Professional Documents
Culture Documents
Kreiranje Korisničkog Okruženja
Kreiranje Korisničkog Okruženja
STUDIJ RAČUNARSTVA
2
1. Uvod u grupna pravila
Grupna pravila prvi put pojavljuju se s Windows 2000 sustavom. Stoga primjena
grupnih pravila nije moguća na sustavima starijim od Windows 2000. Kod sustava starijih od
Windows 2000 koriste se starije tehnologije npr. kod NT 4.0 koristi se tehnologija System
Policy Editor (poledit.exe). Administratorima pružaju mogućnost definiranja postavki,
dopuštenih i nedopuštenih radnji za korisnike i računala. Za razliku od lokalnih, grupna se
pravila mogu koristiti za uspostavljanje pravila koja će se primjenjivati diljem određenog
mjesta, domene ili organizacijske jedinice u sustavu Active Directory-a. Upravljanje
temeljeno na pravilima pojednostavljuje zadatke kao što su operacija ažuriranja sustava,
instalacija aplikacije, korisnički profili i blokiranje stolnih sustava. Za administriranje grupnih
pravila koristi se konzola Group Policy Management Console (GPMC), koja omogućuje nove
okvire za upravljanje grupnim pravilima. Uz GPMC grupna pravila postaju mnogo
jednostavnija za uporabu, a to je prednost koja će mnogim organizacijama omogućiti bolju
uporabu sustava aktivnog imenika, te iskorištavanje njegovih moćnih upravljačkih značajki.
Grupna pravila se definiraju kao kolekcija parametara konfiguracije korisnika i
računala koja se mogu vezati za računala, lokacije, domene i organizacijske jedinice da bi se
definiralo ponašanje radnih površina korisnika. Za organiziranje i upravljanje parametrima
grupnih pravila za svaki objekt grupnih pravila (GPO – eng. Group Policy Object) koristi se
Group Policy Object Editor.
Grupna pravila se mogu izgraditi korištenjem decentraliziranog ili centraliziranog
modela. Decentralizirani model koristi osnovni objekt grupnih pravila primijenjen na domenu,
koji sadrži parametre prava za što je moguće više korisnika i računala u domeni. Zatim, ovaj
model koristi dodatne objekte grupnih pravila koji su uređeni po općim zahtjevima svake
organizacijske jedinice i primijenjeni na odgovarajuće organizacijske jedinice. Centralizirani
model koristi jedan objekt grupnih pravila koji sadrži sve parametre prava za pridruženu
lokaciju, domenu ili organizacijsku jedinicu. Parametri grupnih pravila se prvo primjenjuju u
redoslijedu lokalnih prava (onih koji su konfigurirani na samom računalu). Zatim se redom
prijavljuju grupna pravila za lokaciju, domenu i na kraju za organizacijske jedinice od
najvišeg čvora u hijerarhiji, pa do organizacijske jedinice koja sadrži objekte. Ukoliko se
nadređenoj skupini dodijeli neki parametar grupnih pravila, taj parametar grupnih pravila se
primjenjuje na sve podređene skupine, uključujući objekte korisnika i računala u skupini.
Međutim, ako se podređenoj skupini naznači parametar grupnih pravila, parametar grupnih
pravila podređene skupine poništava parametar naslijeđen od roditeljskog objekta.
Kod postavljanja grupnih pravila nude se mnoge opcije. Moguće je: distribuirati
program, mijenjati bazu Registry, preusmjerivati posebne direktorije, uvesti sigurnosne
parametre te osigurati skripte koje će se izvršavati prilikom podizanja ili isključivanja sustava,
odnosno prilikom prijavljivanja ili odjavljivanja korisnika.
Postoje dva tipa parametara grupnih pravila: parametri konfiguracije računala i
parametri konfiguracije korisnika. Parametri konfiguracije računala se koriste za postavljanje
grupnih pravila za računala, bez obzira na to tko se na njih prijavljuje, a primjenjuju se kad se
operacijski sustav podiže. Parametri konfiguracije korisnika se koriste za postavljanje grupnih
pravila za korisnike bez obzira na koje se računalo korisnik prijavljuje, a primjenjuju se kada
se korisnici prijavljuju na sustav.
Kod primjene grupnih pravila treba znati koje pravilo na kojeg korisnika primijeniti
stoga je potrebno isplanirati grupna pravila. Postoje tri oblasti planiranja grupnih pravila:
planiranje parametara grupnih pravila, planiranje GPO i planiranje administrativne kontrole
nad GPO-ima kada se planiraju prava, treba imati na umu kako svaka primjena može utjecati
na slijedeće pravo u nizu. Ukoliko na primjer, imamo prava na nivou domene koja ograničava
3
pristup Control Panelu , a zatim imamo grupna pravila za organizacijsku jedinicu koja
dopušta pristup Control Panelu, tada posljednje pravo «pobjeđuje» i korisnici iz te
organizacijske jedinice moći će pristupiti Control Panelu. Jedan od alata koje pomažu u
planiranju izmjena grupnih pravila je Resultant Set of Policy (RSoP). RSoP ima dva režima:
Logging (režim prijavljivanja) – za rješavanje problema postojećeg skupa prava i Planning
(režim planiranja) – za pregledavanje postojećih prava i testiranje novog skupa prava.
