6.

1 Introducere

Politicile de grup vin in sprijinul administratorului in configurare si restrictionarea interferentei

utilizatorului asupra mediului de lucru. Politicile de grup se aplica obiectelor de tip utilizator si computer
si reprezinta metoda optima de control si configurare a infrastructurii bazate pe sisteme de operare
Windows.
Politicile de grup se bazeaza pe templateuri ce ii ofera administratorului o modalitate usoara si
intuitiva de configurare a acestora. Cu toate acestea, administratorul nu este limitat de aceste
templaturi, el putand sa creeze template-uri noi.
Politicile de grup pot fi setate in trei moduri:
-          Enabled : specifica faptul ca a fost creata o setare pentru aceasta politica de grup.
-          Disabled : specifica faptul ca optiunea este scoasa din uz. A se nota ca scoaterea din uz este o
setare si ca in acest mod, administratorul seteaza optiunea ca sa nu poata fi folosita
-          Not configured : specifica faptul ca setarile nu sunt enabled sau disabled. Aceasta reprezinta
optiunea implicita pentru cele mai multe setari.
Dupa cum spuneam, politicile de grup se aplica pentru doua tipuri de obiecte : utilizatori si
calculatoare. Optiunile principale cu care se pot configura politicile sunt:
-          Software settings : setari legate de aplicatii specifice instalate;
-          Windows settings : setari legate de sistemul de operare . Aceste optiune se imparte la randul ei
in doua: setari legate de utilizator si setari legate de computer;
-          Administrative templates : templateuri folosite la configurarea setarilor;
-          Group Policy Preferences : in Windows Server 2012 R2 GPP vin cu inca 20 de extensii ce permit
setarea unor optiuni precum : optiuni de folder, maparea unor drive-uri, modificarea registrilor
etc. .
-          ADMX Central Store : Administratorul poate seta un Central Store localizat in folderul SYSVOL.
Templateurile administrative sunt salvate ca si fisiere cu extensia ADMX sau AMXL pentru
limbile suportate. Odata creat acest “depozit” de politici, acesta va fi accesibil si se va replica pe
celelalte controloare de domeniu. Totodata, putem conferi utilizatorilor dreptul de a modifica
aceste templateuri.
-          Security Template : reprezinta templateuri de securitate folosite pentru a seta si configura
setari de securitate prin GPO. De aici putem seta politici de cont, politici locale, poltici legate de
event logs.
-          Starter GPO : aceste obiecte permit administratorilor sa creeze si pastreze o lo colectie de
templateuri administrative pentru un singur obiect. Ulterior, administratorul poate sa importe
sau sa exporte pentru distributie.

6.2 Setarile de securitate pentru GPO

Una dintre cele mai importante sectii, daca nu cea mai importanta, este cea de securitate. Sub
sectiunea Windows, setarile de securitate ne permit sa configuram aspecte de securitate cu privinta la
utilizatori si calculatoare. Putem intalni urmatoarele optiuni:
-          Account Policies
-          Local Policies
-          Event Policies
 -          Restricted Groups : permit controlarea membrilor unui grup
-          System Services
-          Registry
-          File System
-          Wired Network
-          Windows Firewall with Advanced Security
-          Network List Manager Policies
-          Wireless networks
-          Network Access Protection
-          Application Control Policies
-          Ip Security Policies
-          Advanced Audit Policy Configuration
-     Software Restriction Policy : permite identificare softwareului si controlarea abilitati de a il putea
porni. Acesta nu permite instalarea softwareului neautorizat.

