You are on page 1of 7

Administriranje sistema Windows

Veba br.4

Upravljanje grupnim polisama


na Windows serveru 2008

Priprema:
Priprema za ovu vebu data je u fajlu Zadatak Grupne polise ver 2. Kreirati Aktivni
direktorijum po uputstvu, a zatim primeniti polise definisane zadatkom 1 i 2.

GPO linkovi
Group Policy Object (GPO) moe biti linkovan (primenjen) na vie sajtova Aktivnog
direktorijuma, domena ili organizacionih jedinica (Organizational Units, OU). Nakon linkovanja
polise na site, domen ili OU, korisnici i raunari u ovom kontejneru nalaze se u zoni delovanja
GPO, ukljuujui one korisnike I raunare koji se nalaze u childe OU.
Linkovanje GPO na domen ili OU vri se tako to se selektuje domen ili OU, a zatim se
desnim klikom otvori meni u kojem se odabere opcija Link An Existing GPO. U listi koja e se
pojaviti odabere se odgovarajui GPO. Ako GPO nije kreiran, onda se bira opcija Create
A GPO In This Domain, And Link It Here (Create A GPO In This OU, And Link It
Here). Ovo opcijom kreira se GPO i automatski se linkuje ka domenu ili OU za koje je kreiran.
Za linkovanje GPO na site, nephodno je prvo kreirati GPO u Group Policy Object direktorijumu
domenskog stable sa leve strane u Group Policy Management Console (GPMC). Desnim klikom
na Group Policy Object i odabirom opcije New otvorie se prozor u kojem treba definisati ime
GPO. Ovaj GPO je kreiran, ali nije linkovan. U meniju Sites u stablu Forest-a MGCM po
osnovnoj postavci nisu izlistani site-ovi. Neophodno je desnim klikom na Sites otvoriti meni i
odabrati opciju Show Sites. Na sledeem prozoru treba oznaiti prozore ispred site-ova koje
elimo da prikaemo. Desnim klikom na ime site-a u stablu ispod Sites, otvara se meni na kojem
treba odabrati Link An Existing GPO. Odabere se ili prethodno kreirani GPO, ili ve postojei
GPO.

GPO linkovani na Site-ove i njihovo smetanje na domen kontroleru


GPO primenjen na neki site deluje na sve raunare u okviru site-a bez obzira kojem
domenu pripadaju (pod uslovom da svi raunari pripadaju istom Aktivnom direktorijumu ).
Linkovanjem na site GPO se moe primeniti na vie domena unutar foresta. GPO linkovani na
site su smeteni na domen kontrolerima na kojima su kreirani. Iz navedenog razloga domen
kontroleri za ovaj domen moraju biti dostupni da bi se GPO linkovani na site ispravno primenili.
Za korienje GPO linkovanih neophodno je razmotriti i primenu polisa prilikom planiranja
mreene infrastructure. Domen u kojem su smeteni GPO koji su linkovani na site mora biti na
lokaciji samog site ili se mora obezbediti visoka dostupnost domen kontrolera na udaljenoj
lokaciji u GPO domenu.
Kada se GPO linkuje na site, domen ili OU, definie se incijalna zona vaenja (Scope)
GPO. Zona vaenja se moe videti tako to se odabere GPO link u forest stablu GPMC-a i na
desnom panelu se odabere Scope tab. U ovom tabu se moe videti, u prvom segmentu, na koji je
kontejner linkovan GPO, slika 1.

Slika 1. GPOlinkovi prikazani u Scope tabu GPMC-a

Na osnovu informacije da li korisnik ili raunar ulazi u oblast vaenja GPO linka GPO
klijenti vre kopiranje i smetanje (keiranje) GPO u lokalnu memoriju (keiranje). Na ovaj nain
obezbeeno je efikasnije osveavanje polisa, jer se dodatno kopiranje izvodi samo u sluaju
pojave novih GPO ili promene postojeih.

Linkovanje GPO na vie OU


GPO se moe linkovati na vie site-ova, domena ili OU. Uobiajeno je da se odreena
konfiguracija primenjuje u veem broju raunara. Definisanjem GPO i linkovanjem na svaku od
OU obezbeuje se primena iste GPO na svim dostupnim raunarima unutar OU na koje je GPO
linkovana. Promenom konfiguracije unutar GPO, promenjen GPO bie automatski primenjen na
sve OU na koje linkovan.

Brisanje i iskljuivanje GPO linka


Nakon linkovanja GPO, GPO link se pojavljuje u GPMC ispod site-a, domena ili OU na
koju je linkovan. Ikona za GPO link ima malu kratku strelicu kao oznaku. Desnim klikom na
GPO link pojavljuje se kontekst meni , slika 2.