Kreiranje RSoP upita nad postojećim grupnim pravilima korisnika ili objektima računala
koristi se čarobnjak Resultant Set of Policy Wizard, bilo da su prava primijenjena na lokaciju,
domenu ili organizacijsku jedinicu. Također je moguće simulirati efekt novih grupnih pravila
na objekte računala i korisnike.
Diplomski rad je organiziran na način da je prvo odabrana tehnologija kreiranja
korisničkog okruženja korištenjem tehnike korisničkih grupa. Tehnologija je predstavljena u
dvije cjeline. Prva cjelina bazirana je na teoriji, a druga je opisana izradom praktičnog rada.
Praktični dio diplomskog rada baziran je na okruženje Odjela za Stručne Studije. Pri izradi
navedenog dijela, korištena je platforma Windows 2000 Server. S obzirom na jednostavnost,
kvalitetu te dobru primjenjivost tehnologije, može se zaključiti da ju je relativno lako
primijeniti na gotovo sva okruženja.
4
2. Što su grupna pravila?
Grupna pravila su kolekcija parametara konfiguracije korisnika i računala koja
određuju kako programi, mrežni resursi i operativni sustav rade za korisnike i računala u
organizaciji.
Grupna pravila se mogu postaviti za računala, lokacije, domene i organizacijske
jedinice. Na primjer, korištenjem grupnih pravila možemo odrediti programe koji su dostupni
korisnicima, programe koji se prikazuju na korisnikovoj radnoj površini te opcije Start
menija. Iako se grupna pravila ne primjenjuju na grupe, članstvo u grupi može utjecati na
promjenu grupnih pravila. Na primjer, ako korisnički ili računalni nalog pripada grupi kojoj
je izričito uskraćena mogućnost primjene grupnih pravila, taj nalog neće primiti grupna
pravila. Ovaj koncept poznat je kao filtriranje dometa GPO-a pomoću sigurnosnih grupa.
Lokalni GPO-i
Jedan lokalni GPO čuva se na svakom računalu bez obzira na to da li je računalo dio
okruženja aktivnog imenika (eng. Active Directory) ili umreženog okruženja. Lokalno GPO
utječe samo na računalo na kojem je uskladišten. Budući da parametre lokalnog GPO-a mogu
prenositi nelokalni GPO-i, lokalni GPO ima najmanji utjecaj ako je računalo u okruženju
aktivnog imenika. U okruženju koje nije umreženo, parametri lokalnog GPO-a su važniji jer
ih ne premošćuju nelokalni GPO-i.
Lokalni GPO uskladišten je na putanji (%Systemroot%\System32\GroupPolicy).
Nelokalni GPO-i
5
Nelokalni GPO-i čuvaju se na putanji %Systemroot%\Sysvol\DomainName\
Policies\GPO GUID\Adm, gdje GPO GUID predstavlja globalni jedinstveni identifikator
GPO-a.
GPO vezan za lokaciju utječe na sva računala unutar lokacije. Prema tome, GPO se
može primijeniti na više domena unutar šume, čak i ako postoji samo kao entitet uskladišten
na jednoj domeni i mora se učitati sa te domene kada klijenti čitaju svoja grupna pravila
vezana za lokaciju.
Kako ćemo otvoriti GPOE zavisi od toga gdje želimo primijeniti grupna pravila.
Postoji nekoliko načina za otvaranje GPOE-a.
6
2.2. Parametri grupnih pravila
7
Čvor Software Settings (programske postavke) omogućuje administratoru distribuciju
programa i upravljanje aplikacijama kroz GPO koji je povezan sa lokacijom aktivnog
imenika, domenom ili organizacijskom jedinicom. Aplikacijama se može upravljati u jednom
od dva režima: dodijeljeni ili objavljeni. Kada je potrebno da računala i korisnici kojima
upravlja GPO imaju aplikaciju ona se dodjeljuje računalu. Aplikacija se objavljuje kad je
potrebno da bude dostupna korisnicima kojima upravlja GPO, u slučaju da korisnik zatreba
aplikaciju. Aplikaciju nije moguće objaviti računalima.
Čvor Windows Settings (postavke windowsa) sadrži dodatne čvorove Scripts (skripte)
i Security Settings (sigurnosne postavke).
Čvor Scripts omogućuje da se navedu dva tipa skripta: podizanje/isključivanje sustava
(u čvoru Computer Configuration ) i prijavljivanje /odjavljivanje (u čvoru User
Configuration). Skripte za podizanje /isključivanje sustava izvršavaju se prilikom uključivanja
ili isključivanja računala. Skripte za prijavljivanje/odjavljivanje izvršavaju kad se korisnik
prijavljuje na računalo ili odjavljuje sa računala. Ukoliko postoji više dodijeljenih skripta za
prijavljivanje /odjavljivanje ili podizanje /isključivanje sustava korisniku ili računalu,
Windows Server 2003 izvršava skripte redoslijedom od vrha prema dnu. Redoslijed
izvršavanja skripta može se podesiti pomoću opcije Properties.
Čvor Security Settings omogućuje administratoru ručno konfiguriranje sigurnosnih
nivoa dodijeljenih lokalnom ili nelokalnom GPO-u.
Samo u čvoru User Configuration, direktorij Windows Settings sadrži dodatne
čvorove:
8
Čvor Administrative Templates (administrativni predlošci) sadrži parametre grupnih
pravila koji su zasnovani na bazi Registry. Unutar Administrative Templates postoji više od
550 parametara, koji su na raspolaganju za konfiguriranje korisničkog okruženja. Svaki od tih
parametara može se podesiti na:
9
Budući da se ne lokalni GPO-i primjenjuju hijerarhijski, konfiguracija korisnika,
odnosno računala, rezultat je GPO-a primijenjenih na njegovu lokaciju, domenu ili OU.
