Kreiranje Korisničkog Okruženja

SVEUČILIŠTE U SPLITU
ODJEL ZA STRUČNE STUDIJE
STUDIJ RAČUNARSTVA
KOLEGIJ – UPRAVLJANJE POSLUŽITELJSKIM RAČUNALIMA
Kreiranje korisničkog okruženja

korištenjem tehnike korisničkih grupa
(Group Policy)
Student: Goran Semren
Mentor: Valentini Kožica, dipl.ing.
Split, lipanj 2006.

Sadržaj:
1. Uvod u grupna pravila............................................................................................................................................................ 3
2. Što su grupna pravila? ............................................................................................................................................................ 5
2.1. GPO - Objekt grupnih pravila ...................................................................................................................................... 5
2.2. Parametri grupnih pravila............................................................................................................................................... 7
2.2.1. Čvorovi konfiguracije računala i korisnika ............................................................................................................ 7
2.2.2. Čvor Sofware Settings ........................................................................................................................................... 7
2.2.3. Čvor Windows Settings ......................................................................................................................................... 8
2.2.3. Čvor Administrative Templates ............................................................................................................................. 8
2.3. Kako grupna pravila utječu na podizanje sustava........................................................................................................... 9
2.3. Primjena grupnih pravila................................................................................................................................................ 9
3. Strategija planiranja grupnih pravila .................................................................................................................................... 11
3.1. Planiranje GPO-a ......................................................................................................................................................... 11
3.1.1. Decentralizirani model GPO-a............................................................................................................................. 11
3.1.2. Centraliziran model GPO-a.................................................................................................................................. 12
3.2. Planiranje administrativne kontrole nad GPO-ima....................................................................................................... 13
4. Implementiranje GPO-a ....................................................................................................................................................... 14
4.1. Zadaci implementiranja GPO-a.................................................................................................................................... 14
4.1.1. Formiranje GPO-a................................................................................................................................................ 14
4.1.2. Formiranje Microsoftove upravljačke konzole za GPO ....................................................................................... 15
4.1.3. Delegiranje administrativne kontrole nad GPO-om ............................................................................................. 15
4.1.4. Konfiguriranje parametara grupnih pravila za GPO ............................................................................................ 16
4.1.5. Deaktiviranje neupotrijebljenih parametara grupnih pravila................................................................................ 17
4.1.6. Označavanje svih izuzetaka pri obradi GPO-a..................................................................................................... 18
4.1.7. Filtriranje dometa GPO-a sigurnosnih grupa ....................................................................................................... 18
4.1.8. Povezivanje GPO-a za lokaciju, domenu ili organizacijsku jedinicu.................................................................. 19
4.2. Mijenjanje GPO-a ........................................................................................................................................................ 20
4.2.1. Uklanjanje veze GPO-a........................................................................................................................................ 20
4.2.2. Brisanje GPO-a .................................................................................................................................................... 20
4.2.3. Uređivanje GPO-a njegovih parametara .............................................................................................................. 21
4.2.4. Osvježavanje GPO-a............................................................................................................................................ 21
5. Administriranje grupnih pravila ........................................................................................................................................... 22
5.1. Upravljanje grupnim pravilima pomoću alata RSoP .................................................................................................... 22
5.1.1. Resultant Set of Policy (RSoP) ............................................................................................................................ 22
5.1.2. Generiranje RSoP upita pomoću čarobnjaka Resultant Set of Policy Wizard...................................................... 23
5.1.3. Generiranje RSoP upita pomoću alata Gpresult................................................................................................... 25
5.1.4. Generiranje RSoP upita pomoću alata Advanced System Information-Policy..................................................... 25
5.2. Upravljanje posebnim direktorijima pomoću grupnih pravila...................................................................................... 26
5.2.1. Preusmjeravanje direktorija ................................................................................................................................. 26
5.3. Otklanjanje pogrešaka kod grupnih pravila.................................................................................................................. 27
6. Distribucija programa pomoću grupnih pravila.................................................................................................................... 28
6.1. IntelliMirror (Software Installation And Maintenance) ............................................................................................... 28
6.1.1. Proširenje alata Software Installation................................................................................................................... 28
6.1.2. Add Or Remove Programs................................................................................................................................... 30
6.1.3. Pristupi uvođenju programa ................................................................................................................................. 31
6.1.4. Distribucija paketa Windows Installer ................................................................................................................. 31
6.2. Distribucija programa pomoću grupnih pravila............................................................................................................ 32
7. Kreiranje okruženja na Windows 2003 poslužitelju korištenjem tehnike grupna pravila..................................................... 35
7.1. Postavljanje neophodnih postavki na serveru za primjenu grupnih pravila.................................................................. 35
7.1.1. Postavljanje statičke IP adrese i prioritetnog DNS servera .................................................................................. 35
7.1.2. Instalacija servisa aktivni imenik ......................................................................................................................... 36
7.2. Kreiranje OU strukture i korisničkih računa unutar domene oss.local ......................................................................... 39
7.3. Primjena grupnih pravila na okruženje OSS ................................................................................................................ 40
7.3.1. Primjena grupnih pravila na OU OSS .................................................................................................................. 41
7.3.2. Primjena grupnih pravila na OU level 0 (gosti) ................................................................................................... 41
7.3.3. Primjena grupnih pravila na OU level 1 (računovostvo)...................................................................................... 44
7.3.4. Primjena grupnih pravila na OU level 2 (studenti i profesori) ............................................................................. 46
7.3.5. Primjena grupnih pravila na OU level 3 (poweruser) .......................................................................................... 48
7.3.6. Primjena grupnih pravila na OU level 4 (administrator)...................................................................................... 49
8. Zaključak.............................................................................................................................................................................. 50
9. Literatura.............................................................................................................................................................................. 51
2
1. Uvod u grupna pravila
Grupna pravila prvi put pojavljuju se s Windows 2000 sustavom. Stoga primjena
grupnih pravila nije moguća na sustavima starijim od Windows 2000. Kod sustava starijih od
Windows 2000 koriste se starije tehnologije npr. kod NT 4.0 koristi se tehnologija System
Policy Editor (poledit.exe). Administratorima pružaju mogućnost definiranja postavki,
dopuštenih i nedopuštenih radnji za korisnike i računala. Za razliku od lokalnih, grupna se
pravila mogu koristiti za uspostavljanje pravila koja će se primjenjivati diljem određenog
mjesta, domene ili organizacijske jedinice u sustavu Active Directory-a. Upravljanje
temeljeno na pravilima pojednostavljuje zadatke kao što su operacija ažuriranja sustava,
instalacija aplikacije, korisnički profili i blokiranje stolnih sustava. Za administriranje grupnih
pravila koristi se konzola Group Policy Management Console (GPMC), koja omogućuje nove
okvire za upravljanje grupnim pravilima. Uz GPMC grupna pravila postaju mnogo
jednostavnija za uporabu, a to je prednost koja će mnogim organizacijama omogućiti bolju
uporabu sustava aktivnog imenika, te iskorištavanje njegovih moćnih upravljačkih značajki.
Grupna pravila se definiraju kao kolekcija parametara konfiguracije korisnika i
računala koja se mogu vezati za računala, lokacije, domene i organizacijske jedinice da bi se
definiralo ponašanje radnih površina korisnika. Za organiziranje i upravljanje parametrima
grupnih pravila za svaki objekt grupnih pravila (GPO – eng. Group Policy Object) koristi se
Group Policy Object Editor.
Grupna pravila se mogu izgraditi korištenjem decentraliziranog ili centraliziranog
modela. Decentralizirani model koristi osnovni objekt grupnih pravila primijenjen na domenu,
koji sadrži parametre prava za što je moguće više korisnika i računala u domeni. Zatim, ovaj
model koristi dodatne objekte grupnih pravila koji su uređeni po općim zahtjevima svake
organizacijske jedinice i primijenjeni na odgovarajuće organizacijske jedinice. Centralizirani
model koristi jedan objekt grupnih pravila koji sadrži sve parametre prava za pridruženu
lokaciju, domenu ili organizacijsku jedinicu. Parametri grupnih pravila se prvo primjenjuju u
redoslijedu lokalnih prava (onih koji su konfigurirani na samom računalu). Zatim se redom
prijavljuju grupna pravila za lokaciju, domenu i na kraju za organizacijske jedinice od
najvišeg čvora u hijerarhiji, pa do organizacijske jedinice koja sadrži objekte. Ukoliko se
nadređenoj skupini dodijeli neki parametar grupnih pravila, taj parametar grupnih pravila se
primjenjuje na sve podređene skupine, uključujući objekte korisnika i računala u skupini.
Međutim, ako se podređenoj skupini naznači parametar grupnih pravila, parametar grupnih
pravila podređene skupine poništava parametar naslijeđen od roditeljskog objekta.
Kod postavljanja grupnih pravila nude se mnoge opcije. Moguće je: distribuirati
program, mijenjati bazu Registry, preusmjerivati posebne direktorije, uvesti sigurnosne
parametre te osigurati skripte koje će se izvršavati prilikom podizanja ili isključivanja sustava,
odnosno prilikom prijavljivanja ili odjavljivanja korisnika.
Postoje dva tipa parametara grupnih pravila: parametri konfiguracije računala i
parametri konfiguracije korisnika. Parametri konfiguracije računala se koriste za postavljanje
grupnih pravila za računala, bez obzira na to tko se na njih prijavljuje, a primjenjuju se kad se
operacijski sustav podiže. Parametri konfiguracije korisnika se koriste za postavljanje grupnih
pravila za korisnike bez obzira na koje se računalo korisnik prijavljuje, a primjenjuju se kada
se korisnici prijavljuju na sustav.
Kod primjene grupnih pravila treba znati koje pravilo na kojeg korisnika primijeniti
stoga je potrebno isplanirati grupna pravila. Postoje tri oblasti planiranja grupnih pravila:
planiranje parametara grupnih pravila, planiranje GPO i planiranje administrativne kontrole
nad GPO-ima kada se planiraju prava, treba imati na umu kako svaka primjena može utjecati
na slijedeće pravo u nizu. Ukoliko na primjer, imamo prava na nivou domene koja ograničava
3
pristup Control Panelu , a zatim imamo grupna pravila za organizacijsku jedinicu koja
dopušta pristup Control Panelu, tada posljednje pravo «pobjeđuje» i korisnici iz te
organizacijske jedinice moći će pristupiti Control Panelu. Jedan od alata koje pomažu u
planiranju izmjena grupnih pravila je Resultant Set of Policy (RSoP). RSoP ima dva režima:
Logging (režim prijavljivanja) – za rješavanje problema postojećeg skupa prava i Planning
(režim planiranja) – za pregledavanje postojećih prava i testiranje novog skupa prava.
Kreiranje RSoP upita nad postojećim grupnim pravilima korisnika ili objektima računala
koristi se čarobnjak Resultant Set of Policy Wizard, bilo da su prava primijenjena na lokaciju,
domenu ili organizacijsku jedinicu. Također je moguće simulirati efekt novih grupnih pravila
na objekte računala i korisnike.
Diplomski rad je organiziran na način da je prvo odabrana tehnologija kreiranja
korisničkog okruženja korištenjem tehnike korisničkih grupa. Tehnologija je predstavljena u
dvije cjeline. Prva cjelina bazirana je na teoriji, a druga je opisana izradom praktičnog rada.
Praktični dio diplomskog rada baziran je na okruženje Odjela za Stručne Studije. Pri izradi
navedenog dijela, korištena je platforma Windows 2000 Server. S obzirom na jednostavnost,
kvalitetu te dobru primjenjivost tehnologije, može se zaključiti da ju je relativno lako
primijeniti na gotovo sva okruženja.
4
2. Što su grupna pravila?
Grupna pravila su kolekcija parametara konfiguracije korisnika i računala koja
određuju kako programi, mrežni resursi i operativni sustav rade za korisnike i računala u
organizaciji.
Grupna pravila se mogu postaviti za računala, lokacije, domene i organizacijske
jedinice. Na primjer, korištenjem grupnih pravila možemo odrediti programe koji su dostupni
korisnicima, programe koji se prikazuju na korisnikovoj radnoj površini te opcije Start
menija. Iako se grupna pravila ne primjenjuju na grupe, članstvo u grupi može utjecati na
promjenu grupnih pravila. Na primjer, ako korisnički ili računalni nalog pripada grupi kojoj
je izričito uskraćena mogućnost primjene grupnih pravila, taj nalog neće primiti grupna
pravila. Ovaj koncept poznat je kao filtriranje dometa GPO-a pomoću sigurnosnih grupa.
2.1. GPO - Objekt grupnih pravila
Da bismo napravili određenu konfiguraciju radne površine za korisnike, pravimo

