HYRJE NE GROUP POLICY

Group Policy jane koleksion konfigurimesh te perdoruesve dhe te kompjuterave qe specifikojne

menyren se si programet, burimet e rrjetit, dhe sistemet e operimit punojne per perdoruesit dhe
kompjuterat ne nje organizate. Group policy mund te konfigurohen per kompjuterat, domainet, sitet,
dhe njesite organizative OU. Per shembull, duke perdorur group policy ne mund te percaktojme
programet qe do tu ofrohen perdoruesve, programet qe shfaqen ne desktopin e perdoruesve,
opsionet e menuse Start.
Group policy nuk i aplikohen grupeve, pavarsisht nga fakti se anetaresimi i grupeve mund te
ndikoje tek Group Policy. Per shembull, nese nje llogari perdoruesi apo kompjuteri i perket nje
grupi te cilit i mohohet aplikimi i group policy mbi kete grup. Ne kete rast llogaria nuk do te kete
ndikim nga group policy. Ky concept njihet si filtrim i GPO nepermjet grupeve te sigurise.
Per te krijuar konfigurime specifike per perdoruesit, ne krijojme GPO-Group policy objects, qe jane
koleksione te konfigurimeve te Group Policy. Cdo kompjuter qe operon me Windows Server 2003
ka nje GPO lokale dhe mund te jete subject i GPO-ve jo lokale gjithashtu.
GPO-te lokale
Nje GPO lokale ruhet ne cdo kompjuter pavaresisht nese kompjuteri eshte pjese e nje mjedisi me
Active Directory. Nje GPO lokale ndikon vetem tek kompjuteri tek cili ndodhet. GPO-te lokale
mund te mbishkruhen nga GPO jo lokale. GPO-te lokale ndodhen ne direktorine \System32\Group
Policy.
GPO-te jo lokale
GPO-te jolokale krijohen ne Active Directory dhe duhet ti linkohen nje site, domain ose nje OU-je
ne menyre qe te aplikohen tek kompjuterat apo tek perdoruesit. Per te perdorur GPO jo lokale, ne
duhet te kemi nje sistem operimi Windows 2000 ose 2003 domain controller te instaluar.
Pasi instalojme Active Directory krijohen dy GPO jo lokale:

Default Domain Policy

Kjo GPO i linkohet domainit dhe ndikon tek te gjithe
perdoruesit dhe kompjuterat ne domain nepermjet trashegimise se group pilicy.
Default Domain Controllers Policy
Kjo GPO i linkohet OU-ve te domain
controllerit.

GPO-te jo lokale ruhen ne direktorine \Sysvol\Domain Name\Policies\GPO GUID\ADM, ku GPO

GUID eshte GPO unique identifier. Ne mund te percaktojme se kush grup mund te administroje
(krijoje, modifikoje apo fshije) GPO duke percaktuar te drejtat per cdo GPO ne tabin Security te
dritares se Properties te cdo GPO-je.
GPO-te mund ti aplikohen vetem klienteve me Windows XP Professional, Windows 2000,
Windows Server 2003, dhe nuk suportohen per Windows 95, windows 98, Windows Millennium
Edition (Windows ME), ose Windows NT.
Nje GPO qe i linkohet ose bashkelidhet nje site, ndikon tek te gjithe kompjuterat e ketij site pasi
informacioni replikohet tek te gjithe domain controllerat qe ndodhen ne site pavaresisht nga
domaini qe permban kompjuterat.
Faqe 1 nga 22

GPO-te ekzistojne si njesi te ruajtura ne nje domain te vetem dhe duhet te lexohen nga domaini kur
klientet qe ndikohen nga kjo GPO lexon ne GPO qe I eshte linkuar.
Group Policy Object Editor
Per te menaxhuar Group policy ne perdorim Group Policy Object Editor. Nje pamje e Group Policy
Object Editor mund te shikojme ne figuren e meposhtme:

Figura 1. Group Policy Object Editor

Konfigurimet e Group Policy
Konfigurimet e Group Policy permbahen ne GPO dhe percaktojne konfigurimet e perdoruesit. Ka
dy tipe te konfigurimeve ne Group Policy: konfigurimi i kompjuterit, dhe konfigurimi i perdoruesit.
Opsionet Computer Configuration dhe User Configuration
Opsioni Computer Configuration permban konfigurimet qe GPO ia aplikon kompjuterave
pavaresisht se kush logohet ne to. Konfigurimet ne kete rast aplikohen kur sistemi i operimit
inicializohet.