Parametri grupnih pravila primjenjuju se sljedećim redoslijedom:
1. Lokalni GPO. Svako računalo koje radi pod Windows Serverom 2003 ima točno
jedan uskladišten GPO.
2. GPO-i lokacije. Svi GPO-i koju su vezani za lokaciju primjenjuju se sljedeći.
Priprema GPO-a je sinkrona; administrator određuje redoslijed GPO-a vezanih za
lokaciju.
3. GPO-i domena. Više GPO-a vezanih za domenu primjenjuju se sinkrono;
administrator određuje redoslijed GPO-a vezanih za domenu.
4. GPO-i OU-a(organizacijskih jedinica). Prvo se primjenjuju GPO-i vezani za OU
koji je najviši u hijerarhiji aktivnog imenika, zatim slijede GPO-i vezani za njegov
podređeni OU itd. Na kraju se primjenjuju GPO-i vezani za OU koji sadrži
korisnika ili računalo.
Ovaj redoslijed znači da se lokalni GPO primjenjuje prvi, a GPO-i vezani za OU čije
je računalo ili korisnik direktan član, primjenjuju se posljednji, preko ranijih GPO-a.
Na primjer, postavimo domenski GPO da bismo omogućili bilo kojem korisniku da se
interaktivno prijavljuje. Međutim GPO OU-a postavljen za kontrolor domena
sprječava prijavljivanje svih, osim izvjesnih administrativnih grupa.
10
3. Strategija planiranja grupnih pravila
Prije implementiranja grupnih pravila, treba napraviti plan upravljanja tim pravilima.
Možemo planirati parametre grupnih pravila, GPO-e i administrativnu kontrolu nad GPO-ima
da bismo osigurali najdjelotvorniju implementaciju grupnih pravila za vašu organizaciju.
Postoje tri oblasti planiranja grupnih pravila:
GPO za softver
GPO za softver si g urnost i scri ptove
Sales Sales
GPO za scriptove
GP O sa ra čuna lnim
pa rametrima
GPO sa ko risničkim Sales
parametrima
11
Cilj decentraliziranog pristupa GPO-ima (prikazan na slici 3-2.) je određeni parametar
grupnih pravila uključiti u što je manje moguće GPO-a. Kad je potrebna izmjena, samo se
jedan GPO (ili nekoliko njih) mora izmijeniti da bi se promjena provela.
Da bi ste dostigli ovaj cilj, napravimo osnovni GPO koji će se primjenjivati na
domenu i koji sadrži parametre pravila za što je moguće više korisnika i računala u domeni.
Npr. osnovni GPO bi mogao sadržavati parametre sigurnosti cjelokupne korporacije, kao što
su ograničenja naloga i lozinki. Zatim napravimo dodatne GPO-e skrojene po zahtjevima
svakog OU-a i primijenimo ih na odgovarajuće OU-ove.
Ovaj model najpogodniji je za okruženja u kojima grupe unutar organizacije imaju
zajedničke sigurnosne preokupacije u kojima su izmjene grupnih pravila čiste.
Osnovni GPO
GPO East
GPO West
Cilj centraliziranog pristupa GPO-ima (prikazan na slici 3-3.) je da se vrlo malo GPO-
a (idealno samo jedan) koristi za bilo kojeg danog korisnika ili računala. Svi parametri
grupnih pravila trebaju se implementirati unutar jednog GPO-a.
Ako lokacija, domena ili OU posjeduje grupe korisnika ili računala sa različitim
zahtjevima grupnih pravila, tada je potrebno primijeniti GPO na svaku zasebnu OU, umjesto
na roditelja. Izmjena u centraliziranom modelu GPO-a povlači sa sobom više administracije
nego kod decentraliziranog modela, jer može biti potrebno da se parametri izmjene u više
GPO-a, ali je vrijeme prijavljivanja kraće. Ovaj model je pogodan za okruženja u kojima se
korisnici i računala mogu kvalificirati u mali broj OU-ova za dodjelu pravila.
Bez GPO-a
GPO East
GPO West
12
3.2. Planiranje administrativne kontrole nad GPO-ima
13
4. Implementiranje GPO-a
1. Odredimo da li će GPO koji formiramo biti vezan za lokaciju, domenu ili OU.
Zatim učinimo jedno od sljedećeg:
2. Pritisnemo desnom tipkom miša na lokaciju, domenu ili OU-u za koju želimo
formirati GPO i potom kliknemo na Properties.
3. U okviru za dijalog Properties za objekt izaberemo karticu Group Policy. Zatim na
odabranoj kartici kliknemo na New i upišemo ime koje želimo za ovaj GPO.
Podrazumijeva se, novi GPO vezan je za lokaciju, domenu ili OU koji je označen u
MMC konzoli u vrijeme formiranja GPO-a, i njegovi parametri primjenjuju se na
danu lokaciju, domenu ili OU.
4. Pritisnemo Close.
14
4.1.2. Formiranje Microsoftove upravljačke konzole za GPO
Nakon što smo formirali GPO, važno je odrediti koje grupe administratora imaju
pravo pristupa GPO-u. Dozvole koje se podrazumijevaju za GPO-e prikazane su u sljedećoj
tablici.