GPO-e, koji predstavljaju kolekcije parametara grupnih pravila. Svako računalo koje radi pod
Microsoft Windows Serverom 2003 ima jedan lokalni GPO i može dodatno biti predmet bilo
kojeg broja nelokalnih GPO-a.
Lokalni GPO-i
Jedan lokalni GPO čuva se na svakom računalu bez obzira na to da li je računalo dio
okruženja aktivnog imenika (eng. Active Directory) ili umreženog okruženja. Lokalno GPO
utječe samo na računalo na kojem je uskladišten. Budući da parametre lokalnog GPO-a mogu
prenositi nelokalni GPO-i, lokalni GPO ima najmanji utjecaj ako je računalo u okruženju
aktivnog imenika. U okruženju koje nije umreženo, parametri lokalnog GPO-a su važniji jer
ih ne premošćuju nelokalni GPO-i.
Lokalni GPO uskladišten je na putanji (%Systemroot%\System32\GroupPolicy).
Nelokalni GPO-i
Nelokalni GPO-i prave se u aktivnom imeniku i moraju biti vezani za lokaciju,

domenu ili organizacijsku jedinicu da bi se primijenili na korisnike, odnosno računala. Da
bismo koristili ne lokalne GPO-e, morate imati instaliran Windows 2000 ili Windows Server
2003. Kada se postavi servis aktivni imenik, naprave se dva nelokalna GPO-a:
Default Domain Policy (pretpostavljena pravila domene) Ovaj GPO

vezan je za domenu i utječe na sve korisnike i računala u domeni
(uključujući računala koja su kontrolori domena) kroz nasljeđivanje
grupnih pravila.
Default Domain Controllers Policy (pretpostavljena pravila
kontrolora domena) Ovaj GPO vezan je za organizacijske jedinice i
uglavnom utječe samo na kontrolore domena, budući da se računalni
nalozi za kontrolore domena čuvaju isključivo unutar organizacijskih
jedinica Domain Controllers.
5
Nelokalni GPO-i čuvaju se na putanji %Systemroot%\Sysvol\DomainName\
Policies\GPO GUID\Adm, gdje GPO GUID predstavlja globalni jedinstveni identifikator
GPO-a.
GPO vezan za lokaciju utječe na sva računala unutar lokacije. Prema tome, GPO se
može primijeniti na više domena unutar šume, čak i ako postoji samo kao entitet uskladišten
na jednoj domeni i mora se učitati sa te domene kada klijenti čitaju svoja grupna pravila
vezana za lokaciju.
Group Policy Object Editor (editor objekata grupnih pravila)
Group Policy Object Editor (GPOE) koristimo za organiziranje i upravljanje

parametrima grupnih pravila u svakom GPO-u. GPOE za GPO Default Domain Policy
prikazan je na slici 2-1.
Slika 2-1: Group Policy Object Editor
Kako ćemo otvoriti GPOE zavisi od toga gdje želimo primijeniti grupna pravila.
Postoji nekoliko načina za otvaranje GPOE-a.
Primjena GPO-a na Što treba napraviti

Lokalno računalo (lokalni Otvorimo lokalni GPO koji je smješten na lokalnom računalu.
GPO)
Drugo računalo (lokalni Otvorimo lokalni GPO koji je uskladišten na mrežnom računalu
GPO) koje radi pod Windows Server 2003. Da bismo otvorili MMC
konzolu za lokalni GPO moramo imati administratorske ovlasti.
Lokaciju GPO za lokaciju otvaramo preko Active Directory Sites And
Services.
Domenu ili GPO za domenu otvaramo preko Active Directory Users And
organizacijsku jedinicu Computers.
6
2.2. Parametri grupnih pravila
Parametri grupnih pravila sadržani su u GPO-u i određuju korisnikovo okruženje

radne površine. Parametre možemo pogledati u GPOE. Postoje dvije vrste parametara za
grupna pravila: parametri konfiguracije računala i parametri konfiguracije korisnika. Oni su
obuhvaćeni čvorovima u GPO-u.
2.2.1. Čvorovi konfiguracije računala i korisnika
Čvor Computer Configuration (konfiguracije računala) sadrži parametre koji se koriste

za postavljanje grupnih pravila za računala, bez obzira na to tko se na njih prijavljuje.
Parametri konfiguracije računala primjenjuju se kada se operacijski sustav inicijalizira.
Čvor User Configuration (konfiguracije korisnika) sadrži parametre koji se koriste za
postavljanje grupnih pravila za korisnike, bez obzira na koje se računalo korisnik prijavljuje.
Parametri konfiguracije korisnika primjenjuju se kada se korisnici prijavljuju na sustav.
I čvor Computer Configuration i User Configuration obuhvaćaju parametre za
instaliranje programa, te parametre za instaliranje i pristupanje operacijskom sustavu
Windows Server 2003 i parametre baze Registry. Ove parametre sadrže čvorovi:
• Sofware Settings
• Windows Settings i
• Administrative Templates.
Na slici 2-2. prikazani su čvorovi Computer Configuration i User Configuration.
Slika 2-2: čvorovi Computer Configuration i User Configuration
2.2.2. Čvor Sofware Settings
7
Čvor Software Settings (programske postavke) omogućuje administratoru distribuciju
programa i upravljanje aplikacijama kroz GPO koji je povezan sa lokacijom aktivnog
imenika, domenom ili organizacijskom jedinicom. Aplikacijama se može upravljati u jednom
od dva režima: dodijeljeni ili objavljeni. Kada je potrebno da računala i korisnici kojima
upravlja GPO imaju aplikaciju ona se dodjeljuje računalu. Aplikacija se objavljuje kad je
potrebno da bude dostupna korisnicima kojima upravlja GPO, u slučaju da korisnik zatreba
aplikaciju. Aplikaciju nije moguće objaviti računalima.
2.2.3. Čvor Windows Settings
Čvor Windows Settings (postavke windowsa) sadrži dodatne čvorove Scripts (skripte)
i Security Settings (sigurnosne postavke).
Čvor Scripts omogućuje da se navedu dva tipa skripta: podizanje/isključivanje sustava
(u čvoru Computer Configuration ) i prijavljivanje /odjavljivanje (u čvoru User
Configuration). Skripte za podizanje /isključivanje sustava izvršavaju se prilikom uključivanja
ili isključivanja računala. Skripte za prijavljivanje/odjavljivanje izvršavaju kad se korisnik
prijavljuje na računalo ili odjavljuje sa računala. Ukoliko postoji više dodijeljenih skripta za
prijavljivanje /odjavljivanje ili podizanje /isključivanje sustava korisniku ili računalu,
Windows Server 2003 izvršava skripte redoslijedom od vrha prema dnu. Redoslijed
izvršavanja skripta može se podesiti pomoću opcije Properties.
Čvor Security Settings omogućuje administratoru ručno konfiguriranje sigurnosnih
nivoa dodijeljenih lokalnom ili nelokalnom GPO-u.
Samo u čvoru User Configuration, direktorij Windows Settings sadrži dodatne
čvorove:
• Remonte Instalations Services (Servisi za udaljeno instaliranje, RIS) –

koristi se za kontroliranje ponašanja udaljene instalacije operacijskog sustava.
• Folder Redirection (preusmjeravanje direktorija) – koristi se za

preusmjeravanje posebnih direktorija (Application Internet, Desktop, My
Documents i Start Menu) sa njihove podrazumijevane lokacije korisničkog
profila na alternativnu lokaciju na mreži.
• Internet Explorer Maintance (Održavanje internet explorera) – koristi se

za podešavanje Microsoft Internet Explorer-a omogućuje korisniku na
računalima koja rade pod Windows Serverom 2003.
2.2.3. Čvor Administrative Templates
8
Čvor Administrative Templates (administrativni predlošci) sadrži parametre grupnih
pravila koji su zasnovani na bazi Registry. Unutar Administrative Templates postoji više od
550 parametara, koji su na raspolaganju za konfiguriranje korisničkog okruženja. Svaki od tih
parametara može se podesiti na:
• Not Configured (nije konfigurirano) – Baza Registry nije mjenjana.
• Enabled (omogućeno) - Baza Registry pokazuje da je parametar grupnih

pravila odabran.
• Disabled (onemogućeno) - Baza Registry pokazuje da je parametar grupnih

pravila zabranjen.
Parametri u čvoru Administrative Templates pod čvorom Computer Configuration

čuvaju se u direktoriju baze Registry HKEY_LOCAL_MACHINE (HKLM), a parametri u
čvoru Administrative Templates pod čvorom User Configuration čuvaju se u direktoriju baze
Registry HKEY_CURRENT_USER (HKCU).
2.3. Kako grupna pravila utječu na podizanje sustava
Kada se računalo pokrene i korisnik prijavi, primjenjuju se parametri konfiguracije

sljedećim redoslijedom:
1. Mreža se pokreće. Pokreću se Remonte Procedure Call System Service (RPCSS) i
multiple Universal Naming Convention Provider (MUP)
2. Pribavlja se uređena lista GPO-a za računalo.
3. Obrađuju se parametri konfiguracije računala. Ovo se događa sljedećim
redoslijedom: lokalni GPO, GPO-i lokacije, GPO-i domena i GPO-i OU-a
(organizacijskih jedinica). Dok se parametri računala obrađuju ne prikazuje se
korisničko sučelje.
4. Izvršavaju se skriptovi za pokretanje sustava. Ovo je sakriveno i sinkrono: svaki
skript mora se izvršiti ili mu mora isteći rok prije nego što se sljedeći pokrene.
5. Korisnik pritišće Ctrl+Alt+Del da bi se prijavio.
6. Nakon što se korisnik provjeri učita se korisnički profil čime upravlja parametar
grupnih pravila.
7. Pribavlja se uređena lista GPO-a za korisnika.
8. Obrađuju se parametri konfiguracije korisnika. Ovo se događa sinkrono i to
sljedećim redoslijedom: : lokalni GPO, GPO-i lokacije, GPO-i domena i GPO-i
OU-a. Dok se parametri računala obrađuju ne prikazuje se korisničko sučelje.
9. Izvršavaju se skriptovi za prijavljivanje. Za razliku od Windows NT 4 skriptova,
skriptovi za prijavljivanje zasnovani na grupnim pravilima izvršavaju se skriveno i
asinkrono. Posljednji se izvršava skript objekta korisnika.
10. Pojavljuje se korisničko sučelje operacijskog sustava predviđen grupnim
pravilima.
2.3. Primjena grupnih pravila
9
Budući da se ne lokalni GPO-i primjenjuju hijerarhijski, konfiguracija korisnika,
odnosno računala, rezultat je GPO-a primijenjenih na njegovu lokaciju, domenu ili OU.
Parametri grupnih pravila primjenjuju se sljedećim redoslijedom:
1. Lokalni GPO. Svako računalo koje radi pod Windows Serverom 2003 ima točno
jedan uskladišten GPO.
2. GPO-i lokacije. Svi GPO-i koju su vezani za lokaciju primjenjuju se sljedeći.
Priprema GPO-a je sinkrona; administrator određuje redoslijed GPO-a vezanih za
lokaciju.
3. GPO-i domena. Više GPO-a vezanih za domenu primjenjuju se sinkrono;
administrator određuje redoslijed GPO-a vezanih za domenu.
4. GPO-i OU-a(organizacijskih jedinica). Prvo se primjenjuju GPO-i vezani za OU
koji je najviši u hijerarhiji aktivnog imenika, zatim slijede GPO-i vezani za njegov
podređeni OU itd. Na kraju se primjenjuju GPO-i vezani za OU koji sadrži
korisnika ili računalo.
Ovaj redoslijed znači da se lokalni GPO primjenjuje prvi, a GPO-i vezani za OU čije
je računalo ili korisnik direktan član, primjenjuju se posljednji, preko ranijih GPO-a.
Na primjer, postavimo domenski GPO da bismo omogućili bilo kojem korisniku da se
interaktivno prijavljuje. Međutim GPO OU-a postavljen za kontrolor domena
sprječava prijavljivanje svih, osim izvjesnih administrativnih grupa.
10
3. Strategija planiranja grupnih pravila
Prije implementiranja grupnih pravila, treba napraviti plan upravljanja tim pravilima.
Možemo planirati parametre grupnih pravila, GPO-e i administrativnu kontrolu nad GPO-ima
da bismo osigurali najdjelotvorniju implementaciju grupnih pravila za vašu organizaciju.
Postoje tri oblasti planiranja grupnih pravila:
• Planiranje parametara grupnih pravila potrebnih za računala i korisnike na

