog - v posebno mapo Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 69

77 PolicyDefinitions, ki se nahaja na domenskem krmilniku (podrobnejši opis centralnega skladišča je že opisan v podpoglavju 4.2.2). S tem dejanjem smo pripravljeni na konfiguriranje nastavitev za Microsoft Office aplikacije v Objektih skupinskih politik. Na sliki 47 je prikazan uporabniški vmesnik za konfiguriranje nastavitev Objekta skupinskih politik OE Uporabniki, v katerem so vidne veje v katerih lahko sedaj konfiguriramo nastavitve za aplikacije pisarniškega paketa Slika 47: Nastavitve za aplikacije pisarniškega paketa Microsoft Office 2010 (Vir: Lastni) Možnosti konfiguriranja nastavitev je zares veliko, kar pa od nas zahteva, da dobro premislimo kaj želimo konfigurirati in kaj ne, da o dobrem poznavanju delovanja aplikacij iz pisarniškega paketa Office 2010 sploh ne govorimo. Slika 48 je prikazuje primer konfiguriranja nastavitev za aplikacijo Microsoft Word, ki smo jih konfigurirali v strukturi drevesa Objekta skupinskih politik OE Uporabniki na mestu User Configuration/Policies/ Administrative Templates/ Microsoft Word 2010/Word Options in sicer v podvejah Advanced, Customize Ribbon in Save. Slika 48: Konfigurirane nastavitve za Microsoft Word 2010 (Vir: Lastni) Z zgoraj prikazanimi nastavitvami določimo, da se vsa okna aplikacije Microsoft Word 2010 prikažejo v opravilni vrstici, v uporabniškem vmesniku kot stalno prikazan trak omogočimo trak»razvijalec«, kot privzeti format za shranjevanje Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 70

78 datotek pa je določen format docx. Konfiguriranje nastavitev za ostale aplikacije poteka na enak način, le da imajo pač specifične nastavitve, ki se dotikajo le njih. Upravljanje aplikacij pisarniškega paketa Microsoft Office 2010 ni lahka naloga, zato si moramo predvsem vzeti čas in obnašanje vseh konfiguriranih nastavitev dobro preučiti v testnem okolju, šele nato lahko sledi njihovo uveljavljanje v produkcijskem okolju organizacije Upravljanje spletnega brskalnika Google Chrome Spletni brskalnik Google Chrome v zadnjem času pridobiva na popularnosti saj ga uporablja vedno več uporabnikov. Na veliko presenečenje vseh pa je možno ta spletni brskalnik tudi upravljati s pomočjo skupinskih politik, kar jasno kaže namero proizvajalca Google-a, da ugodi tudi zahtevam organizacij, ki želijo imeti tudi spletne brskalnike pod nadzorom (splošno znano je, da je bil do sedaj Microsoft Internet Explorer edini spletni brskalnik s podporo tehnologiji skupinskih politik). Na voljo so tako nastavitve za računalniški del, kot tudi za uporabniški del Objekta skupinskih politik. Upravljanje spletnega brskalnika Google Chrome se prične s tem, da na spletnih straneh Chromium project-a poiščemo skrbniške ADMX nastavitvene predloge za spletni brskalnik Google Chrome, jih prenesemo in razpakiramo, nato pa vse ADMX in ADML datoteke prenesemo v centralno skladišče skrbniških ADMX in ADML predlog - v posebno mapo PolicyDefinitions, ki se nahaja na domenskem krmilniku (podrobnejši opis centralnega skladišča je že opisan v podpoglavju 4.2.2). S tem dejanjem smo pripravljeni na konfiguriranje nastavitev za aplikacijo Google Chrome v Objektih skupinskih politik. V našem primeru bomo konfigurirali nekaj tipičnih nastavitev in sicer v uporabniškem delu v strukturi drevesa Objekta skupinskih politik OE Uporabniki na mestu User Configuration/Policies/ Administrative Templates/Google/Google Chrome in to v podvejah Startup Pages, Home Page in Default Search Provider. Konfigurirali smo nastavitve prikazane na sliki 49: Slika 49: Konfigurirane nastavitve za Google Chrome (Vir: Lastni) Določili smo domačo stran in obnašanje zavihkov, privzeti iskalnik, ter, da je Google Chrome privzeti brskalnik za vsakega uporabnika, ki se prijavi na računalnik. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 71

79 4.9 NAMEŠČANJE APLIKACIJ S SKUPINSKIMI POLITIKAMI Tehnologijo skupinskih politik lahko uporabimo tudi za nameščanje aplikacij na računalnike. Namestitve posameznih aplikacij lahko konfiguriramo tako za uporabniški, kot za računalniški del Objekta skupinskih politik, kar pomeni, da je mogoče izvesti namestitev aplikacije samo za izbrano skupino računalnikov ali uporabnikov. Proces nameščanja aplikacij s skupinskimi politikami zajema več faz, od katerih je najpomembnejša priprava načrta namestitve. V načrtu namestitve moramo določiti kam in komu bomo namestili aplikacijo, kje bo distribucijsko mesto z ustreznimi uporabniškimi pravicami, ter izvesti morebitne modifikacije namestitvenega paketa. Nato distribucijo namestitvenega paketa lahko konfiguriramo v Objektu skupinskih politik. V strukturi drevesa Objekta skupinskih politik najdemo nastavitve za nameščanje aplikacij na dveh mestih in sicer v vejah Computer Configuration/Policies/Software Settings/Software Installation (računalniški del) in User Configuration/Policies/Software Settings/Software Installation (uporabniški del). Konfiguriranje namestitvenega paketa za posamezno aplikacijo je preprosto, na sliki 50 pa je prikazan konfiguriran namestitveni paket za večpredstavni vtičnik za spletne vsebine Adobe Flash Player Slika 50: Konfiguriran namestitveni paket Adobe Flash Player 10.2 v Objektu skupinskih politik OE Racunalniki (Vir: Lastni) Vsaka namestitev aplikacije, ki je konfigurirana v skupinskih politikah, se prične izvajati ob startu računalnika in sicer pred prijavo uporabnika na računalnik. Druge možnosti ni. To pomeni, da se prijava uporabnika za čas namestitve podaljša, kar je lahko zelo moteče, če je namestitveni paket velik. Druga omejitev pri nameščanju je, da je paket lahko samo v tako imenovanem Windows Installer (msi) formatu, kar izključuje namestitev kar nekaj aplikacij, katerih nameščanje se izvaja preko lastnih namestitvenih procedur. V takem primeru lahko uporabimo orodja s katerim "problematične" aplikacije prevedemo v Windows Installer (msi) format, kar pa ni ravno preprosta naloga. Tretja pomanjkljivost je nadzor nad izvajanjem namestitve, saj ne moremo vedeti ali se je aplikacija uspešno namestila ali ne. Obstajajo seveda dnevniške datoteke o namestitvi na vsakem računalniku, vendar s centralnega mesta nadzor ni možen. Zato je uporaba tehnologije skupinskih politik za nameščanja aplikacij relativno nerodna, ter je primerna le v primerih, ko nimamo na voljo drugih mehanizmov za nameščanje aplikacij iz centralnega mesta. Za tako nalogo je za Windows okolja najbolj primeren strežnik Microsoft System Center Configuration Manager, s katerim se izognemo vsem zgoraj omenjenim omejitvam. Marko Hacin: Upravljanje uporabniškega okolja s skupinskimi politikami stran 72