15
Samo grupe Domain Administrator, Enterprise Administrators u Group Policy Creator
Owners, te sam operativni sustav, mogu formirati nove GPO-e. Ne administrativnim
korisnicima ili grupama možemo dati mogućnost formiranja GPO-a tako što ćemo korisnike
ili grupe dodati u sigurnosnu grupu Group Policy Creator Owners. Članstvo u grupi Group
Policy Creator Owners daje korisniku potpunu kontrolu samo nad GPO-ima koje korisnik
napravi ili su mu eksplicitno delegirani. Ovo članstvo ne daje ne administrativnom korisniku
prava nad bilo kojim drugim GPO-ima. Ukoliko administrator napravi GPO, grupa Domain
Administrator postaje Creator Owner (vlasnik i tvorac) GPO-a.
Za dodavanje sigurnosnih grupa kojima želimo dodijeliti ili uskratiti administrativni
pristup koristi se okvir za dijalog Properties za odabrani GPO i kartica Security Slika 4-2.
Slika 4-2: Okvir za dijalog Properties za GPO OSS OU, kartica Security
16
ukazivati na to da se parametar ne primjenjuje na korisnike ili računala koji
podliježu ovom GPO-u.
Slika 4-3: Okvir za dijalog Properties za pravilo Prohibit access to the Control Panel
Ukoliko čvor Computer Configuration ili čvor User Configuration imaju samo
parametre koji su označeni s Not Configured, onda deaktiviranjem čvora možemo izbjeći
obradu ovih parametara. Deaktiviranje neupotrijebljenih parametara grupnih pravila se
preporučuje jer poboljšava podizanje sustava i prijavljivanje za one korisnike koji podliježu
danom GPO-u.
17
4.1.6. Označavanje svih izuzetaka pri obradi GPO-a
18
postavljene na Deny kao članovi
bilo koje druge sigurnosne grupe.
Novi GPO vezan je za lokaciju, domenu ili OU koji je bio odabran u MMC konzoli u
vrijeme formiranja GPO-a. Prema tome, parametri GPO-a primjenjuju se na tu lokaciju,
domenu ili OU. Međutim ako je potrebno GPO vezati za dodatne lokacije, domene ili OU-
ove, koristi se kartica Group Policy u okviru za dijalog Properties za lokaciju, domenu ili OU.
Da bismo povezali GPO za lokaciju, domenu ili OU, potrebno je poduzeti sljedeće
korake:
1. Otvorimo konzolu Active Directory Users and Computers da bismo GPO povezali
za domenu ili OU, odnosno otvorimo konzolu Active Directory Sites and Servises
da bismo GPO povezali za lokaciju.
2. U konzoli kliknemo desnom tipkom miša na lokaciju, domenu ili OU za koju treba
vezati GPO. Kliknemo na Properties i zatim kliknemo na karticu Group Policy.
3. U okviru za dijalog Properties za objekt na kartici Group Policy kliknemo na Add.
4. U okviru za dijalog Add A Group Policy Object Link (slika 4-4) kliknemo na
karticu All te odaberemo željeni GPO i zatim kliknemo OK.
Slika 4-4: Kartica All u okviru Add a Group Policy Object Link
19
4.2. Mijenjanje GPO-a
Uklanjanjem veze GPO-a, GPO se odvaja od određene lokacije, domena ili OU-a.
GPO ostaje u servisu aktivnog imena sve dok se ne obriše.
1. Otvorimo konzolu Active Directory Users and Computers da bismo uklonili vezu
GPO-a s domenom ili OU-om odnosno otvorimo konzolu Active Directory Sites
and Servises da bismo GPO odvojili od lokacije.
2. U konzoli kliknemo desnom tipkom miša na lokaciju, domenu ili OU čiju vezu s
GPO-om treba ukloniti. Kliknemo Properties a zatim na karticu Group Policy.
3. U okviru za dijalog Propertis za objekt, na kartici Group Policy, odaberemo GPO
čiju vezu želimo ukloniti i zatim kliknemo na Delete.
4. U okviru za dijalog Delete odaberemo Remove The Link From The List. GPO
ostaje u aktivnom imeniku, ali više nije vezan.
1. Otvorimo konzolu Active Directory Users and Computers da bismo obrisali GPO s
domena ili OU-a, odnosno otvorimo konzolu Active Directory Sites and Services
da bismo obrisali GPO s lokacije.
2. U konzoli kliknemo desnom tipkom miša na lokaciju, domenu ili OU-u s kojeg
treba obrisati GPO. Kliknemo na Properties i zatim otvorimo karticu Group Policy.
3. U okviru za dijalog Properties za objekt, na kartici Group Policy, odaberemo GPO
koji želimo obrisati i kliknemo na Delete.
4. U okviru za dijalog Delete kliknemo na Remove The Link And Delete The Group
Policy Object Permanently i zatim na OK. GPO se uklanja iz aktivnog imenika.
20
4.2.3. Uređivanje GPO-a njegovih parametara
Svaki GPO osvježava se kada ponovno pokrenemo računalo. Nakon što izmijenimo
parametre unutar GPO-a, oni se osvježavaju svakih 90 minuta na radnoj stanici ili serveru i
svakih 5 minuta na kontroloru domena. Parametri se također osvježavaju svakih 16 sati, bez
obzira na to da li su nastupile bilo kakve promjene.