svakoj razini (lokaciji, domeni i OU)
• Planiranje GPO-a potrebnih za računala i korisnike na svakoj razini (lokaciji,

domeni i OU)
• Planiranje administrativne kontrole nad GPO-ima
Precizna i organizirana dokumentacija o parametrima grupnih pravila i GPO-ima može

dobro doći kada dođe do potrebe da ponovno pogledamo ili izmijenimo našu konfiguraciju
grupnih pravila.
3.1. Planiranje GPO-a
Za svaku lokaciju, domenu i OU moramo odrediti kako parametri grupnih pravila

trebaju biti svrstani u GPO-e. Uređenje parametara grupnih pravila napravimo prema
korisnicima i računalima kojima su potrebni.
Na slici 3-1. su opisani ovi tipovi GPO-a.

Jednostruki tip pravila Višes truki t ip pravila
GPO za softver
GPO za softver si g urnost i scri ptove
Sales Sales
GPO za sig urnost
GPO za scriptove
Namjenski tip pravila
GP O sa ra čuna lnim
pa rametrima
GPO sa ko risničkim Sales
parametrima
Slika 3-1: Tipovi postavljanja GPO-a
3.1.1. Decentralizirani model GPO-a
11
Cilj decentraliziranog pristupa GPO-ima (prikazan na slici 3-2.) je određeni parametar
grupnih pravila uključiti u što je manje moguće GPO-a. Kad je potrebna izmjena, samo se
jedan GPO (ili nekoliko njih) mora izmijeniti da bi se promjena provela.
Da bi ste dostigli ovaj cilj, napravimo osnovni GPO koji će se primjenjivati na
domenu i koji sadrži parametre pravila za što je moguće više korisnika i računala u domeni.
Npr. osnovni GPO bi mogao sadržavati parametre sigurnosti cjelokupne korporacije, kao što
su ograničenja naloga i lozinki. Zatim napravimo dodatne GPO-e skrojene po zahtjevima
svakog OU-a i primijenimo ih na odgovarajuće OU-ove.
Ovaj model najpogodniji je za okruženja u kojima grupe unutar organizacije imaju
zajedničke sigurnosne preokupacije u kojima su izmjene grupnih pravila čiste.
Osnovni GPO
GPO East
GPO West
Slika 3-2: Decentralizirani model GPO-a
3.1.2. Centraliziran model GPO-a
Cilj centraliziranog pristupa GPO-ima (prikazan na slici 3-3.) je da se vrlo malo GPO-
a (idealno samo jedan) koristi za bilo kojeg danog korisnika ili računala. Svi parametri
grupnih pravila trebaju se implementirati unutar jednog GPO-a.
Ako lokacija, domena ili OU posjeduje grupe korisnika ili računala sa različitim
zahtjevima grupnih pravila, tada je potrebno primijeniti GPO na svaku zasebnu OU, umjesto
na roditelja. Izmjena u centraliziranom modelu GPO-a povlači sa sobom više administracije
nego kod decentraliziranog modela, jer može biti potrebno da se parametri izmjene u više
GPO-a, ali je vrijeme prijavljivanja kraće. Ovaj model je pogodan za okruženja u kojima se
korisnici i računala mogu kvalificirati u mali broj OU-ova za dodjelu pravila.
Bez GPO-a
GPO East
GPO West
Slika 3-3: Centralizirani model GPO-a
12
3.2. Planiranje administrativne kontrole nad GPO-ima
Kad planiramo parametre grupnih pravila i GPO-e koji će se koristiti u organizaciji,

treba isplanirati tko će upravljati njima. Odgovarajući nivo administrativne kontrole može se
delegirati korištenjem modela administrativne kontrole koji je centraliziran, decentraliziran ili
zasnovan na zadacima.
Kod centraliziranog modela administrativne kontrole administriranje grupnih
pravila delegira se samo administratorima OU-a najvišeg nivoa. Administratori OU-a drugog
nivoa nemaju mogućnost upravljanja GPO-ima.
Kod decentraliziranog modela administrativne kontrole administriranje grupnih
pravila delegira se administratorima OU-a drugog nivoa. Administratori OU-a drugog nivoa
imaju mogućnost upravljanja GPO-ima u svojim OU-ovima drugog nivoa. Ovo možemo
postići dodjeljivanjem dozvole Full Control administratorima OU-a najvišeg nivoa.
Kod administrativne kontrole zasnovane na zadacima administriranje određenih
pravila grupnih pravila delegira se administratorima koji se bave povezanim specifičnim
zadatcima, kao što su sigurnost ili aplikacije. U ovom slučaju GPO-i se projektiraju tako da
sadrže samo jedan tip parametara grupnih pravila.
13
4. Implementiranje GPO-a
4.1. Zadaci implementiranja GPO-a

4.1.1. Formiranje GPO-a
Prvi korak u implementaciji grupnih pravila je formiranje GPO-a. Podesimo da GPO

predstavlja kolekciju parametara grupnih pravila.
Da bi formirali GPO, potrebno je napraviti sljedeće korake:
1. Odredimo da li će GPO koji formiramo biti vezan za lokaciju, domenu ili OU.
Zatim učinimo jedno od sljedećeg:
• Da bismo napravili GPO vezan za domenu ili OU, otvorimo Administrative

Tools te kliknemo na Active Directory Users and Computers.
• Da bismo napravili GPO vezan za lokaciju, također otvorimo Administrative
Tools i kliknemo na Active Directory Sites and Services.
2. Pritisnemo desnom tipkom miša na lokaciju, domenu ili OU-u za koju želimo
formirati GPO i potom kliknemo na Properties.
3. U okviru za dijalog Properties za objekt izaberemo karticu Group Policy. Zatim na
odabranoj kartici kliknemo na New i upišemo ime koje želimo za ovaj GPO.
Podrazumijeva se, novi GPO vezan je za lokaciju, domenu ili OU koji je označen u
MMC konzoli u vrijeme formiranja GPO-a, i njegovi parametri primjenjuju se na
danu lokaciju, domenu ili OU.
Slika 4-1: Okvir za dijalog Properties za OU OSS, kartica Group Policy
4. Pritisnemo Close.
14
4.1.2. Formiranje Microsoftove upravljačke konzole za GPO
Microsoftova upravljačka konzola (Microsoft Managment Console, MMC )

omogućava administriranje i upravljanje aktivnog imenika sa udaljenih lokacija. Dakle MMC
služi za pravljenje, pohranjivanje i otvaranje administrativnih alata koje nazivamo konzolama.
Nakon što smo formirali GPO, potrebno je za njega napraviti MMC konzolu. Potom ju
možemo otvoriti iz menija Administrative Tools kada je to potrebno.
Da bismo formirali MMC konzolu za GPO, poduzimaju se sljedeći koraci:
1. Kliknemo na Start, a zatim na Run.

2. U okviru za dijalog Run upišemo MMC u polje Open i potom kliknemo na OK.
3. U novoj MMC konzoli iz menija File izaberemo Add/Remove Snap-In.
4. U okviru za dijalog Add/Remove Snap-In kliknemo na Add.
5. U okviru za dijalog Add Standalone Snap-In odaberemo GPOE i zatim kliknemo
na Add.
6. Na stranici Select Group Policy Object kliknemo na Browse da bismo pronašli
GPO za koji želimo formirati MMC konzolu.
7. U okviru za dijalog Browse For a Group Policy Object otvorimo karticu All,
izaberemo ime GPO-a i kliknemi na OK.
8. Na stranici Select Group Pplicy Object kliknemo na Finish, a zatim u okviru za
dijalog Add Standalone Snap-In kliknemo na Close.
9. U okviru za dijalog Add Remove Snap-In kliknemo na OK.
10. U MMC konzoli iz menija File, izaberemo Save As.
11. U okviru za dijalog Save As upišemo ime GPO-a u polje File Name te kliknemo
na Save. GPO je sad dostupan u meniju Administrative Tools.
4.1.3. Delegiranje administrativne kontrole nad GPO-om
Nakon što smo formirali GPO, važno je odrediti koje grupe administratora imaju
pravo pristupa GPO-u. Dozvole koje se podrazumijevaju za GPO-e prikazane su u sljedećoj
tablici.
Sigurnosna grupa Podrazumijevane dozvole

Authenticated Users Read, Apply Group Policy, Special
Permissions
Group Policy Creator Owners (također se Special Permissions
prikazuje kao Creator Owner)
Domain Administrators Read, Write, Create All Child Objects, Delete
All Child Objects, Special Permissions
Enterprise Administrators Read, Write, Create All Child Objects, Delete
Enterprise Domain Controllers Read, Special Permissions
System Read, Write, Create All Child Objects, Delete
15
Samo grupe Domain Administrator, Enterprise Administrators u Group Policy Creator
Owners, te sam operativni sustav, mogu formirati nove GPO-e. Ne administrativnim
korisnicima ili grupama možemo dati mogućnost formiranja GPO-a tako što ćemo korisnike
ili grupe dodati u sigurnosnu grupu Group Policy Creator Owners. Članstvo u grupi Group
Policy Creator Owners daje korisniku potpunu kontrolu samo nad GPO-ima koje korisnik
napravi ili su mu eksplicitno delegirani. Ovo članstvo ne daje ne administrativnom korisniku
prava nad bilo kojim drugim GPO-ima. Ukoliko administrator napravi GPO, grupa Domain
Administrator postaje Creator Owner (vlasnik i tvorac) GPO-a.
Za dodavanje sigurnosnih grupa kojima želimo dodijeliti ili uskratiti administrativni
pristup koristi se okvir za dijalog Properties za odabrani GPO i kartica Security Slika 4-2.
Slika 4-2: Okvir za dijalog Properties za GPO OSS OU, kartica Security
GPO Default Domain Policy ne može izbrisati ni jedan administrator. Time se

spriječava slučajno brisanje tog GPO-a, koji sadrži važne i neophodne parametre za domenu.
4.1.4. Konfiguriranje parametara grupnih pravila za GPO
Da bismo konfigurirali parametre grupnih pravila za GPO, potrebno je poduzeti

slijedeće korake:
1. Pristupimo GPOE za GPO.