Faqe 2 nga 22

Opsioni User Configuration permban konfigurimet qe GPO ia aplikon perdoruesit, pavaresisht se ne

cilin kompjuter ky perdorues logohet. Konfigurimet ne kete rast aplikohen kur perdoruesi logohet
ne kompjuter.
Administrative Templates
Administrative Templates permban konfigurime te Group policy te bazuar ne regjistra. Ka me
shume se 550 opsione qe jane te disponueshme per tu konfiguruar per perdoruesit. Ne dirtaren e
propertive te secilit prej opsioneve qe ndodhen tek Administrative Template ka nje tab Explain qe
jep nje pershkrim per veprimet qe opsioni kryen nese aktivizohet.
Cdo opsion qe ndodhet tek administrative template mund te konfigurohet ne tre menyra:

Not Configuret
Enable
Disabled

Regjistrat nuk jane modifikuar ne kete rast

Regjistrat do te reflektojne veprimin qe ka opsioni i aktivizuar
Regjistrat do te reflektojne qe konfigurimi i opsionit nuk eshte
zgjedhur

Ne sistemin Windows Server 2003 nje administrative template eshte nje skedar me prapashtesen
.adm.
Perdorimi i grupeve te sigurise per te filtruar GPO
Deri tani ne dime qe mund te bashkelidhim GPO tek sitet, domainet, ose OU-te. Dime gjithashtu qe
ne nuk mund te aplikojme direkt GPO tek grupet edhe nese do na duhej. Por ka nje menyre per
aplikimin e GPO-ve tek grupe sigurie specifike. Politikat ne nje GPO jo lokale aplikohen tek
perdoruesit qe kane te drejta Read dhe Apply Group Policy per GPO te konfiguruar Allow. Duke
vendosur te drejta specifike per nje grup sigurie ne mund te filtrojme GPO ne menyre te tille qe te
ndikoje tek kompjuterat dhe perdoruesit qe ne specifikojme.

Faqe 3 nga 22

STRATEGJITE E PLANIFIKIMIT TE GROUP POLICY

Perpara se te implementojme group policy ne duhet te krijojme nje plan per menaxhimin e tyre.
Duhet te planifikojme konfigurimet qe do te bejme, dhe kontrollin administrative te tyre.
Planifikimi i strategjive te Group Policy ndahet ne tre pjese:

Planifikojme konfigurimet e nevojshme qe duam te aplikojme tek kompjuterat dhe tek

perdoruesit ne secilin nivel (site, domaine, OU)
Planifikimi i objekteve GPO (sesa GPO do aplikojme psh cdo OU do kete nje GPO te
sajen) te nevojshme per kompjuterat dhe perdoruesit ne cdo nivel (site, domaine, dhe OU)
Planifikimi i nje kontrolli administrativ i GPO

Dokumentimi i Group Policy eshte nje proces shume i rendesishem pasi ky dokumentim do te jete
shume i nevojshem per administratoret qe kontrollojne dhe administrojne GPO-te ne momentin qe
mund te duhet te modifikohet nje konfigurim.
Planifikimi i konfigurimeve te Group Policy
Ka rreth 600 opsione konfigurimesh te ndryshme ne Group Policy te Windows Server 2003.
Menyra me e mire per tu familjarizuar me gjithe keto konfigurime eshte duke perdorur editorin
Group Policy Object Editor. Zgjedhja e konfigurimeve duhet te bazohet ne ate cfare ato na ofrojne
dhe se sa konfigurimet do te na e lehtesojne administrimin e kompjuterave dhe perdoruesve.
Planifikimi I GPO-ve
Per cdo Site, domain, OU, ne duhet te percaktojme se si konfigurimet e Group Policy do te
vendosen brenda objektit GPO. Praktika me e mire do te ishte qe konfigurimet te beheshin tek
perdoruesit dhe kompjuterat tek te cilet ne duam ti aplikojme keto konfigurime perkatese. Ne mund
ti vendosim konfigurimet e Group Policy ne menyren e meposhtme:

GPO me nje konfigurim Qe permban vetem nje tip konfigurimi te Group Policy- per
shembull, nje GPO qe perfshin vetem konfigurime per sigurine. Ky model do te ishte
menyra me e mire per ato organizata ku pergjegjesite administrative jane te bazuara ne
detyra dhe u delegohen disa individeve. Ne kete menyre cdo GPO do kete konfigurime per
nje drejtim specifik dhe do administrohet nga individi qe eshte pergjegjes per kete drejtim.
GPO me shume konfigurime
Permbajne shume tipe te konfigurimeve te Group
Policy- per shembull, nje GPO qe perfshin edhe konfigurime te sigurise edhe te skripteve.
Ky model eshte nje praktike e mire per ato organizata ku pergjegjesia administrative eshte e
centralizuar dhe nje administrator konfiguron te gjitha tipet e Group Policy
GPO me konfigurim te dedikuar
Ky rast permban konfigurime te Group Policy per
kompjuterat dhe per perdoruesit. Ky model rrit shume numrin e GPO-ve qe aplikohen gjate
logimit dhe si rrjedhoje rrit kohen e logimit por ndihmon shume ne analizim te problemeve
kur keto te fundit ndodhin. Per shembull, nese dyshohet nje problem tek nje kompjuter me
konfigurim GPO, nje administrator mund te logohet si perdorues qe nuk ka nje konfigurim

Faqe 4 nga 22

GPO-je te aplikuar ne menyre qe te heqi mundesine qe problemi te jete ndonje konfigurim i

perdoruesit.
Ne figuren 2. tregohen keto tipe konfigurimesh te GPO.

Figura 2. Tipet e konfigurimeve te GPO

Dizenjimi i GPO ne menyre te decentralizuar
Ne nje sistem te decentralizuar qellimi eshte qe te perfshihen konfigurime specifike ne sa me pak
GPO. Kur kerkohet nje ndryshim, vetem nje GPO duhet te ndryshoje ne menyre qe te realizohet
ndryshimi i kerkuar. Administrimi thjeshtohet por kjo gje ndodh ne disfavor te kohes se logimit qe
zgjatet si rezultat i procesimit te shume GPO-ve.
Per te realizuar nje sistem te decentralizuar, ne mund te krijojme nje GPO baze qe i aplikohet te
gjithe domainit qe permabn konfigurime per te gjithe perdoruesit dhe kompjuterat ne domain. Per
shembull, GPO baze mund te permbaje konfigurime sigurie sic jane kufizimet per llogarite dhe
passwordet dhe GPO te tjera shtese mund te krijohen per te plotesuar kerkesa per secilen nga OU-te
qe mund te jene specifike per secilen OU.
Ky model eshte i mire ne mjedise ku grupe te ndryshme ne organizate kane te njejtat probleme te
sigurise dhe kur ndryshimet e Group Policy jane te shpeshta.
Dizenjimi i GPO ne menyre te centralizuar
Ne nje sistem te centralizuar qellimi eshte qe te perdoren sa me pak GPO (ne menyre ideale vetem
nje). Te gjitha konfigurimet e sigurise qe kerkohen per nje site, domain ose OU duhet te
implementohen ne nje GPO te vetme. Nese Site, domaini ose OU-ja kane grupe perdoruesish dhe
kompjuterash me kerkesa te ndryshme persa i perket politikave te sigurise, zakonisht konsiderohet
Faqe 5 nga 22

ndarja e OU-se ne dy pjese dhe aplikimi i GPO tek secila nen OU dhe jo tek OU-ja kryesore. Nje
ndryshim tek nje dizajn i dille i GPO-ve kerkon me shume administrim se sa nje dizajn i
decentralizuar sepse konfigurimet duhet te ndryshohen ne shume GPO, por favori eshte qe koha e
logimit eshte me e shkurter.
Ky model eshte nje praktike e mire per ato mjedise ku perdoruesit dhe kompjuterat mund te
vendosen ne nje numer i vogel OU-ve per vendosjen e politikave.