21
5. Administriranje grupnih pravila
Najvažniji alat za upravljanje grupnim pravilima je generiranje rezultirajućeg skupa
pravila (Resultant Set of Policies, RSoP). Korištenje ovog alata olakšava implementiranje
pravila i otklanjanje grešaka kod grupnih pravila. RSoP možemo koristiti u planiranju
parametara grupnih pravila koji se primjenjuju na korisnika i računalo. Planiranje strategije
grupnih pravila je neophodno za osiguravanje najefikasnije implementacije grupnih pravila.
Drugi dio efikasnog upravljanja grupnim pravilima je preusmjeravanje direktorija, što
korisnicima osigurava pristupnu točku za čuvanje i traženje informacija. Pomoću čvora Folder
Rediction u okviru grupnih pravila možemo preusmjeriti lokaciju za Application Data,
Desktop, My Documents, My Pictures i Start menu.
RSoP predstavlja ukupni utjecaj Grupnih pravila koja se primjenjuju na korisnika ili
računalo. Određivanje RSoP za računalo ili korisnika može predstavljati složen zadatak. Kod
Microsoft Windows Servera 2003 postoji mogućnost generiranja RSoP upita kako bi se mogla
odrediti grupna pravila koja se primjenjuju na određenog korisnika ili računalo.
Kod Windows Server 2003 postoje tri alata za generiranje RSoP upita:
22
5.1.2. Generiranje RSoP upita pomoću čarobnjaka Resultant Set of
Policy Wizard
Windows Server 2003 posjeduje čarobnjaka Resultant Set of Policy Wizard, koji
koristi postojeće parametre GPO-a za izvještavanje o utjecajima objekata GPO na korisnike i
računala. Čarobnjak RSoP Wizard koristi dva režima za prijavljivanje RSoP upita, režim
evidentiranja i režim planiranja.
Režim evidentiranja
Kada radimo upit u režimu evidentiranja, dobijemo izvješće o svakoj aplikaciji koja je
na raspolaganju za instalaciju, o direktorijima koji će biti preusmjereni (i mjestima na koja će
biti preusmjereni) i svakom parametru pravila koji će se primijeniti na korisnika ili računalo,
kao i o utjecaju sigurnosnih grupa na ta pravila.
Režim planiranja
RSoP režim planiranja nam omogućuje planiranje rasta i organizacije. Pomoću RSoP
režima planiranja možemo pozvati sljedeće objekte GPO-a kako bismo dobili parametre
pravila, aplikacije za instalaciju programa i sigurnost, te koristiti upite sa WMI filtrima kako
bi pročitali hardverska i programska svojstva. Režim planiranja treba koristiti u sljedećim
situacijama:
• Ukoliko želimo testirati prioritete u okviru pravila u slučajevima kada:
o Korisnik i računalo pripadaju različitim sigurnosnim grupama.
o Korisnik i računalo pripadaju različitim jedinicama OU.
o Korisnik i računalo se premještaju na novu lokaciju.
• Ukoliko želimo simulirati sporu vezu.
• Ukoliko želimo simulirati povratnu vezu.
Opcije za RSoP režim planiranja Postoji nekoliko opcija za RSoP režim planiranja.
Svako od opcija može se pokrenuti zasebno ili zajedno sa drugim opcijama. Kako
napredujemo pomoću čarobnjaka pokazivat će se opcije za režim planiranja sljedećim
redoslijedom:
1. Slow network connection Ova opcija simulira sporu vezu. Veza je spora, ako
je brzina prijenosa podataka manja od brzine koja je navedena u okviru tog
objekta. GPO.
23
2. Loopback processing Ova opcija simulira opciju u kojoj je objektu GPO
omogućeno podešavanje režima User Group Policy Loopback Processing
Mode, koji se nalazi u okviru konfiguracije računala , Administrative
Templates, System, Group Policy. Simulacija se može postaviti na Marge ili
Replace. Ukoliko izaberemo Marge simulirat ćemo dodavanje spiska GPO
dobivenog za računala pri pokretanju računala, spisku GPO dobijenom za
korisnika. Ukoliko izaberemo Replace simulirati ćemo zamjenu spiska GPO za
korisnika spiskom GPO koji je već dobiven za računalo pri pokretanju
računala.
5. Alternate user and computer security groups Ova opcija simulira primjenu
sigurnosnih grupa koje se primjenjuju za konfiguriranje korisnika i računala,
što omogućuje da predviđanje RsoP-a koji koristi sigurnosne grupe za
filtriranje GPO dometa.
6. WMI filters for users and computers Ova opcija simulira korištenje WMI
filtara kao pomoći za definiranje parametara grupnih pravila koji se
primjenjuju, što omogućuje da predvidimo RSoP pomoću WMI upita za
filtriranje GPO dometa.
RSoP upite kreiramo tako što napravimo konzolu RSoP upita, a zatim ga
konfiguriramo pomoću čarobnjaka Resultant Set Of Policy Wizard. Također postoji
mogućnost kreiranja RSoP-a upit na osnovu konzole Active Directoriy Users And Computers
ili na osnovu konzole Active Directory Sites And Srvices. Ukoliko kreiramo RSoP upite na
osnovu konzole Active Directory Users And Computers ili na osnovu konzole Active
Directory Sites And Srvices moramo spremiti upit u okviru %systemroot%\Documents and
Setings\Administrator\Start Menu\Programs\Administrative Tools kako bi nam bio na
raspolaganju.