2. U stablu odaberemo čvor koji predstavlja pravilo koje želimo konfigurirati.
3. U okviru s detaljima kliknemo desnom tipkom miša na parametar koji želimo
konfigurirati i zatim odaberemo Properties.
4. U okviru za dijalog Properties (slika 4-3) za parametar grupnih pravila odaberemo
Enabled da bismo parametar primijenili na korisnike ili računala koji podliježu
ovom GPO-u i zatim kliknemo OK. Not Configured znači da se neće mijenjati
baza Registry u pogledu ovog parametra. Disabled znači da će baza Registry
16
ukazivati na to da se parametar ne primjenjuje na korisnike ili računala koji
podliježu ovom GPO-u.
Slika 4-3: Okvir za dijalog Properties za pravilo Prohibit access to the Control Panel
4.1.5. Deaktiviranje neupotrijebljenih parametara grupnih pravila
Ukoliko čvor Computer Configuration ili čvor User Configuration imaju samo
parametre koji su označeni s Not Configured, onda deaktiviranjem čvora možemo izbjeći
obradu ovih parametara. Deaktiviranje neupotrijebljenih parametara grupnih pravila se
preporučuje jer poboljšava podizanje sustava i prijavljivanje za one korisnike koji podliježu
danom GPO-u.
Da bismo deaktivirali parametre konfiguracije računala ili korisnika za GPO, potrebno

je poduzeti slijedeće korake:
1. Otvorimo GPOE za GPO.

2. Kliknemo desnom tipkom miša na korijen čvora i zatim izaberemo Properties.
3. Na kartici General u okviru za dijalog Properties napravimo jedno od slijedećeg:
• Da bismo deaktivirali parametre konfiguracije računala odaberemo Disable
Computer Configuration Settings.
• Da bismo deaktivirali parametre konfiguracije računala odaberemo Disable
User Configuration Settings.
4. Kliknemo na OK.
17
4.1.6. Označavanje svih izuzetaka pri obradi GPO-a
GPO-i se primjenjuju u skladu s hijerarhijom u servisu aktivnog imenika: lokalni

GPO, GPO-i lokacije, GPO-i domena i GPO-i OU-a. Međutim, podrazumijevani redoslijed
obrade parametara može se izmijeniti promjenom redoslijeda GPO-a za objekt, odabiranjem
opcije Block Policy Inheritance, odabiranjem opcije No Override ili aktiviranjem parametara
Loopback.
4.1.7. Filtriranje dometa GPO-a sigurnosnih grupa
Postoje dva načina za filtriranje GPO-a:
• Obrišemo dozvolu Apply Group Policy (koja je trenutno postavljena na Allow)

za grupu Authenticated Users, ali bez postavljanja ove dozvole na Deny. Zatim
odredimo grupe na koje treba primijeniti GPO i za njih postavimo dozvole
Read i Apply Group Policy na Allow.
• Odredimo grupe na koje treba primijeniti GPO i za njih postavimo dozvolu
Apply Group Policy na Deny.
Da bismo filtrirali domet GPO-a, potrebno je poduzeti sljedeće korake:
5. Otvorimo GPOE za GPO.

6. Kliknemo desnom tipkom miša na korijen čvora i zatim izaberemo Properties.
7. U okviru za dijalog Properties otvorimo karticu Security i izaberemo sigurnosnu
grupu kroz koju će se filtrirati dani GPO. Ukoliko je potrebno izmijeniti listu
sigurnosnih grupa kroz koje će se filtrirati ovaj GPO, možemo dodati ili izbaciti
sigurnosne grupe koristeći Add i Remove.
8. Postavimo dozvole kako je prikazano u sljedećoj tablici i kliknemo OK.
Domet GPO-a Postavke dozvola Rezultat

Na članove ove • Postavimo Apply Ovaj GPO se primjenjuje na članove
sigurnosne grupe treba Group Policy na Allow. ove sigurnosne grupe osim ako su
se primijeniti samo ovaj • Postavimo Read na oni članovi bar još jedne sigurnosne
GPO Allow grupe koja ima dozvolu Apply
Group Policy postavljenu na Deny
ili dozvolu Read postavljenu na
Deny, ili obje.
Članovi ove sigurnosne • Postavimo Apply Ovaj GPO se nikad ne primjenjuje
grupe nisu u sklopu Group Policy na Deny. na članove ove sigurnosne grupe bez
primjene ovog GPO-a • Postavimo read na obzira na dozvole koje ovi članovi
Deny. imaju u drugim sigurnosnim
grupama.
Članstvo u ovoj • Postavimo Apply Ovaj GPO se primjenjuje na članove
sigurnosnoj grupi je Group Policy tako da ove sigurnosne grupe ako i samo ako
nevažno u pogledu toga ne bude ni Allow ni imaju i dozvolu Apply Group Policy
da li GPO treba Deny. i dozvolu Read postavljene na Allow
primijeniti • Postavimo Read tako kao članovi bar još jedne sigurnosne
da ne bude ni Allow ni grupe. Oni također ne smiju imati
Deny. dozvole Apply Group Policy i Read
18
postavljene na Deny kao članovi
bilo koje druge sigurnosne grupe.
4.1.8. Povezivanje GPO-a za lokaciju, domenu ili organizacijsku

jedinicu
Novi GPO vezan je za lokaciju, domenu ili OU koji je bio odabran u MMC konzoli u
vrijeme formiranja GPO-a. Prema tome, parametri GPO-a primjenjuju se na tu lokaciju,
domenu ili OU. Međutim ako je potrebno GPO vezati za dodatne lokacije, domene ili OU-
ove, koristi se kartica Group Policy u okviru za dijalog Properties za lokaciju, domenu ili OU.
Da bismo povezali GPO za lokaciju, domenu ili OU, potrebno je poduzeti sljedeće
korake:
1. Otvorimo konzolu Active Directory Users and Computers da bismo GPO povezali
za domenu ili OU, odnosno otvorimo konzolu Active Directory Sites and Servises
da bismo GPO povezali za lokaciju.
2. U konzoli kliknemo desnom tipkom miša na lokaciju, domenu ili OU za koju treba
vezati GPO. Kliknemo na Properties i zatim kliknemo na karticu Group Policy.
3. U okviru za dijalog Properties za objekt na kartici Group Policy kliknemo na Add.
4. U okviru za dijalog Add A Group Policy Object Link (slika 4-4) kliknemo na
karticu All te odaberemo željeni GPO i zatim kliknemo OK.
Slika 4-4: Kartica All u okviru Add a Group Policy Object Link
5. U okviru za dijalog Properties za lokaciju, domenu ili OU kliknemo na OK.
19
4.2. Mijenjanje GPO-a
Zadaci mijenjanja GPO-a su:

• Uklanjanje veze GPO-a
• Brisanje GPO-a
• Uređivanje GPO-a i njihovih parametara
• Osvježavanje GPO-a
4.2.1. Uklanjanje veze GPO-a
Uklanjanjem veze GPO-a, GPO se odvaja od određene lokacije, domena ili OU-a.
GPO ostaje u servisu aktivnog imena sve dok se ne obriše.
Da bismo uklonili vezu GPO-a, potrebno je poduzeti sljedeće korake:
1. Otvorimo konzolu Active Directory Users and Computers da bismo uklonili vezu
GPO-a s domenom ili OU-om odnosno otvorimo konzolu Active Directory Sites
and Servises da bismo GPO odvojili od lokacije.
2. U konzoli kliknemo desnom tipkom miša na lokaciju, domenu ili OU čiju vezu s
GPO-om treba ukloniti. Kliknemo Properties a zatim na karticu Group Policy.
3. U okviru za dijalog Propertis za objekt, na kartici Group Policy, odaberemo GPO
čiju vezu želimo ukloniti i zatim kliknemo na Delete.
4. U okviru za dijalog Delete odaberemo Remove The Link From The List. GPO
ostaje u aktivnom imeniku, ali više nije vezan.
4.2.2. Brisanje GPO-a
Ukoliko obrišemo GPO, on se uklanja iz aktivnog imenika i više ne utječe ni na jednu

lokaciju, domenu ili OU za koje je bio vezan.
Da bismo obrisali GPO, potrebno je poduzeti sljedeće korake:
1. Otvorimo konzolu Active Directory Users and Computers da bismo obrisali GPO s
domena ili OU-a, odnosno otvorimo konzolu Active Directory Sites and Services
da bismo obrisali GPO s lokacije.
2. U konzoli kliknemo desnom tipkom miša na lokaciju, domenu ili OU-u s kojeg
treba obrisati GPO. Kliknemo na Properties i zatim otvorimo karticu Group Policy.
3. U okviru za dijalog Properties za objekt, na kartici Group Policy, odaberemo GPO
koji želimo obrisati i kliknemo na Delete.
4. U okviru za dijalog Delete kliknemo na Remove The Link And Delete The Group
Policy Object Permanently i zatim na OK. GPO se uklanja iz aktivnog imenika.
20
4.2.3. Uređivanje GPO-a njegovih parametara
Da bismo preuredili GPO, odnosno njegove parametre, potrebno je slijediti procedure

za formiranje GPO-a i za označavanje parametara grupnih pravila.
4.2.4. Osvježavanje GPO-a
Svaki GPO osvježava se kada ponovno pokrenemo računalo. Nakon što izmijenimo
parametre unutar GPO-a, oni se osvježavaju svakih 90 minuta na radnoj stanici ili serveru i
svakih 5 minuta na kontroloru domena. Parametri se također osvježavaju svakih 16 sati, bez
obzira na to da li su nastupile bilo kakve promjene.
Da bismo GPO-e osvježili, potrebno je poduzeti sljedeće korake:
1. Kliknemo na Start, a zatim na Run.

2. U okviru za dijalog Run u polju Open upišemo gpupdate i zatim kliknemo na OK.
21
5. Administriranje grupnih pravila
Najvažniji alat za upravljanje grupnim pravilima je generiranje rezultirajućeg skupa
pravila (Resultant Set of Policies, RSoP). Korištenje ovog alata olakšava implementiranje
pravila i otklanjanje grešaka kod grupnih pravila. RSoP možemo koristiti u planiranju
parametara grupnih pravila koji se primjenjuju na korisnika i računalo. Planiranje strategije
grupnih pravila je neophodno za osiguravanje najefikasnije implementacije grupnih pravila.
Drugi dio efikasnog upravljanja grupnim pravilima je preusmjeravanje direktorija, što
korisnicima osigurava pristupnu točku za čuvanje i traženje informacija. Pomoću čvora Folder
Rediction u okviru grupnih pravila možemo preusmjeriti lokaciju za Application Data,
Desktop, My Documents, My Pictures i Start menu.
5.1. Upravljanje grupnim pravilima pomoću alata RSoP
RSoP predstavlja ukupni utjecaj Grupnih pravila koja se primjenjuju na korisnika ili
računalo. Određivanje RSoP za računalo ili korisnika može predstavljati složen zadatak. Kod
Microsoft Windows Servera 2003 postoji mogućnost generiranja RSoP upita kako bi se mogla
odrediti grupna pravila koja se primjenjuju na određenog korisnika ili računalo.
5.1.1. Resultant Set of Policy (RSoP)
RSoP je skup pravila koja se primjenjuju na korisnika ili računalo, uključujući

primjenu filtara, kao što je primjena filtara preko sigurnosnih grupa. Zbog kumulativnih
utjecaja objekata GPO-a, filtara i izuzetaka, određivanje RSoP za korisnika ili računalo može
biti veoma teško. Ali, mogućnost generiranja RSoP upita u okviru Windows Servera 2003
olakšava određivanje RSoP. U okviru Windows Servera 2003 RSoP mehanizam upita je na
raspolaganju za povezivanje postojećih objekata GPO i izvještavanje o utjecajima objekata
GPO-a na korisnike i računala. Mehanizam upita također, provjerava sigurnosne grupe i WMI
(Windows Managment Instrumentation) upite koji se koriste za filtriranje dometa GPO-a i
provjerava Software Instalation za svaku aplikaciju koja je u vezi sa određenim korisnikom ili
računalom. Te informacije skuplja baza podataka objektnog modela za upravljanje
zajedničkim informacijama (Common Information Managment Object Model, CIMOM).
Kod Windows Server 2003 postoje tri alata za generiranje RSoP upita:
• Čarobnjak Resultant Set of Policy Wizard