Slika 2 Kontekst meni GPO linka

GPO link se moe obrisati, odabiranjem opcije Delete u kontekst meniju. Brisanjem GPO
linka nije obrisan i GPO koji je i dalje ostao u Group Policy Objects kontejneru. Brisanjem linka
menja se zona vaenja GPO, koji vie ne deluje na raunare i korisnike unutar site-a, domena ili
OU na koji je prethodno bio linkovan. GPO objekat se moe trajno obrisati samo u Group Policy
Objects kontejneru desnim klikom na GPO i u otvorenom kontekst meniju odabirom opcije
Delete.
Modifikacija GPO linka iskljuivanjem izvodi se tako to se nakon desnog klika na GPO
link u kontekst meniju koji se otvori odabere opcija Link Enabled. Link je bio ukljuen, a
ponovnim selektovanjem ove opcije vri se iskljuivanje. Da li je link ukljuen ili nije ukazuje
mala kvaica pored ove opcije u kontekst meniju. Njena pojava daje indikaciju da je link
ukljuen. Iskljuivanjem GPO ne deluje na raunare ili korisnike unutar kontejnera.
Iskljuivanjem link ostaje u stablu ispod kontejnera (linkovan, ali iskljuen), i u svakom trenutku
se moe izvriti ponovno ukljuivanje linka

GPO nasleivanje i prioritet


Konfiguracija raznih postavki za korisnike i raunare u nekom domenu moe biti
realizovana primenom vie GPO objekata. GPO objekti mogu biti u konfliktu meusobno. Na
primer, u jednom GPO neka postavka moe biti aktivirana sa enable, u drugom GPO sa disable,
a u treem ne mora uopte da bude konfigurisana. U ovom sluaju prioritet (precedence)
odreuje koja e postavka GPO biti primenjena na klijenta. GPO sa veim priritetom preklapa
GPO sa niim priritetom. U Group Policy Management Console (GPMC) prioritet je oznaen
brojevima. Nii broj oodgovara veem prioritetu.GPO sa brojem jedan preklapa sve ostale GPO.
Prioritet svakog GPO se moe videti tako to se selektuje domen ili OU, i na desnom panelu se
selektuje Group Policy Inheritance tab.
Kada je postavka polise aktivna sa enable ili disable u GPO sa viim prioritetom,
konfigurisana postavka deluje na korisnike ili raunare. Postavke polisa su inicijalno postavljene
kao Not Configured. U sluaju da postavka polisa u nekom GPO nije konfigurisana, a GPO je
najvieg prioriteta, prvi sledei GPO nii po prioritetu sa aktivnom istom postavkom (enable ili
disable) poinje da deluje na korisnike.
Za site, domen ili OU moe se kreirati vie GPO i linkovati ka njima. Red GPO linka
odreuje i prioritet. GPO sa linkom vieg reda ima vei prioritet od GPO sa linkom nieg reda.
Red GPO linkova moe se videti tako to se u GPMC selektuje OU i na desnom panelu se
odabere Linked Group Policy Objects tab, slika 4.
Promena prioritet u Linked Group Policy Objects tabu vri se tako to se selektuje GPO,
a zatim se strelicama sa leve strane ovog taba pomera GPO na gore ili na dole u odnosu na ostale
GPO.
Kod grupnih vai pravilo da GPO koji je linkovan ka kontejneru vieg reda , je nasleen
u kontejneru nieg reda. Kada se startuje raunar ili kada se korisnik uloguje, Group Policy
klijent pretrauje aktivni direktorijum da bi pronaao korisniki objekat i procenjuje polise u
obimu koji je definisan, za korisnika ili raunar. Klijentska strana zatim vri primenu postavki
definisanih u polisama. Polise se primenjuju sekvencijalno, poevi od polisa koje su linkovane
ka site-ovima, zatim koje su linkovane ka domenima i na kraju koje su linkovane ka OU poevi
od OU najvieg nivo nanie ka OU u kojima se nalaze korisnici i raunari. Kao to se moe
videti, ovo je slojevita primena postavki definisanih u polisama. GPO koji se kasnije primeni,
zbog svog prioriteta, preklopie postavke koje su primenjene ranije u procesu implementacije
grupnih polisa.
Sekvencijalna primena grupnih polisa na razliitim nivoima izaziva efekat koji ima naziv
nasleivanje polisa(policy inheritance). S obzirom da se polise nasleuju, skup polisa koje deluju
na korisnika ili raunar je kumulativan skup svih polisa koje su primenjene na site, domen i OU.
Nasleene polise su nieg pririteta od polisa koje su direktno povezane na kontejner (OU). Na
primer, elimo svim korisnicima u nekom domenu da zabranimo pristup alatima za editovanje
registara. Jednostavno se kreira GPO sa odogovarajuom zabranom i linkuje sa domenom.
Meutim, ova zabrana ne bi trebala da vai i za administrator domena. Reenje je da se na
administratorsku OU primeniti GPO koji u sebi sadri dozvolu za koritenje alata za editovanje
registara. GPO linkovan sa OU ima vei prioritet od nasleene GPO pa e administrator imati
pristup pomenutim alatima.