Kako bismo napravili RSoP upit za postojećeg korisnika i postojeće računalo moramo
biti prijavljeni na lokalno računalo sa administratorskim ovlastima za generiranje RSoP upita
za domenu ili OU u okviru kojih se promatrani korisnički ili računalni nalozi nalaze.
Nakon što kreiramo RSoP upit pomoću čarobnjaka postoji mogućnost da se taj RSoP
upit i podatci dobiveni pomoću njega spreme. Spremljeni RSoP upit se može ponovno
upotrijebiti kasnije, za obradu drugog RSoP upita. Upit se čuva na konzoli za RSoP upite.
Podaci dobiveni pomoću RSoP upita se arhiviraju u okviru RSoP konzole.
24
Prikazivanje RSoP upita
Nakon što smo kreirali i spremili RSoP upit informacije tog upita pojavljuju se na
konzoli RSoP upita. Konzola RSoP upita sadrži četiri tipa koji se mogu prikazati. To su:
Gpresult je alat koji se pokreće i prikazuje u komandnoj liniji. Pored toga, alat
Gpresult osigurava opće informacije o operativnom sustavu, korisniku i računalu. Gpresult
osigurava sljedeće informacije o grupnim pravilima:
25
Rezultati RSoP upita generiranog pomoću alata Advanced System Information-Policy su
dobiveni preko režima evidentiranja RSoP za korisnika koji je trenutno prijavljen na računalo
na kojem se upit izvršava. Izvješće koje je generirano prikazuje informacije o pravilima za
sljedeće kategorije:
26
• Tehnologija Offline Files korisnicima osigurava pristup direktoriju čak i kad
nisu povezani s mrežom, a posebno je korisna za korisnike prijenosnih
računala.
• Podaci sačuvani na dijeljenom mrežnom serveru mogu se čuvati radi zaštite
kao dio upravljanja sustavom preko rutina.
• Administrator sustava može koristiti grupna pravila za postavljanje kvota diska
ograničavajući količinu prostora koju mogu zauzeti posebni direktoriji
korisnika.
• Podaci koji su specifični za korisnika mogu se preusmjeriti na neki drugi čvrsti
disk na lokalnom računalu sa čvrstog diska koji čuva datoteke operativnog
sustava. Time su korisnički podaci sigurniji u slučaju da se sruši operativni
sustav.
Također trebamo imati mogućnost utvrđivanja i rješavanja problema, kao što su:
• Objekti GPO se ne primjenjuju.
• Objektima GPO se ne može pristupiti.
• Stavke u vezi sa nasljeđivanjem kod objekata GPO izazivaju neočekivane
rezultate.
• Direktoriji nisu preusmjereni ili su preusmjereni na neočekivano mjesto
• Datoteke i direktoriji nisu na raspolaganju u offline režimu.
• Datoteke nisu sinkronizirane.
Kod Windows Server 2003 postoje sljedeći alati za otklanjanje pogrešaka kod grupnih
pravila koji nam pomažu pri provjeri konfiguracije, utvrđivanju i rješavanju problema:
• Resultant Set Of Policy Wizard
• Gpresult
• Gpupdate
• Event Viewer
• Log datoteke
27
6. Distribucija programa pomoću grupnih
pravila
28
Administrator objavljuje program koji je korisnicima potreban za obavljanje poslova. I
dodijeljeni i objavljeni program je smješten u točci distribucije programa (software
distribution point, SDP), na mrežnoj lokaciji sa koje korisnici mogu dobiti program koji im je
potreban.
Dodjela aplikacija
Kada se korisniku dodjeljuje aplikacija, ona se oglašava u okviru Start izbornika kad
se sljedeći put korisnik prijavi na radnu stanicu, a lokalni parametri baze Registry, uključujući
oznake tipa datoteka, su ažurirani. Oglašavanje aplikacije prati korisnika bez obzira na koje se
računalo on prijavljuje. Ova aplikacija se instalira kada korisnik prvi put pokrene aplikaciju
na računalu ili biranjem aplikacije u izborniku Start ili otvaranjem dokumenta koji je u vezi s
tom aplikacijom.
Kada se aplikacija dodjeljuje računalu, aplikacija je objavljena i instalacija se izvodi
obično odmah nakon što se računalo pokrene, jer nema konkurentnih procesa koji se
izvršavaju na računalu. Dodijeljeni program je u potpunosti instaliran kad se računalo sljedeći
put pokrene.
Objavljivanje aplikacija
29
Datoteke (.msi) prepakovane aplikacije Ove datoteke se koriste za
prepakiranje aplikacija koje nemaju početni paket Windows Installer. Iako
prepakovani paketi Windows Installer rade isto kao i početni paketi Windows
Installer, prepakovani paketi Windows Installer sadrže jedan proizvod sa svim
komponentama i aplikacijama koje su povezane s tim proizvodom, a instalirane
su kao pojedinačne karakteristike.
30
6.1.3. Pristupi uvođenju programa
Budući da je Windows Installer dio operacijskog sustava nije bitno kako paketi
Windows Installer dolaze do klijentskih računala. Ukoliko se program distribuira većem broju
korisnika, a pritom se koristi Windows Server 2003 i aktivni imenik, a sve radne stanice
koriste Windows 2000 Profesional ili noviju verziju, program je moguće distribuirati pomoću
grupnih pravila.