• Alat Gpresult koja se pokreće iz komandne linije
• Alat Advanced System Information-Policy
Svaki od ovih alata koristi drugačiju unutrašnjost i osigurava drugačije nivoe

informacija RSoP upita.
22
5.1.2. Generiranje RSoP upita pomoću čarobnjaka Resultant Set of
Policy Wizard
Windows Server 2003 posjeduje čarobnjaka Resultant Set of Policy Wizard, koji
koristi postojeće parametre GPO-a za izvještavanje o utjecajima objekata GPO na korisnike i
računala. Čarobnjak RSoP Wizard koristi dva režima za prijavljivanje RSoP upita, režim
evidentiranja i režim planiranja.
Režim evidentiranja
RSoP režim evidentiranja omogućuje nam pregledanje postojećih parametara objekta

GPO, instalacijske aplikacije programa i sigurnost za računalni ili korisnički nalog. Režim
evidentiranja koristi se za:
• Pronalaženja neuspješnih ili izmijenjenih parametara pravila
• Promatranje načina na koji sigurnosne grupe utječu na parametre pravila
• Otkrivanje načina na koji lokalna pravila utječu na grupna pravila
Kada radimo upit u režimu evidentiranja, dobijemo izvješće o svakoj aplikaciji koja je
na raspolaganju za instalaciju, o direktorijima koji će biti preusmjereni (i mjestima na koja će
biti preusmjereni) i svakom parametru pravila koji će se primijeniti na korisnika ili računalo,
kao i o utjecaju sigurnosnih grupa na ta pravila.
Režim planiranja
RSoP režim planiranja nam omogućuje planiranje rasta i organizacije. Pomoću RSoP
režima planiranja možemo pozvati sljedeće objekte GPO-a kako bismo dobili parametre
pravila, aplikacije za instalaciju programa i sigurnost, te koristiti upite sa WMI filtrima kako
bi pročitali hardverska i programska svojstva. Režim planiranja treba koristiti u sljedećim
situacijama:
• Ukoliko želimo testirati prioritete u okviru pravila u slučajevima kada:
o Korisnik i računalo pripadaju različitim sigurnosnim grupama.
o Korisnik i računalo pripadaju različitim jedinicama OU.
o Korisnik i računalo se premještaju na novu lokaciju.
• Ukoliko želimo simulirati sporu vezu.
• Ukoliko želimo simulirati povratnu vezu.
Opcije za RSoP režim planiranja Postoji nekoliko opcija za RSoP režim planiranja.
Svako od opcija može se pokrenuti zasebno ili zajedno sa drugim opcijama. Kako
napredujemo pomoću čarobnjaka pokazivat će se opcije za režim planiranja sljedećim
redoslijedom:
1. Slow network connection Ova opcija simulira sporu vezu. Veza je spora, ako
je brzina prijenosa podataka manja od brzine koja je navedena u okviru tog
objekta. GPO.
23
2. Loopback processing Ova opcija simulira opciju u kojoj je objektu GPO
omogućeno podešavanje režima User Group Policy Loopback Processing
Mode, koji se nalazi u okviru konfiguracije računala , Administrative
Templates, System, Group Policy. Simulacija se može postaviti na Marge ili
Replace. Ukoliko izaberemo Marge simulirat ćemo dodavanje spiska GPO
dobivenog za računala pri pokretanju računala, spisku GPO dobijenom za
korisnika. Ukoliko izaberemo Replace simulirati ćemo zamjenu spiska GPO za
korisnika spiskom GPO koji je već dobiven za računalo pri pokretanju
računala.
3. Site name Ova opcija simulira primjenu podmreža koje se upotrebljavaju za

pokretanje ili prijavljivanje, čime se omogućuje predviđanje RsoP-a ako se
podmreža promjeni.
4. Alternate user and computer locations Ova opcija simulira primjenu

lokacija koje se izmjenjuju za korisnike i računala, što omogućuje predviđanje
RsoP-a ako se korisnik ili računalo premjeste.
5. Alternate user and computer security groups Ova opcija simulira primjenu
sigurnosnih grupa koje se primjenjuju za konfiguriranje korisnika i računala,
što omogućuje da predviđanje RsoP-a koji koristi sigurnosne grupe za
filtriranje GPO dometa.
6. WMI filters for users and computers Ova opcija simulira korištenje WMI
filtara kao pomoći za definiranje parametara grupnih pravila koji se
primjenjuju, što omogućuje da predvidimo RSoP pomoću WMI upita za
filtriranje GPO dometa.
Kreiranje RSoP upita
RSoP upite kreiramo tako što napravimo konzolu RSoP upita, a zatim ga
konfiguriramo pomoću čarobnjaka Resultant Set Of Policy Wizard. Također postoji
mogućnost kreiranja RSoP-a upit na osnovu konzole Active Directoriy Users And Computers
ili na osnovu konzole Active Directory Sites And Srvices. Ukoliko kreiramo RSoP upite na
osnovu konzole Active Directory Users And Computers ili na osnovu konzole Active
Directory Sites And Srvices moramo spremiti upit u okviru %systemroot%\Documents and
Setings\Administrator\Start Menu\Programs\Administrative Tools kako bi nam bio na
raspolaganju.
Kako bismo napravili RSoP upit za postojećeg korisnika i postojeće računalo moramo
biti prijavljeni na lokalno računalo sa administratorskim ovlastima za generiranje RSoP upita
za domenu ili OU u okviru kojih se promatrani korisnički ili računalni nalozi nalaze.
Čuvanje RSoP upita i podataka koji se dobiju iz tih upita
Nakon što kreiramo RSoP upit pomoću čarobnjaka postoji mogućnost da se taj RSoP
upit i podatci dobiveni pomoću njega spreme. Spremljeni RSoP upit se može ponovno
upotrijebiti kasnije, za obradu drugog RSoP upita. Upit se čuva na konzoli za RSoP upite.
Podaci dobiveni pomoću RSoP upita se arhiviraju u okviru RSoP konzole.
24
Prikazivanje RSoP upita
Nakon što smo kreirali i spremili RSoP upit informacije tog upita pojavljuju se na
konzoli RSoP upita. Konzola RSoP upita sadrži četiri tipa koji se mogu prikazati. To su:
o Parametri pojedinačnih pravila

o Spisak objekata GPO tog upita
o Domet upravljanja tog upita
o Informacije o reviziji objekta GPO
Prikazivanje parametara pojedinačnih pravila Rezultati RSoP upita mogu se

prikazati za različite tipove parametara pravila u okviru sa detaljima na konzoli RSoP upita.
Rezultati u Windows Settings Okvir Windows Settings sadrži rezultate parametara

skriptova, parametre za Internet Explorer Maintanace i sigurnosne parametre.
5.1.3. Generiranje RSoP upita pomoću alata Gpresult
Gpresult je alat koji se pokreće i prikazuje u komandnoj liniji. Pored toga, alat
Gpresult osigurava opće informacije o operativnom sustavu, korisniku i računalu. Gpresult
osigurava sljedeće informacije o grupnim pravilima:
• Posljednji trenutak kada su grupna pravila primijenjena i informacije o

kontroloru domena koji je primijenio grupna pravila za korisnika ili za
računalo;
• Kompletan spisak primijenjenih objekata GPO i detalje o tim objektima,
uključujući sažeti pregled oznaka tipova datoteka koje svaki objekt GPO
sadrži;
• Parametre baze Registry koji su primijenjeni i detalje o tim parametrima;
• Direktoriji koji su preusmjereni i detalje o tim direktorijima;
• Informacije o upravljanju programom, uključujući detalje o dodijeljenim i
objavljenim aplikacijama
• Informacije o kvoti diska;
• Sigurnosne parametre protokola za Internet (Internet Protocol, IP);
• Skriptove;
5.1.4. Generiranje RSoP upita pomoću alata Advanced System

Information-Policy
Alat Advanced System Information-Policy nam omogućuje kreiranje RSoP upita i

prikazivanje rezultata tih upita u vidu HTML izvješća koji se pojavljuju u okviru prozora
Help And Support Center. To izvješće se može ispisati i može se sačuvati kao .html datoteka.
25
Rezultati RSoP upita generiranog pomoću alata Advanced System Information-Policy su
dobiveni preko režima evidentiranja RSoP za korisnika koji je trenutno prijavljen na računalo
na kojem se upit izvršava. Izvješće koje je generirano prikazuje informacije o pravilima za
sljedeće kategorije:
• ime računala, odgovarajuću domenu i trenutnu lokaciju;

• korisničko ime i odgovarajuću domenu;
• objekti GPO koji su primijenjeni na promatrano računalo i korisnika;
• pripadnost sigurnosnoj grupi za promatrano računalo i korisnika;
• parametri za Microsoft Internet Explorer;
• skriptovi: logon, logoff, startup, shutdown;
• sigurnosni parametri;
• instalirani programi;
• preusmjeravanje direktorija;
• parametri baze Registry.
5.2. Upravljanje posebnim direktorijima pomoću grupnih pravila
Windows Server 2003 nam omogućava da direktorije koji sadrže profile

preusmjeravamo na lokacije u mreži pomoću čvora Folder Rediction na konzoli GPOE.
Opcija Offline Files korisnicima osigurava pristup preusmjerenim direktorijima čak i kad nisu
povezane sa mrežom i može se podesiti ručno ili pomoću čvora Offline Folder u okviru
Group Policy.
5.2.1. Preusmjeravanje direktorija
Korisničke direktorije preusmjeravamo kako bi osigurali centraliziranu lokaciju za

ključne direktorije operativnog sustava. Ta centralizirana lokacija koja se naziva točkom
dijeljenja, korisnicima osigurava pristupnu točku za čuvanje i pronalaženje informacija, a
administratorima osigurava upravljanje informacijama. Čvor Folder Rediction na konzoli
GPOE omogućava nam preusmjeravanje nekih posebnih direktorija na lokacije na mreži.
Windows 2003 Server omogućava nam preusmjeravanje sljedećih direktorija:
• Application Data
• Desktop
• My documents
• My pictures
• Start menu
Prednosti preusmjeravanja direktorija
Preusmjeravanje direktorija My documents ima posebne prednosti zato što se taj

direktorij s vremenom znatno uveća.
• Ako se korisnik prijavi na neko drugo računalo na mreži njegovi dokumenti su
mu uvijek na raspolaganju.
• Kada se koriste roaming (putujući) profili samo je mrežna putanja do
direktorija My documents dio roaming profila, a ne sam direktorij.
26
• Tehnologija Offline Files korisnicima osigurava pristup direktoriju čak i kad
nisu povezani s mrežom, a posebno je korisna za korisnike prijenosnih
računala.
• Podaci sačuvani na dijeljenom mrežnom serveru mogu se čuvati radi zaštite
kao dio upravljanja sustavom preko rutina.
• Administrator sustava može koristiti grupna pravila za postavljanje kvota diska
ograničavajući količinu prostora koju mogu zauzeti posebni direktoriji
korisnika.
• Podaci koji su specifični za korisnika mogu se preusmjeriti na neki drugi čvrsti
disk na lokalnom računalu sa čvrstog diska koji čuva datoteke operativnog
sustava. Time su korisnički podaci sigurniji u slučaju da se sruši operativni
sustav.
5.3. Otklanjanje pogrešaka kod grupnih pravila
Kako bi održali efikasnu konfiguraciju grupnih pravila moramo imati mogućnost

otklanjanja pogrešaka grupnih pravila. Otklanjanje pogrešaka grupnih pravila obuhvaća
korištenje čarobnjaka RSoP Wizard alata koji se pokreću iz komandne linije, kao što su
Gpresult i Gpupdate, alati Event Viewer i log datoteka, za rješavanje problema u vezi sa
grupnim pravilima.
Kad se pojave problemi, potrebno je napraviti neka testiranja kako bismo provjerili da
li konfiguracija za grupna pravila radi na odgovarajući način, kao što su:
• Potvrda da se objekti GPO primjenjuju na odgovarajuće korisnike i računala.
• Potvrda da se direktoriji koji su konfigurirani za preusmjeravanje,
preusmjeravaju na odgovarajuće mjesto
• Potvrda da su datoteke i direktoriji koji su konfigurirani tako da su na
raspolaganju i u offline režimu zaista na raspolaganju kada je računalo u ofline.
Također trebamo imati mogućnost utvrđivanja i rješavanja problema, kao što su:
• Objekti GPO se ne primjenjuju.
• Objektima GPO se ne može pristupiti.
• Stavke u vezi sa nasljeđivanjem kod objekata GPO izazivaju neočekivane
rezultate.
• Direktoriji nisu preusmjereni ili su preusmjereni na neočekivano mjesto
• Datoteke i direktoriji nisu na raspolaganju u offline režimu.
• Datoteke nisu sinkronizirane.
Kod Windows Server 2003 postoje sljedeći alati za otklanjanje pogrešaka kod grupnih
pravila koji nam pomažu pri provjeri konfiguracije, utvrđivanju i rješavanju problema:
• Resultant Set Of Policy Wizard
• Gpresult
• Gpupdate
• Event Viewer
• Log datoteke
27
6. Distribucija programa pomoću grupnih
pravila
Karakteristika alata IntelliMirror, koja se naziva Software Installation And