6.3 Group Policy Objects (GPO)

Pentru a fi mai usor de administra, politicile sunt puse in GPO-uri. Aceste obiecte reprezinta
containere de setari ce se vor aplica. Trebuie inteles ca politicile de grup sunt organizate intr-un mod
ierarhic si drept urmare la fel sunt aplicate. Din punct de vedere ierarhic, politicile se impart in :
-          Politici locale : orice sistem de operare Windows are o politica locala ce i se aplica 
-        Politici de Site : la cel mai inalt nivel, putem seta ca o politica sa se aplice la nivel de site. Acest
lucru inseamna ca o politica se va aplica tuturor componentelor acelui site, care poate sa
insemne servere si domenii, toate membre ale aceleiasi paduri
-          Politici de domeniu: aceste politici se aplica la nivel de domeniu, afectand toate calcualatoarele
si utilizatorii din acel domeniu
-          Politici de OU : la nivelul cel mai granular, politicile se pot aplica la nivel de OU
Trebuie retinut ca politicile sunt ierarhice si cumulative si au caracteristica de mostenire. Ceea ce
inseamna ca daca avem o politica de domeniu care specifica anumite setari de cont si o politica de OU
care specifica un anumit tip de desktop, rezultatul va fi ca un utilizator din acel OU va avea acele setari
de cont si de desktop ce rezulta din cele doua.
Daca insa, avem contradictie in setari, prima oara se va aplica setarea politici locale, apoi peste se va
aplica politica de site, peste care se aplica politica de domeniu, peste care se aplica politica de OU. Ceea
ce inseamna ca ultima politica aplicata va scrie setarea initiala. Asadar, politica de OU va determina ce
valoare va avea acea setare. In cazul in care avem doua setari diferite la nivel de computer si la nivel de
utilizator, setarea de utilizator va suprascrie setarea de calculator. Regula spune ca ultima care se aplica
va determina setarea.
Administratorul poate modifica insa comportamentul din cumulativ si mostenit. Asadar avem 2 setari
fata de cea implicita ( care presupune cumularea si mostenire):
-          Block Policy Inheritance : specifica faptul ca mostenirea este blocata. Ca si exemplu, odata
setata, un OU copil nu va mosteni politicile de la OU-ul parinte.
-        Force Policy Inheritance : sau optiunea Enforced specifica faptul ca setarile din aceasta politica
vor suprascrie orice alte setari care se afla dupa aceasta politica.
 Deoarece configurarea incorecta a mostenirii sau fortarea aplicarii unei politici poate duce la
rezultate nedorite, este bine ca inainte sa se planifice structura de politici si modul lor de aplicare.

6.4 Troubleshootingul Politicilor de Grup

Pentru a putea verifica aplicarea politicilor de grup este necesara o modalitate de a vedea cum se
aplica ele. Pentru a reusi acest lucru, se foloseste Resultant Set of Policy (RSoP). RSoP se poate folosi in
doua moduri:
-          Loggin Mode : care arata setarile actuale care s-au aplicat utilizatorilor si computerelor;
-          Planning Mode : se foloseste inainte de a se aplica setarile si se foloseste la planificarea GPO-
ului.
Pentru a putea vedea RSoP in modul logging se selecteaza utilizatorul sau computerul pentru care
dorim sa vedem rezultantul si se da click dreapta : All Tasks -> Resultant Set of Policy (Logging). In mod
similar se foloseste si in modul Planning.
Putem folosi comanda gpresult pentru a verifica rezultanta politicilor aplicate. Gpresult face parte din
RsoP.  In cazul in care se ruleaza fara parametrii, informatia afisata include :
-          Numele controlorului de domeniu de unde si-a tras calculatorul politica
-          Data si ora la care s-a aplicat politica
-          Ce politici au fost aplicate
-          Ce politici au fost filtrate
-          Apartenenta la grup.
Parametrii ce se pot folosi cu aceasta comanda sunt:
-          /S systemname : genereaza informatia RsoP pentru un calculator Remote
-          /USER username : genereaza informatia RsoP pentru un username remote
-          /x sau /h filename : genereaza un raport XML ( /x) sau HTML ( /h) cu numele “filename” in
locatia specificata
-          /v : specifica modul verbose, care arata informatie verbose cum ar fi informatii despre
drepturile de utilizator
-          /z : specifica un nivel verbose mai aprofundat
-          /textfile.txt : scoate output-ul intr-un fisier text.