Figura 3. Dizenjimi i centralizuar dhe decentralizuar i GPO-ve

Planifikimi i kontrollit administrativ te GPO-ve
Kur ne planifikojme te konfigurojme Group Policy dhe objektet GPO qe do te perdoren ne
organizaten qe ne administrojme, ne duhet te planifikojme se kush do te beje menaxhimin e tyre.
Kontrollet administrative mund te delegohen ne te tre rastet e dizenjimit te kontrollit administrativ
qe jane rasti i centralizuar, i decentralizuar, dhe i bazuar ne pune (task-based).
Dizenjimi i kontrollit administrativ te centralizuar
Ne nje dizajn te centralizuar, administrimi i Group Policy delegohet vetem ne nivelet me te larta te
administratoreve te OU-ve. Ne shembullin qe tregohet ne figuren e meposhtme, administratoret e
OU-ve te nivelit me te larte kane aftesite ne menaxhojne te gjitha GPO-te ne domain. Nderkohe qe
administratoret e nivelit te dyte nuk kane aftesi te menaxhonje GPO-te. Nese duam qe
administratoreve te nivelit te dyte tu japim te drejta atehere mjafton tua delegojme keto te drejta dhe
me pas administratoret e nivelit te dyte do ti kene keto te drejta per te menazhuar GPO.

Faqe 6 nga 22

Figura 4. Nje dizajn i centralizuar i kontrollit administrativ

Dizenjimi i kontrollit administrativ te decentralizuar
Ne dizenjimet e tipit te centralizuar, administrimi i Group Policy delegohet nga niveli me i larte tek
niveli me i ulet i administratoreve te OU-ve. Ne shembullin e treguar ne figuren e meposhtme,
administratoret e nivelit me te larte kane te drejte te administrojne GPO-te qe ndodhen ne nivelin
me te larte. Administratoret e nivelit te dyre te OU-ve kane mundesi te administrojne GPO-te ne
nivelin e dyte. Kjo gje arrihet duke i dhene akses te plote administratoreve te OU-ve te nivelit me te
larte tek GPO-te e nivelit me te larte dhe duke i dhene akses te plote administratoreve te OU-ve ne
nivelin e dyte tek GPO-te e nivelit te dyte. Ky dizajn eshte i pershtatshem per ato organizata ke
duhet te delegojne administrimin e GPO-ve.

Faqe 7 nga 22

Figura 5. Nje dizajn i decentralizuar i kontrollit administrativ

Dizenjimi i kontrollit administrativ i bazuar ne pune qe duhet te kryhen
Ne kete rast administrimi i group policy u delegohet administratoreve qe jane pergjegjes per pune
specifike sic eshte per shembull siguria e aplikacioneve. Ne kete rast, GPO-te dizenjohet ne menyre
te tille qe te permbajne vetem nje bashkesi konfigurimesh te group policy. Ne shembullin e treguar
ne figuren e meposhtme, administratoret kane aftesi te menaxhojne GPO-te pergjegjese per
aplikacionet tek te gjitha OU-te. Kjo gje realizohet duke i dhene te drejta te plota administratoreve
te sigurise tek GPO-te e sigurise dhe te drejta te plota administratoreve te aplikacioneve tek GPO-te
e aplikacioneve. Ky dizajn perdoret ne ato organizata qe kane nje ndarje te pergjegjesive sipas
detyrave te administratoreve.

Figura 6. Nje dizajn i bazuar ne pune specifike i kontrollit administrativ

Faqe 8 nga 22

IMPLEMENTIMI I GPO
Rradha e puneve qe duhet te ndjekim ne menyre qe te implementojme GPO eshte:
1.
2.
3.
4.
5.
6.
7.
8.

Krijimi i objekteve GPO

Krijimi i nje MMC-je per GPO-ne
Delegimi i kontrollit administrative te GPO-se
Implementimi i konfigurimeve te politikave per GPO-ne
aktivizimi i konfigurimeve te group policy qe nuk perdoren
Percaktimet e perjashtimeve qe do te kete GPO-ja
Filtrimi i GPO nepermjet grupeve te sigurise
Linkimi (Lidhja) e GPO-se tek nje site, domain, ose OU

Faqe 9 nga 22

Faqe 10 nga 22

Faqe 11 nga 22

Faqe 12 nga 22

Faqe 13 nga 22

Faqe 14 nga 22

Faqe 15 nga 22

Faqe 16 nga 22

Faqe 17 nga 22

Faqe 18 nga 22

Faqe 19 nga 22

Faqe 20 nga 22

Faqe 21 nga 22

Faqe 22 nga 22