Maintenance (instalacija i održavanje programa) je osnovni alat administratora za upravljanje
programom unutar organizacije. Upravljanje programom pomoću alata Software Installation
And Maintenance, omogućava korisnicima neposredan pristup programu koji im treba za
obavljanje poslova i osigurava im lako i dosljedno iskustvo sa programom.
IntelliMirror koristi se za kreiranje upravljanog programskog okruženja sa sljedećim
karakteristikama:
• Da bi korisnici imali pristup aplikacijama koje im trebaju za obavljanje
poslova bez obzira na to s kojeg se računala prijavljuju na mrežu.
• Da bi računala imala potrebne aplikacije.
• Da bi aplikacije mogle biti ažurirane, održavane ili uklonjene u skladu s
potrebama organizacije.
6.1. IntelliMirror (Software Installation And Maintenance)
IntelliMirror (Software Installation And Maintenance) radi u spoju sa grupnim

pravilima i servisom aktivni imenik, uspostavljajući sustav upravljanja programom koji se
zasniva na politici grupe. Kako bi organizacija uvela program pomoću grupnih pravila mora
koristiti operativni sustav Microsoft Windows 2000 Server ili noviji, sa servisom aktivni
imenik i grupnim pravilima na serveru, i operativnim sustavom Microsoft Windows 2000
Server ili novijim na klijentskim računalima.
Alati koji su predviđeni za uvođenje programa pomoću grupnih pravila:
• Proširenje alata Software Installation Nalazi se na konzoli GPOE na

serveru, a koriste ga administratori za upravljanje programom.
• Add Or Remove Programs Nalazi se u Control Panelu klijentskog računala.

Ovu opciju koriste korisnici za upravljanje programom na svojim računalima.
6.1.1. Proširenje alata Software Installation
Proširenje alata Software Installation na konzoli GPOE je ključni upravljački alat za

uvođenje programa, koji administratorima omogućava centralno upravljanje
• Početnim uvođenjem programa

• Nadogradnjama, ispravcima i brzim popravcima programa
• Uklanjanjem programa
Pomoću proširenog alata Softvare Instalation može se centralno upravljati instalacijom

programa na klijentskom računalu dodjeljivanjem aplikacija korisnicima ili računalima. Pa
tako administrator dodjeljuje zahtijevani ili obavezni program korisnicima ili računalima.
28
Administrator objavljuje program koji je korisnicima potreban za obavljanje poslova. I
dodijeljeni i objavljeni program je smješten u točci distribucije programa (software
distribution point, SDP), na mrežnoj lokaciji sa koje korisnici mogu dobiti program koji im je
potreban.
Dodjela aplikacija
Kada se korisniku dodjeljuje aplikacija, ona se oglašava u okviru Start izbornika kad
se sljedeći put korisnik prijavi na radnu stanicu, a lokalni parametri baze Registry, uključujući
oznake tipa datoteka, su ažurirani. Oglašavanje aplikacije prati korisnika bez obzira na koje se
računalo on prijavljuje. Ova aplikacija se instalira kada korisnik prvi put pokrene aplikaciju
na računalu ili biranjem aplikacije u izborniku Start ili otvaranjem dokumenta koji je u vezi s
tom aplikacijom.
Kada se aplikacija dodjeljuje računalu, aplikacija je objavljena i instalacija se izvodi
obično odmah nakon što se računalo pokrene, jer nema konkurentnih procesa koji se
izvršavaju na računalu. Dodijeljeni program je u potpunosti instaliran kad se računalo sljedeći
put pokrene.
Objavljivanje aplikacija
Kada se korisnicima objavi aplikacija, ona se ne pojavljuje instalirana na korisničkim

računalima. Objavljene aplikacije smještaju svoje atribute oglašavanja u aktivni imenik.
Nakon toga, informacije kao što su imena aplikacija i veze datoteka izlažu se korisnicima u
okviru aktivnog imenika. Aplikacija je raspoloživa za korisnika i on je može instalirati
pomoću opcije Add Or Remove Programs u okviru Control Panela ili klikom na datoteku
koja je vezana s aplikacijom (npr., .xls za Microsoft Exsel).
Servis Windows Installer
Proširenje Software Installation koristi servis Windows Installer za održavanje

programa. Servis Windows Installer se izvršava u pozadini i dozvoljava operacijskom sustavu
upravljanje procesom instaliranja u skladu sa informacijama u okviru paketa Windows
Installer. Paket Windows Installer je datoteka koja sadrži informacije koje opisuju instalirano
stanje aplikacije.
Kako servis Windows Installer upravlja stanjem instalacije, on uvijek zna stanje
programa. Ukoliko postoji problem kod instaliranje programa, Windows Installer može vratiti
računalo u posljednje dobro stanje koje je poznato. Windows Installer omogućuje jednostavno
ulanjanje programa kada on više nije potreban.
Na sam servis Windows Installer utječu parametri grupnih pravila. Ti parametri se
nalaze u čvoru Windows Components.
Paketi Windows Installer Paket Windows Installer je datoteka koja sadrži
eksplicitna upustva za instaliranje i uklanjanje određenih aplikacija. Postoje dva tipa paketa
Windows Installer:
Datoteke (.msi) početnog paketa Windows Installer Ove datoteke su

razvijene kao dio aplikacije i koriste sve prednosti paketa Windows Installer.
29
Datoteke (.msi) prepakovane aplikacije Ove datoteke se koriste za
prepakiranje aplikacija koje nemaju početni paket Windows Installer. Iako
prepakovani paketi Windows Installer rade isto kao i početni paketi Windows
Installer, prepakovani paketi Windows Installer sadrže jedan proizvod sa svim
komponentama i aplikacijama koje su povezane s tim proizvodom, a instalirane
su kao pojedinačne karakteristike.
Podešavanje paketa Windows Installer Pakete Windows Installer možemo

podešavati pomoću modifikacija. Format paketa Windows Installer osigurava podešavanje
tako što omogućuje transformacije originalnog paketa pomoću alata za autorizaciju i
prepakiranje.
Za modifikaciju postojećeg paketa Windows Installer moguće je koristiti sljedeće
tipove datoteka:
Transformacine (.mst) datoteke Ove datoteke osiguravaju sredstvo za

podešavanje instaliranja aplikacije.
Datoteke (.msp) ispravki Ove datoteke se koriste za ažuriranje postojećih

.msi datoteka za programske ispravke, servisne datoteke i neke datoteke za
ažuriranje programa, uključujući ispravke grešaka.
Datoteke aplikacije (.zap)
Program možemo uvoditi pomoću Software Installation koristeći datoteke aplikacije.

Datoteke aplikacije su tekstualne koje sadrže instrukcije o tome kako objaviti tu aplikaciju, a
uzete su iz postojećeg instalacijskog programa (Setup.exe ili Install.exe). Datoteke aplikacije
koriste datoteku s ekstenzijom .zap. Datoteke .zap treba koristiti kada ne možemo opravdati
razvijanje početnog paketa Windows Installer radi kreiranja prepakiranog paketa Windows
Installer. Datoteka .zap ne podržava karakteristiku Windows Installer. Kada uvodimo
aplikaciju pomoću datoteke .zap, aplikacija se instalira pomoću svog originalnog programa
Setup.exe ili Install.exe. Program može bit samo objavljen a korisnici ga mogu izabrati samo
pomoću opcije Add Or Remove Programs u okviru Control Panela. Poželjno je datoteke .msi
koristiti za uvođenje Programa pomoću grupnih pravila kada god je to moguće.
6.1.2. Add Or Remove Programs
Opcija Add Or Remove Programs u okviru Control Panela omogućuje korisnicima

instaliranje, modificiranje ili uklanjanje postojeće objavljene aplikacije ili popravljanje
oštećene aplikacije. Može se kontrolirati izbor programa koji će korisnicima biti na
raspolaganju u okviru Add Or Remove Programs u okviru Control Panela pomoću parametara
grupnih pravila. Korisnici više ne trebaju tražiti mrežnu lokaciju, koristiti CD-ROM,
instalirati, popravljati i nadograđivati program.
30
6.1.3. Pristupi uvođenju programa
S obzirom na to da program može biti ili dodijeljen ili objavljen, i usmjeren ka

korisnicima ili računalima, možemo ustanoviti kombinacije koje mogu funkcionirati, kako
bismo postigli ciljeve upravljanja programom. Detalji s različitim pristupima uvođenju
programa prikazani su u sljedećoj tablici.
Pristup uvođenju Objavljivanje Dodjela Dodjela

(samo za korisnike) (korisnik) (računalo)
Nakon razvoja, Sljedeći put kada se Sljedeći put kada se Sljedeći put kada se
program je na korisnik prijavi korisnik prijavi računalo pokrene
raspolaganju za
instaliranje
Obično korisnik Opcije Add Or Izbornika Start ili program je već
instalira program Remove Programs u prečice na radnoj instaliran (program se
pomoću okviru Control površini automatski instalira
Panela kada se računalo
ponovno pokrene)
Ako program nije Da (ako je uključena Da Ne primjenjuje se;
instaliran, a korisnik opcija za automatsko program je već
otvara datoteku koja instaliranje) instaliran
je povezana s tim
programom, da li se
program instalira?
Može li korisnik Da, i korisnik može Da, i program je opet Ne. Samo lokalni
ukloniti program izabrati da ga opet na raspolaganju za administrator može
pomoću opcije Add instalira pomoću instaliranje s tipičnih ukloniti program;
Or Remove Programs opcije Add Or instalacijskih točaka korisnik može
u okviru Control Remove Programs u pokrenuti
Panela? okviru Control popravljanje
Panela programa
Podržane Paketi Windows Paketi Windows Paketi Windows
instalacijske datoteke Installer (.msi Installer (.msi Installer (.msi
datoteke), .zap datoteke) datoteke)
datoteke.
Modifikacije (.mst ili .msp datoteke) su podešavanja koja se primjenjuju na pakete

Windows Installer. Modifikacija mora biti primijenjena u vrijeme dodjele ili objavljivanja, a
ne u vrijeme instalacije.
6.1.4. Distribucija paketa Windows Installer
Budući da je Windows Installer dio operacijskog sustava nije bitno kako paketi
Windows Installer dolaze do klijentskih računala. Ukoliko se program distribuira većem broju
korisnika, a pritom se koristi Windows Server 2003 i aktivni imenik, a sve radne stanice
koriste Windows 2000 Profesional ili noviju verziju, program je moguće distribuirati pomoću
grupnih pravila.
31
Kod distribucije programa pomoću grupnih pravila koristi se model preuzimanja, koji
program stavlja na raspolaganje svim korisnicima kojima je potreban. Programi se u
potpunosti instaliraju kada korisnik prvi put odabere taj program koji mu je dodijeljen (npr.
MS Word.exe) ili ako izabere datoteku dodijeljenog programa (npr. dokument.doc). Za
distribuciju programa pomoću grupnih pravila potrebna je lokana mreža (Local Area Network,
LAN) velike brzine između klijentskog računala i servera koji distribuira program.
6.2. Distribucija programa pomoću grupnih pravila
Zadaci uvođenja programa pomoću grupnih pravila:
¾ Planiranje i priprema distribucije programa