31
Kod distribucije programa pomoću grupnih pravila koristi se model preuzimanja, koji
program stavlja na raspolaganje svim korisnicima kojima je potreban. Programi se u
potpunosti instaliraju kada korisnik prvi put odabere taj program koji mu je dodijeljen (npr.
MS Word.exe) ili ako izabere datoteku dodijeljenog programa (npr. dokument.doc). Za
distribuciju programa pomoću grupnih pravila potrebna je lokana mreža (Local Area Network,
LAN) velike brzine između klijentskog računala i servera koji distribuira program.
Prije nego što se počne sa distribucijom programa pomoću grupnih pravila, potrebno
je isplanirati distribuciju. Kod planiranja distribucije programa treba:
32
Kreiranje objekta GPO i konzole GPO za distribuciju programa
Nakon podešavanja točke SDP potrebno je kreirati GPO i MMC konzolu za GPO.
Postupak je objašnjen u 4. poglavlju u odlomcima 4.1.1. i 4.1.2.
33
5. Kliknuti na OK. Ukoliko je prethodno odabrana opcija Published ili Assigned
paket Windows Installer je dodan GPO-u. Ukoliko je odabrana ocija
Aedcanced, otvara se prozor Properties za paket Windows Installer u kojem je
moguće podesiti parametre paketa Windows Installer, kao što su opcije i
modifikacije distrribucije. Podešavanjem paketa Windows Installer moguće je
podesiti distribuciju svake aplikacije.
34
7. Kreiranje okruženja na Windows 2003
poslužitelju korištenjem tehnike grupna
pravila
Prije nego što instaliramo aktivni imenik na server potrebno je postaviti statičku IP
adresu i prioritetni DNS server. Za postavljenje statičke IP adrese i prioritetnog DNS servera
potrebno je napraviti slijedeći postupak:
35
4. U okviru za dijalog Internet Protocol (TCP/IP) Properties (slika 7-1), izaberemo
Use The Following IP Adress. Da bismo odredili statičku IP adresu za DNS server,
upišemo IP adresu u polje IP Adress, masku podmreže u polje Subnet Mask te
podrazumijevanu IP adresu u polje Default Gateway.
5. Izaberemo dugme Use The Following DNS Server Adresses, a zatim u polje
Preferred DNS Server upišemo adresu prioritetnog DNS servera. Ako želimo,
možemo odrediti Alternate DNS server kojeg server treba upotrijebiti u slučaju da
ne bude primao odgovor od prioritetnog servera.
6. Kliknemo na OK.
36
1. Za pokretanje čarobnjaka Active Directory Instalations Wizard kliknemo na Start,
zatim Run i upišemo naredbu za pokretanje dcpromo te kliknemo na OK.
2. Na stranici Welcome To Active Directory Instalations Wizard kliknemo na Next.
3. Na stranici Operating System Compatibility kliknemo na Next.
4. Na stranici Domain Controller Type (slika 7-2), izaberemo Domain Controller For a
New Domain i kliknemo na Next.
slika 7-3: Čarobnjak Active Directory Instalations Wizard stranica New Domain Name
37
7. Na stranici NetBIOS Domain Name upotrijebiti ćemo podrazumijevano NetBIOS ime
u ovom slučaju to je "OSS" i kliknuti na Next.
8. Na stranici Database and Log Folders upišemo lokaciju za bazu podataka aktivnog
imenika u polje Database Folder, a dnevnik aktivnog imenika u polje Log Folder.
Preporučljivo je Database Folder i Log Folder staviti na odvojene NTFS diskove.
Zatim kliknemo na Next.
9. Na stranici Shared Syistem Volume, upišemo lokaciju direktorija Sysvol u polje
Folder Location. Shared Syistem Volume mora biti smješten na particiji koja je NTFS
formatirana. Zatim kliknemo na Next.
10. Na stranici DNS Registration Diagnostics, kako još nismo instalirali DNS, izaberemo
opciju Install And Configure The DNS Server On This Computer, i kliknemo na
Next.
11. Na stranici Permissions (slika 7-4), odaberemo opciju Permissions compatible only
whit Windows 2000 or Windows Server 2003 operating systems i kliknemo na Next.
38
7.2. Kreiranje OU strukture i korisničkih računa unutar domene
oss.local
Da bismo mogli formirati parametre grupnih pravila i skriti neke objekte, potrebno je
kreirati organizacijske jedinice. U ovom slučaju kreirati ćemo glavnu OU (OSS) unutar koje
ćemo kreirati četiri sigurnosne razine OU-a i nazvati ih level 0, … , level 4, te im dodati
korisnike (Slika 7-5).
39
3. U okviru New Object – Organizational Unit (slika 7-7) upišemo ime nove
organizacijske jedinice koju ćemo nazvati «OSS» i kliknemo na OK.
Nakon kreiranja OU-a OSS, potrebno je ponoviti prethodni postupak za sve ostale
OU-e (level 0, level 1, level 2, level 3, level 4). Jedina razlika je u tome što se ostale OU
umjesto u domeni kreiraju u organizacijskoj jedinici OSS.
