A központosított rendszer - II. rész

A központosított rendszer - II. rész

Gál Tamá[email protected] üzemeltetési szakértőMicrosoft Magyarország

Informatika Tisztán sorozat – 2010http://technetklub.hu/InformatikaTisztan

- Group Policy- Group Policy Preferences- Group Policy 4x5- Optimális munkakörnyezet – az első lépcsőfok


Group Policy


Emlékezzünk vissza: mire jó egy címtár?Szerepe egy hálózatban

Tárolja a szervezet működéséhez szükséges objektumokatFiókok, erőforrás-objektumok, jogosultságok, DNS zónák, stb.Az objektumok egy helyen és egyszerre módosíthatóak

Fontos szerepe van a biztonsági folyamatokbanTeljeskörű hitelesítés a tartományban (+ tárolja, védi a hitelesítési adatokat)Hozzáférést biztosít az erőforrásokhoz (felhatalmazás)

Lehetővé teszi továbbáA centralizált / decentralizált felügyeletet Az engedélyek delegálásátA központi, házirend alapú szabályzást

TípusokCsoportházirend (Group Policy)

Tartományban a kliens OS-ek és alkalmazások tulajdonságainak beállítása, központilag, testreszabottan, automatikusanWindows NT 4.0: System PolicyWindows 2000 Server: Group PolicyWindows Server 2008: Group Policy Preferences

Helyi házirend (Local Group Policy)Az elv ugyanaz, de csak az adott gépre érvényes a hatókörLényegesen kevesebb opció – de pl. tesztelésre is kiválóVista és újabb > Multiple GPO

Admin vagy nem Admin helyi csoportoknakA helyi felhasználóknak is akár külön-külön

Mire használjuk?Mindenre.

Szabadság vs. GP

demo

Még mindig az alapokról…Nagyon sokat használjuk és nagyon sok mindenre

Ahol van Active Directory, ott90%-nál nagyobb az aktív GP használat (nagyvállalati szegmens)70%-nál több (középvállalati szegmens)

Windows 2000 Professional + Server = ~630 opcióWindows 7 + WS08 R2 = több mint 3300 opció

Használjuk ki!

Működés 1.GPO (Group Policy Object)

A hozzárendelés alapja, részei:GPC (Group Policy Container) – a címtárbanGPT (Group Policy Template) – a SYSVOL-ban, a végrehajtás részletei

Tartalom: manuális szerkesztés a sablonokon (.adm, .admx) keresztülA kliens oldali lebonyolítás: Client Side Extensions (CSE - *.dll)

Felépítés: 2x2 fő házirend ágA klasszikus elágazás

Felügyeleti (user + computer)Egyéb - biztonsági beállítások, szkriptek, szoftvertelepítés (user + computer)

Az új elágazás: Prefences (user + computer)

Működés 2.Hatókör: Site / Domain / OUHozzárendelés, hivatkozásTöbb GPO is érvényesülhet egy felhasználóra/számítógépre

Gyáriak: Default Domain, Default Domain ControllerSorrend1: L-S-D-O Sorrend2: a legfelső az adott objektum GPO listájában

Öröklődés, blokkolás, kikényszerítés, loopback processing

Domain

Domain

Domain

Domain

Domain

DomainOU

OU OU

Tartományfa

Tartomány

Erdő

Szervezeti egységek

Objektumok

Működés 3.ADMX/ADML - az új sablon

Nyelvfüggetlen, „modern” formátum, több mint 130 fájl + a nyelvi fájlokCentral Store > Sysvol bloat

Új ADMX UIMinden egyben + súgó

GP rendszerszolgáltatásGyors, független, „újratölthető”

NLA 2.0Gyors, intelligens (sávszélesség)ICMP nincs, automatikus, VPN is

Működés 4.Automatikusan frissül

A klienseknél kb. 90, DC-k: 5 perc, állítható, de manuális frissítés is

EszközökEseménynapló >>>Felügyelet: Gpedit.msc, GPMC

GPMCv2 > min. Vista SP1 > RSATExtrák: Modeling, Results, RSOPParancssor: gpupdate, gpresult, …Teljeskörű Powershell is (W7+R2)

Szkriptek, direkt GPO írás, stb.

GPMC áttekintés

demo

Group Policy Preferences


Group Policy PreferencesRengeteg olyan opció amire a kezdetek óta szükségünk lenneTeljesen új modell, nem kötelező, hanem ajánlott beállításokGépekre és felhasználókra isElképesztően részletes „targeting”Kliens oldalon spéci bővítmény kell hozzá

Cliens Side Extension, gyárilag csak W7, WS08/R2Vista RTM, XP, WS03 esetén letölthető (WU/MU)

Konfliktus esetén a „régi” GP opció nyer

GPP áttekintés

demo

Group Policy 4x5


5 biztonsági beállítás (1.)