¾ Podešavanje točke SDP
¾ Kreiranje objekta GPO i konzole GPO za distribuciju programa
¾ Opisivanje svojstava uvođenja programa za određeni objekt GPO
¾ Dodavanje paketa Windows Installer objektu GPO i izbor načina za distribuciju
paketa
Planiranje i priprema distribucije programa
Prije nego što se počne sa distribucijom programa pomoću grupnih pravila, potrebno
je isplanirati distribuciju. Kod planiranja distribucije programa treba:
• Provjeriti programske potrebe na osnovu cijele organizacijske strukture unutar

aktivnog imenika i raspoloživih objekata GPO.
• Odrediti način na koji će se distribuirati potrebne aplikacije.
• Napraviti sustave za testiranje načina na koje će se distribuirati program
korisnicima i računalima.
• Pripremiti program koristeći format koji omogućuje upravljanje i testiranje
svih paketa Windows Installer.
Podešavanje točke SDP (software distribution point)
Nakon što je isplanirano upravljanje programom, sljedeći korak je kopiranje programa

na jednu ili više točaka SDP, tj. mrežnih mjesta sa kojih korisnici mogu dobiti program koji
im je potreban.
Za podešavanje točke SDP, potrebno je napraviti sljedeći postupak:
1. Na file serveru kreirati direktorije za program koji će se predstavljati točke

SDP i napraviti dijeljene (share) direktorije (npr. \\servername\sharname).
2. Smjestiti ili kopirati program, pakete, modifikacije, sve potrebne datoteke i
komponente, na točku SDP.
3. Podesiti odgovarajuće dozvole za direktorije. Administratorima treba podesiti
pravo s kojim imaju potpunu kontrolu (Full contorl), a korisnicima treba
dodijeliti pravo čitanja ili izvođenja (Read) datoteka iz dijeljenog direktorija i
točke SDP.
32
Kreiranje objekta GPO i konzole GPO za distribuciju programa
Nakon podešavanja točke SDP potrebno je kreirati GPO i MMC konzolu za GPO.
Postupak je objašnjen u 4. poglavlju u odlomcima 4.1.1. i 4.1.2.
Opisivanje svojstava distribucije programa za određeni objekt GPO
U ovom postupku definiraju se podrazumijevani parametri za sve pakete Windows

Installer u objektu GPO u okviru za dijalog Software Installation Properties, koji se sastoji od
sljedećih kartica: General, Advenced, File Exstensions i Categories.
• Na karticama General i Advenced navodi se način na koji želimo distribuirati i

upravljati svim paketima Windows Installer u objektu GPO.
• Na kartici File Exstensions navodi se koju će aplikaciju korisnici instalirati pri izboru
datoteke sa nepoznatom oznakom tipa. Također, moguće je konfigurirati prioritet za
instaliranje aplikacija kada je više aplikacija povezano sa nepoznatom oznakom tipa
datoteke.
• Na kartici Categories moguće je označiti kategorije za organiziranje dodijeljenih ili
objavljenih aplikacija kako bi korisnicima olakšali pronalaženje aplikacije unutar
opcije Add Or Remove Programs.
Neki parametri unutar opcije Software Installations Properties mogu se podesiti na

nivou paketa mjenjanjem opcije Properties za određeni paket Windows Installer.
Dodavanje paketa Windows Installer objektu GPO i izbor načina za distribuciju

paketa
U ovom koraku potrebno je specificirati programske aplikacije koje treba distribuirati

pomoću paketa Windows Installer u GPO, te specificirati kako se paket distribuira, da li je
dodijeljen ili objavljen.
Za dodavanje paketa Windows Installer objektu GPO i odabir načina distribucije
programa, potrebno je napraviti sljedeće korake:
1. Otvoriti konzolu za distribuciju programa. U čvoru Computer Configuration

ili User Configuration otvoriti Software Settings.
2. Desnom tipkom miša kliknuti na Software Installation, odabrati New i zatim

kliknuti na Package.
3. U prozoru Open, u spisak File Name unijeti UNC putanju

(\\servername\sharename) do točke SDP za pakete Windows Installer (.msi
datoteke) i kliknuti na Open.
4. U prozoru Deploy Software potrebno je izabrati jednu od opcija:

• Published, ako želimo objaviti paket Windows Installer.
• Assigned, ako želimo dodjeliti paket Windows Installer.
• Advanced, ako želimo podesiti paket Windows Installer.
33
5. Kliknuti na OK. Ukoliko je prethodno odabrana opcija Published ili Assigned
paket Windows Installer je dodan GPO-u. Ukoliko je odabrana ocija
Aedcanced, otvara se prozor Properties za paket Windows Installer u kojem je
moguće podesiti parametre paketa Windows Installer, kao što su opcije i
modifikacije distrribucije. Podešavanjem paketa Windows Installer moguće je
podesiti distribuciju svake aplikacije.
34
7. Kreiranje okruženja na Windows 2003
poslužitelju korištenjem tehnike grupna
pravila
U nastavku ovog diplomskog rada demonstrirati ćemo kreiranje okruženja na

Windows 2003 poslužitelju korištenjem tehnike grupna pravila.
Da bi uopće mogli kreirati okruženje na Windows 2003 poslužitelju potrebno je imati
instalacijski CD-ROM za Windows Server 2003 i računalo koje zadovoljava performanse
potrebne za instalaciju Windows Server 2003 operacijskog sustava.
Minimalne performanse koje računalo mora imati su:

• Kompletan hardver koji se koristi mora biti na spisku hardvera kompatibilnog s
Microsoftovim Windows Serverom 2003 i zadovoljavati zahtjeve navedene na
adresi
http://www.microsoft.com/windowsserver2003/evaluation/sysreqs/default.mspx
• Minimalni CPU: 32-bitni procesor na 733 MHz
• Minimalni RAM: 128 MB
• Prostor na disku potreban za instalaciju: 2,0 GB
• CD-ROM ili DVD-ROM jedinica
• Monitor koji podržava rezoluciju 800 x 600 (preporučuje se 1024 x 768)
Napomena u nastavku ovog praktičnog rada polazimo od toga da je na računalu već

instaliran operacijski sustav Windows Server 2003.
7.1. Postavljanje neophodnih postavki na serveru za primjenu

grupnih pravila
Kako bi mogli primijeniti grupna pravila na neko okruženje potrebno je prethodno

postaviti statičku IP adresu, prioritetni DNS server i instalirati aktivni imenik na željeni
server.
7.1.1. Postavljanje statičke IP adrese i prioritetnog DNS servera
Prije nego što instaliramo aktivni imenik na server potrebno je postaviti statičku IP
adresu i prioritetni DNS server. Za postavljenje statičke IP adrese i prioritetnog DNS servera
potrebno je napraviti slijedeći postupak:
1. U izborniku Start izaberemo Network Connections.
2. Desnom tipkom miša kliknemo na Local Area Connections, a zatim iz padajućeg

izbornika izaberemo Properties.
3. U okviru Local Area Connections Properties, na kartici General izaberemo Internet

Protocol (TCP/IP), a zatim kliknemo na Properties.
35
4. U okviru za dijalog Internet Protocol (TCP/IP) Properties (slika 7-1), izaberemo
Use The Following IP Adress. Da bismo odredili statičku IP adresu za DNS server,
upišemo IP adresu u polje IP Adress, masku podmreže u polje Subnet Mask te
podrazumijevanu IP adresu u polje Default Gateway.
slika 7-1: Okvir za dijalog Internet Protocol (TCP/IP) Properties s upisanim

vrijednostima
5. Izaberemo dugme Use The Following DNS Server Adresses, a zatim u polje
Preferred DNS Server upišemo adresu prioritetnog DNS servera. Ako želimo,
možemo odrediti Alternate DNS server kojeg server treba upotrijebiti u slučaju da
ne bude primao odgovor od prioritetnog servera.
6. Kliknemo na OK.
7.1.2. Instalacija servisa aktivni imenik
Postoji nekoliko načina za instalaciju servisa aktivnog imena:

• Pomoću čarobnjaka Active Directory Instalations Wizard
• Pomoću datoteke s odgovorima kako bi se instaliranje obavilo bez nadzora
• Pomoću mreže ili medija s rezervnom kopijom
• Pomoću čarobnjaka Configure Your Server
Za instalaciju aktivnog imenika u ovom slučaju instalacija se izvodi pomoću čarobnjaka

Active Directory Instalations Wizard. Kako bi instalirali aktivni imenik potrebno je napraviti
slijedeće korake.
36
1. Za pokretanje čarobnjaka Active Directory Instalations Wizard kliknemo na Start,
zatim Run i upišemo naredbu za pokretanje dcpromo te kliknemo na OK.
2. Na stranici Welcome To Active Directory Instalations Wizard kliknemo na Next.
3. Na stranici Operating System Compatibility kliknemo na Next.
4. Na stranici Domain Controller Type (slika 7-2), izaberemo Domain Controller For a
New Domain i kliknemo na Next.
slika 7-2: Čarobnjak Active Directory Instalations Wizard stranica Domain

Controller Type
5. Na stranici Create New Domain izaberemo Domain In A New Forest, i kliknemo na

Next.
6. Na stranici New Domain Name (slika 7-3), u polje Full DNS Name For A New
Domain upišemo ime domene "OSS.local" i kliknemo na Next.
slika 7-3: Čarobnjak Active Directory Instalations Wizard stranica New Domain Name
37
7. Na stranici NetBIOS Domain Name upotrijebiti ćemo podrazumijevano NetBIOS ime
u ovom slučaju to je "OSS" i kliknuti na Next.
8. Na stranici Database and Log Folders upišemo lokaciju za bazu podataka aktivnog
imenika u polje Database Folder, a dnevnik aktivnog imenika u polje Log Folder.
Preporučljivo je Database Folder i Log Folder staviti na odvojene NTFS diskove.
Zatim kliknemo na Next.
9. Na stranici Shared Syistem Volume, upišemo lokaciju direktorija Sysvol u polje
Folder Location. Shared Syistem Volume mora biti smješten na particiji koja je NTFS
formatirana. Zatim kliknemo na Next.
10. Na stranici DNS Registration Diagnostics, kako još nismo instalirali DNS, izaberemo
opciju Install And Configure The DNS Server On This Computer, i kliknemo na
Next.
11. Na stranici Permissions (slika 7-4), odaberemo opciju Permissions compatible only
whit Windows 2000 or Windows Server 2003 operating systems i kliknemo na Next.
slika 7-4: Čarobnjak Active Directory Instalations Wizard stranica Permissions
12. Na stranici Directory Services Restore Mode Administrator Password, upišemo

lozinku koju želimo dodijeliti administratoru domene i kliknemo na Next.
13. Na stranici Summary, možemo pogledati sve opcije koje smo prethodno izabrali.
Nakon što prekontroliramo izabrane opcije kliknemo na Next.
14. I kad se pojavi stranica Completing The Active Directory Installation Wizard
kliknemo na Finish, a zatim Restart Now.
15. Nakon ponovnog pokretanja računala pojavljuje se stranica This Server Is Now A
Domain Controller, i kliknemo na Finish. Aktivni imenik je sada instaliran na serveru.
38
7.2. Kreiranje OU strukture i korisničkih računa unutar domene
oss.local
Da bismo mogli formirati parametre grupnih pravila i skriti neke objekte, potrebno je
kreirati organizacijske jedinice. U ovom slučaju kreirati ćemo glavnu OU (OSS) unutar koje
ćemo kreirati četiri sigurnosne razine OU-a i nazvati ih level 0, … , level 4, te im dodati
korisnike (Slika 7-5).
slika 7-5: Kreirana struktura OU unutar domene oss.local
Za kreiranje OU strukture prikazane na slici 7-2, potrebno je izvršiti slijedeće korake:
1. Kliknemo na Start, Administrative Tools i zatim izaberemo Active Directory Users