Prioriteti veeg broja linkovanih GPO


OU, domen ili site mogu imati vie GPO linkovanih ka njima. U sluaju viestrukih
GPO, red linka odreuje prioritet. Na slici X dva GPO su linkovani ka OU People. GPO vii na
listi, u ovom sluaju sa redom linka 1, ima vei prioritet. Zbog vee prioriteta postavke koje su
aktivirane sa enable ili disable u Power User Configuration GPO imaju vei prioritet u odnosu na
postavke u Standard User Configuration GPO, slika 4.

Slika 3.

Blokiranje nasleivanja
Domen ili OU moe se konfigurisati tako da je spreeno nasleivanje postavki polisa. Da
bi se spreilo na sleivanje neophodno je na domen ili OU u GPMC desnim klikom otvoriti meni
i odabrati Block Inheritance.Opcija Block Inheritance je karakteristika domena ili OU, tako da
blokira SVE Group Policy postavke GPO objekata koje se nalaze na viem nivou u Group Policy
hijerarhiji (linkovane ka nadreenoj OU, domenu ili site). Kada se unekoj OU blokira
nasleivanje, primena polisa za tu OU poinje sa GPO objektom linkovanim ka toj OU, a sve
polise koje su linkovane ka OU vieg reda ili domenu nee biti primenjene na ovu OU.
Ako se koristi opcija Block Inheritance, treba to uraditi vrlo obazrivo, jer spreavanje
nasleivanja znatno oteava upravljanje prioritetom i nasleivanjem Grupnih polisa. Koritenjem
Security Group Filtering moe se modifikovati oblast vaenja GPO tako da se GPO primeni
samo na podskup objekata ili da se sprei primena na podskup objekata. Na ovaj nain GPO se
primenjuje samo na odgovarajue korisnike i raunare bez potrebe da se koristi opcija Block
Inheritance.
Enforcing GPO linka
GPO link moe biti postavljen kao Enforced (nepreklapaju). Ovo znai da nijedno
pravilo definisano u ovoj polisi ne moe biti preklopljeno pravilom suprotnog znaenja neke
druge polise. Da bi se GPO link postavio kao Enforced neophodno je desnim klikom na GPO
link otvoriti meni i odabrati Enforced, slika 4.
Kada se GPO konfigurie kao Enforced, GPO postaje polisa najvieg prioriteta i preklapa
svako pravilo preostalih polisa sa kojim dolazi u konflikt. Dodatno, Enforced konfiguracija se
prenosi i na childe kontejnere organizacione jedinice (OU unutar OU), ak i ako su konfigurisani
kao Block Inheritance (zabrana nasleivanja). Dakle Enforced polisa e se primeniti na sve
objekte u oblasti delovanja polise, to znai hijerarhijski nanie od OU na koju je primenjena.
Da bi se video pregled GPO prioriteta selektuje se OU (ili domen) a zatim se na desnom
panelu klikne na Group Policy Inheritance tab, slika 4. U ovom tabu prikazan je priritet svih
GPO linkovanih ka ovoj OU. U prikazu GPO u ovom tabu osim prioriteta uraunato je I
blokiranje nasleivanja (ako je aktivirano ne prikazaju se GPO sa vieg hijerarhijskog Group
Policy nivoa ) i enforced linka (jasno oznaen). U ovom tabu nisu prikazani GPO linkovani ka
site, niti primena GPO security ili WMI filtriranja.

Slika 4 Prioriteti GPO sa enforced linkom

Ukljuivanje i iskljuivanje dela konfiguracije GPO


Promenom GPO statusa moe se blokirati primena dela konfiguracije polisa. Blokiranje
se izvodi po segmentima, dakle Computer Configuration ili User Configuration delovi
konfiguracije polisa. Promena GPO statusa se vri tako to se selektuje GPO sa leve strane u
GPMC a zatim se u panelu sa desne strane odabere tab Details, slika 5. U ovom tabu nalazi se
GPO Status drop-down lista, slika X, u kojoj se odabere jedna od sledeih opcija:
Enabled - obe konfiguracije polisa, computer configuration postavke i user
configuration postavke bie procesirane tokom osveavanja (provere) polisa.
All Settings Disabled - GPO nee biti procesiran tokom osveavanja polisa.
Computer Configuration Settings Disabled Computer configuration postavke u
GPO bie primenjene tokom osveavanja polisa za raunare. GPO nee biti procesiran tokom
osveavanja polisa za korisnike.
User Configuration Settings Disabled - User configuration postavke u GPO bie
primenjene tokom osveavanja polisa za korisnike. GPO nee biti procesiran tokom osveavanja
polisa za raunare.
Primenom GPO Status moe se optimizovati procesiranje polisa.Ako GPO sadri samo
user settings postavljanjem GPO Status-a na opciju disable computer settings moemo
blokirati procesiranje GPO tokom osveavanja polisa za raunare. Na ovaj nain moe se
utedeti procesorsko vreme.

Slika 5 Details tab za selektovani GPO