Store passwords using reversibl

e encrypti

on

Restricted Groups

Public Key

Policies -Encrypte

d File System

Software Restricti

on Policies

+ AppLock

er

Wired / Wireless Policies

5 felügyeleti beállítás (2.)

Deployed Printers

Policy Based QoS

Turn off Local GP objects

processing

Specify a Custom Active Power Plan

Delete user

profiles older

than a specified number of days

on system restart

5 hálózati beállítás (3.)

Allow BITS Peer-

caching

Windows Firewall – Domain / Private profiles

Network Connecti-

vity Status

Indicator

Limit disk space

used by offline files

Always wait for

the network

at computer startup

and logon

5 felhasználói beállítás (4.)

Desktop-Don’t save

settings at exit

Prevent users from

resizing the

taskbar

Windows Update-Remove

access to use all

Windows Update features

Prevent access

the command prompt / registry editing tools

Removable

Storage Access

(CD/DVD, floppy,

USB, WPD)

Bónusz: 9 üzemeltetési tanács1. Mindenképpen teszteld le az opciók hatását!2. Először a GPO-kat csináld meg, és csak eztán

kerüljenek be a kliensek a hatókörükbe!3. GPO gyártás/szerkesztés > ugyanarról az OS verzióról4. A jó cél a kevés GPO, sok és összefüggő beállítással!5. Óvatosan a „kényszerítés” és a „blokkolás”

lehetőségekkel!6. Az adminoknak mindig tiltás (Deny) legyen a

végrehajtáson!7. Használd bátran a parancssort és a GPMC extrákat!8. Komentálás, dokumentálás, mentés!9. Próbáld meg a felhasználók tudomására hozni a

„miért” magyarázatát!

Optimális munkakörnyezet – az első lépcsőfok


Profilok, hálózati mappák,mappa átirányítás

Profilok helybenA felhasználói profil összetevői

RegistryNTuser.dat, amely a profil részeként töltődik be a belépéskor és a HKEY_CURRENT_USER szakasz alatt található meg

Profil mappaA fájlrendszerben, XP esetén a „Documents and Settings„, W7 esetén a „Users” mappában található.

Típusok: helyi, hálózati, kötelező, vándorló

Profilok helybenHelyi profil

Automatikusan, az első interaktív belépéskor készül el, és gépfüggőMindig a helyi lemezen tárolódik

De mozgatható (helyben)Másolható (nem fájlszinten), migrálhatóAz alapsablon (Default User) tárolható:

Helyben Illetve a NETLOGON megosztásban a DC-n

A közös profil (All Users/Public) is „beleszólhat”Tartományban kettős profil is előfordulhat (usernev.domain)

Profilok hálózatbanVándorló (roaming) profil

Automatikusan, az első interaktív belépéskor készül elHa alapértelmezés szerint a RUP az érvényes

Mindig egy hálózati megosztáson tárolódikMinden interaktív belépéskor letöltődikNem gépspecifikus > követi a usert

Kötelező (mandatory) profilSpeciális profil típus, az admin kreáljaElőredefiniált környezet a kiszolgáló megosztásán tárolva

A user módosítja pl. az Asztalt, de a változások nem szinkronizálódnak kilépéskorKét típus

Szimpla kötelező profil: NTuser.dat > NTuser.man Szuper kötelező profil: \\Server\Share\<profilnév>.man

Kis kitérő: a „Home” mappák

Felhasználók saját, hálózati mappái – tartományban, félig automatikusan

Könnyen menthető, védhető, elérhetőA kiszolgálón külön köteten lemezen

ABE!Megosztási és NTFS jogosultságok!

ADUC teendőkEngedélyezni >>>Automatikusan létrejön, a megfelelő jogosultságokkal

\\Server\Homes\%username% > (%OS%)Login szkript: net use x: /home

Profilok hálózatbanMappa átirányítás

Részben a vándorló profil hibái miatt, illetve az Offline files kiegészítése gyanántXP: csak 4 (esetleg 5) mappa

My Documents (My Pictures), Desktop, Start Menu, Application Data

Windows 7: 13 mappa, saját bővítményFdeploy.dll, a GP rendszerszolgáltatás részeMozgatja a fájlokat, ügyel a soft-linkek-re, és a Knownfolder nevekre Egyeztet az Offline files tartalommalSok-sok Csoportházirend opció

Profilok hálózatbanMappa átirányítás

A kiszolgáló oldali előkészítés hasonló a Home mappáéhoz (ADUC)

Praktikusan a Home mappát is használhatjukNTFS: Authenticated Users helyett Everyone

Teendők a csoportházirendben Beállítások mappatípusonkéntBasic/Advanced módszer: szűrés csoportokraÁtirányítás gyökerének megjelöléseEgyéb haladó beállítások (pl. eltávolításkor)

Gépcsere problémák nélkül

demo