Da bi OU bile potpune, kreiraju se korisnički računi. U ovom slučaju to su sljedeći:
• Gost za OU level 0
• Referada za OU level 1
• Student za OU level 2
• Poweruser za OU level 3
• Administrator za OU level 4
• OSS za OU OSS,
• level 0 za OU level 0
• level 1 za OU level 1
• level 2 za OU level 2
• level 3 za OU level 3
• level 4 za OU level 4
40
7.3.1. Primjena grupnih pravila na OU OSS
41
3. Za onemogućavanje upotrebe pisača otvorimo level 0 [server-2003.oss.local]
Policy → Computer Configuration → Administrative Templates → Printers i
podesimo pravilo:
• Allow printers to be published Disabled
42
• Clear history of recently opened documents on exit Enabled
• Turn off personalized menus Enabled
• Turn off user tracking Enabled
• Lock the Taskbar Enabled
• Force classic Start Menu Enabled
• Remove Balloon Tips on Start Menu items Enabled
• Remove pinned programs list from the Start Menu Enabled
• Remove frequent programs list from the Start Menu Enabled
• Remove All Programs list from the Start menu Enabled
• Remove the "Undock PC" button from the Start Menu Enabled
• Remove user name from Start Menu Enabled
• Hide the notification area Enabled
• Do not display any custom toolbars in the taskbar Enabled
• Remove Set Program Access and Defaults from Start menu Enabled
Slika 7-8: Group Policy za Level 0 čvor Start Menu and Taskbar
43
9. Za zabranu ili dozvolu korištenja aplikacija potrebno je otvoriti level 0 [server-
2003.oss.local] Policy → User Configuration → Administrative Templates →
System i podesiti slijedeća prava:
• Prevent access to the command prompt Enabled
• Run only allowed Windows applications Enabled
(i dodamo Iexplore.exe u listu aplikacija koji imaju dozvolu za korištenje)
• Turn off Autoplay Enabled
44
• Hide these specified drives in My Computer Enabled
(Restrict C drive only)
• Prevent access to drives from My Computer Enabled
(Restrict C drive only)
• Remove CD Burning features Enabled
45
• Ability to Enable/Disable a LAN connection Enabled
• Prohibit access to the New Connection Wizard Enabled
• Prohibit access to the Remote Access Preferences item
on the Advanced menu Enabled
11. Za naznačavanje aplikacija koje korisnik može koristiti potrebno je otvoriti level 1
[server-2003.oss.local] Policy → User Configuration → Administrative Templates
→ System i podesiti slijedeća prava:
• Run only allowed Windows applications Enabled
(u listu aplikacija koje imaju dozvolu za korištenje dodamo programe calc.exe,
winword.exe, excel.exe, msimn.exe, mspaint.exe, powerpnt.exe i WinRar.exe)
• Turn off Autoplay Enabled
46
• Remove Help menu from Start Menu Enabled
• Add Logoff to the Start Menu Enabled
• Prevent changes to Taskbar and Start Menu Settings Enabled
10. Za naznačavanje aplikacija koje korisnik može koristiti potrebno je otvoriti level 2
[server-2003.oss.local] Policy → User Configuration → Administrative Templates
→ System i podesiti slijedeće pravilo:
• Turn off Autoplay Enabled
47
7.3.5. Primjena grupnih pravila na OU level 3 (poweruser)
48
• System Information Disabled
• Terminal Services Configuration Disabled
• WMI Control Disabled
49
8. Zaključak
Svrha i cilj ovog rada bila je da se pobliže objasni koncept grupnih pravila,
karakteristike, mogućnosti, izvedbe itd. Za demonstraciju postavljanja grupnih pravila
korišten je operativni sustav Windows 2003 Server.
Administrativna kontrola nad GPO-ima, može se delegirati korištenjem modela
administrativne kontrole koji je centraliziran, decentraliziran ili zasnovan na zadacima. Kod
centraliziranog modela administriranje grupnih pravila delegira se samo administratorima
organizacijskih jedinica najvišeg nivoa. Kod decentraliziranog modela administriranje
grupnih pravila delegira se administratorima organizacijskih jedinica najviše razine i
organizacijskih jedinica druge razine. Kod modela zasnovanog na zadacima administriranje
određenih prava grupnih pravila se delegira administratorima koji se bave povezanim
specifičnim zadacima.
Grupna pravila možemo podijeliti na pravila računala i pravila korisnika. Pravila
konfiguracije računala se koriste za postavljanje grupnih pravila za računala, bez obzira na to
tko se na njih prijavljuje, a primjenjuju se kad se operacijski sustav podiže. Dakle sva grupna
pravila sadrže čvor User Confuguration i čvor Computer Configuration . Kada se korisnik
prijavi na mrežu, on dobiva grupna prava iz čvorova User Configuration redom od lokacije do
domene, preko svih razina organizacijskih jedinica do one koja sadrži objekt (osim u slučaju
kada je administrator blokirao ili nametnuo nasljeđivanje nekih prava). Kada se operacijski
sustav računala podiže, računalo dobiva prava iz čvorova Computer Configuration svih
grupnih pravila redom sve do njegovog mjesta u hijerarhiji. To znači da se korisnik može
prijaviti na dva različita računala i naići na sasvim različita okruženja, jer su grupna pravila
računala veoma različita.
Nakon eksperimentalnog postavljanja grupa za okruženje Odjela za Stručne Studije,
može se zaključiti da je dobra primjenjivost tehnologije i na druga okruženja i jednostavna
integracija same tehnologije. Rezultati provedenog eksperimenta bili su uspješni. Ovo
okruženje moguće je primijeniti i na druga visoka učilišta, ali je prethodno potrebno napraviti
male preinake u skladu s hijerarhijom dotične škole.
50
9. Literatura
51