And Computers.
2. Desnom tipkom miša kliknemo na domenu (oss.local). Iz padajućeg izbornika
odaberemo New, a zatim Organizational Unit (slika 7-6).
slika 7-6: Active Directory Users And Computers
39
3. U okviru New Object – Organizational Unit (slika 7-7) upišemo ime nove
organizacijske jedinice koju ćemo nazvati «OSS» i kliknemo na OK.
Slika 7-7: Okvir za dijalog New Object - Organizational Unit
Nakon kreiranja OU-a OSS, potrebno je ponoviti prethodni postupak za sve ostale
OU-e (level 0, level 1, level 2, level 3, level 4). Jedina razlika je u tome što se ostale OU
umjesto u domeni kreiraju u organizacijskoj jedinici OSS.
Da bi OU bile potpune, kreiraju se korisnički računi. U ovom slučaju to su sljedeći:
• Gost za OU level 0
• Referada za OU level 1
• Student za OU level 2
• Poweruser za OU level 3
• Administrator za OU level 4
7.3. Primjena grupnih pravila na okruženje OSS
Nakon instaliranja aktivnog imenika, te kreiranja OU-e za primjenu grupnih pravila,

preostalo je formiranje GPO-a i MMC konzole za GPO. Postupak je objašnjen u 4. poglavlju
u odlomcima 4.1.1. i 4.1.2.
Kreiramo GPO-e za OU-e i MMC konzole za GPO-e te ih nazovemo redom:
• OSS za OU OSS,
• level 0 za OU level 0
40
7.3.1. Primjena grupnih pravila na OU OSS
Na OU OSS potrebno je primijeniti pravilo aktivne radne površine, s kojim je

konfigurirana pozadina (wallpaper). Ovo pravilo se odnosi i na ostale OU-e (level 0, …, level
4) budući da je OU OSS roditelj tih OU-a. Podrazumijeva se da svaki korisnik koji se prijavi
na domenu ima istu pozadinu na računalu.
Potrebno je učiniti slijedeće:
1. Pokrenemo MMC konzolu OSS

2. Otvorimo OSS [server-2003.oss.local] Policy → User Configuration →
Administrative Templates → Desktop → Active Desktop
3. Unutar direktorija Active Desktop podesimo pravila:
• Enable Active Desktop Enable

• Active Desktop Wallpaper Enable
(i u polje Wallpaper Name upišemo putanju do željene pozadine koju smo
prethodno spremili na lokaciju \\server-2003\slika\oss1.JPG)
4. Za premještanje My Documents direktorija za sve korisnike domene na D:\

particiju potrebno je otvoriti OSS [server-2003.oss.local] Policy → User
Configuration → Windows Setings → Folder Redirection. Desnom tipkom miša
kliknemo na My Documents i iz padajućeg izbornika izaberemo Properties, te na
kartici Target podesimo slijedeće:
• Za polje Setting izaberemo Advaced – Specify locations for various user
groups
• U okviru Security Group Membership kliknemo na Add za dodavanje
grupe korisnika (OSS\Domain Users) i određivanje nove lokacije na kojoj
će se direktorij My Documents nalaziti D:\Documents\%Username%\My
Documents
7.3.2. Primjena grupnih pravila na OU level 0 (gosti)
OU level 0 je razina s najmanjim pravima, ćemo koristiti za gost korisnike.

Dozvoljeno im je korištenje Internet Explorera koji se sam pokreće prilikom prijave korisnika
na domenu.
1. Pokrenemo MMC konzolu level 0
2. Za onemogućavanje Windows Installer otvorimo level 0 [server-2003.oss.local]

Policy → Computer Configuration → Administrative Templates → Windows
Components → Windows Installer i podesimo pravilo:
• Disable Windows Installer Enabled
41
3. Za onemogućavanje upotrebe pisača otvorimo level 0 [server-2003.oss.local]
Policy → Computer Configuration → Administrative Templates → Printers i
podesimo pravilo:
• Allow printers to be published Disabled
4. Za preusmjeravanje Start Menu direktorija za sve korisnike na istu lokaciju

otvorimo level 0 [server-2003.oss.local] Policy → User Configuration →
Windows Setings → Folder Redirection. Desnom tipkom miša kliknemo na Start
Menu i iz padajućeg izbornika izaberemo Properties, te na kartici Target podesimo
slijedeće:
• Za polje Setting izaberemo Basic – redirect everyone`s folder to the same
location
• Za polje Target Folder Location izaberemo Redirect to the following
location
• U polje Root Path upišemo UNC putanju do mjesta na koje želimo
preusmjeriti direktorij (\\Server-2003\gost\Start Menu). Prethodno smo
napravili dijeljeni gost direktorij.
5. Za zabranu korištenja diskovnih particija i Windows+X hotkeys mogućnosti

potrebno je otvoriti level 0 [server-2003.oss.local] Policy → User Configuration
→ Administrative Templates → Windows Components → Windows Explorer i
podesiti slijedeća prava:
• Hide these specified drives in My Computer Enabled
(Restrict all drives)
• Prevent access to drives from My Computer Enabled
(Restrict all drives)
• Turn off Windows+X hotkeys Enabled
6. Za organiziranje Start menija potrebno je otvoriti (slika 7-8) level 0 [server-

2003.oss.local] Policy → User Configuration → Administrative Templates →
Start Menu and Taskbar i podesiti slijedeća prava:
• Remove user's folders from the Start Menu Enabled
• Remove links and access to Windows Update Enabled
• Remove common program groups from Start Menu Enabled
• Remove My Documents icon from Start Menu Enabled
• Remove Documents menu from Start Menu Enabled
• Remove programs on Settings menu Enabled
• Remove Network Connections from Start Menu Enabled
• Remove Favorites menu from Start Menu Enabled
• Remove Search menu from Start Menu Enabled
• Remove My Pictures icon from Start Menu Enabled
• Remove My Music icon from Start Menu Enabled
• Remove My Network Places icon from Start Menu Enabled
• Remove Help menu from Start Menu Enabled
• Remove Run menu from Start Menu Enabled
• Add Logoff to the Start Menu Enabled
• Remove and prevent access to the Shut Down command Enabled
• Remove Drag-and-drop context menus on the Start Menu Enabled
• Prevent changes to Taskbar and Start Menu Settings Enabled
• Remove access to the context menus for the taskbar Enabled
• Do not keep history of recently opened documents Enabled
42
• Clear history of recently opened documents on exit Enabled
• Turn off personalized menus Enabled
• Turn off user tracking Enabled
• Lock the Taskbar Enabled
• Force classic Start Menu Enabled
• Remove Balloon Tips on Start Menu items Enabled
• Remove pinned programs list from the Start Menu Enabled
• Remove frequent programs list from the Start Menu Enabled
• Remove All Programs list from the Start menu Enabled
• Remove the "Undock PC" button from the Start Menu Enabled
• Remove user name from Start Menu Enabled
• Hide the notification area Enabled
• Do not display any custom toolbars in the taskbar Enabled
• Remove Set Program Access and Defaults from Start menu Enabled
Slika 7-8: Group Policy za Level 0 čvor Start Menu and Taskbar
7. Za organiziranje i izgled radne površine potrebno je otvoriti level 0 [server-

Desktop i podesiti slijedeća prava:
• Remove My Documents icon on the desktop Enabled
• Remove My Computer icon on the desktop Enabled
• Remove Recycle Bin icon from desktop Enabled
• Remove Properties from the My Documents context menu Enabled
• Remove Properties from the My Computer context menu Enabled
• Remove Properties from the Recycle Bin context menu Enabled
• Hide My Network Places icon on desktop Enabled
• Don't save settings at exit Enabled
• Remove the Desktop Cleanup Wizard Enabled
8. Za zabranu korištenja Control Panela potrebno je otvoriti level 0 [server-

Control Panel i podesiti slijedeće pravilo:
• Prohibit access to the Control Panel Enabled
43
9. Za zabranu ili dozvolu korištenja aplikacija potrebno je otvoriti level 0 [server-
System i podesiti slijedeća prava:
• Prevent access to the command prompt Enabled
• Run only allowed Windows applications Enabled
(i dodamo Iexplore.exe u listu aplikacija koji imaju dozvolu za korištenje)
• Turn off Autoplay Enabled
10. Za podešavanje Ctrl+Alt+Del opcije potrebno je otvoriti level 0 [server-

System → Ctrl+Alt+Del Options i podesiti slijedeća prava:
• Remove Task Manager Enabled
• Remove Lock Computer Enabled
• Remove Change Password Enabled
11. Za podešavanje opcije Logon potrebno je otvoriti level 0 [server-2003.oss.local]

Policy → User Configuration → Administrative Templates → System → Logon i
podesiti slijedeće pravo:
• Run these programs at user logon Enabled
(i dodamo Iexplore.exe u listu aplikacija koje se pokreću kad se korisnik prijavi)
7.3.3. Primjena grupnih pravila na OU level 1 (računovostvo)
OU level 1 konfiguriramo za djelatnike računovodstva (referada). Imaju mogućnost

korištenja Office-ovih aplikacija, omogućena im je upotreba pisača i korištenje D:\ particije
diska.
2. Za onemogućavanje Windows Installer potrebno je otvoriti level 1 [server-

2003.oss.local] Policy → Computer Configuration → Administrative Templates
→ Windows Components → Windows Installer i podesiti pravila:
• Prohibitt user Installs Enabled
3. Za određivanje disk kvota potrebno je otvoriti level 1 [server-2003.oss.local]

Policy → Computer Configuration → Administrative Templates → System → Disk
Quotas i podesiti pravila:
• Enable disk quotas Enabled
• Default quota limit and warning level Enabled
(postavimo quota limit na 50 MB i warning level na 40 MB)
4. Za skrivanje i zabranu korištenja disk particije C:\ i uklanjanja mogućnosti za

prženje CD-ova potrebno je otvoriti level 1 [server-2003.oss.local] Policy → User
Configuration → Administrative Templates → Windows Components → Windows
Explorer i podesiti slijedeća prava:
44
• Hide these specified drives in My Computer Enabled
(Restrict C drive only)
• Prevent access to drives from My Computer Enabled
(Restrict C drive only)
• Remove CD Burning features Enabled
5. Za onemogućavanje korištenja Windows Update servisa potrebno je otvoriti level

1 [server-2003.oss.local] Policy → User Configuration → Administrative
Templates → Windows Components → Windows Update i podesiti slijedeće
pravilo:
• Remove access to use all Windows Update Features Enabled
6. Za organiziranje Start menija potrebno je otvoriti (slika 7-5) level 1 [server-

Start Menu and Taskbar i podesiti slijedeća prava:
• Remove links and access to Windows Update
Enabled
• Remove My Network Places icon from Start Menu Enabled
• Remove Run menu from Start Menu Enabled
• Force classic Start Menu Enabled

• Prohibit user from changing My Documents path Enabled
• Hide Internet Explorer icon on desktop Enabled

9. Za konfiguriranje upotrebe pisača potrebno je otvoriti level 1 [server-

Control Panel → Printers i podesiti slijedeća pravila:
• Browse a common web site to find printers Disabled
• Browse the network to find printers Disabled
• Default Active Directory path when searching for printers Disabled
• Point and Print Restrictions Disabled
• Prevent addition of printers Enabled
• Prevent deletion of printers Enabled
10. Za zabranu pristupa mrežnim postavkama potrebno je otvoriti level 1 [server-

Network → Network Connections i podesiti slijedeće pravilo:
• Prohibit TCP/IP advanced configuration Enabled
• Prohibit access to properties of a LAN connection Enabled
45
• Ability to Enable/Disable a LAN connection Enabled
• Prohibit access to the New Connection Wizard Enabled
• Prohibit access to the Remote Access Preferences item
on the Advanced menu Enabled
11. Za naznačavanje aplikacija koje korisnik može koristiti potrebno je otvoriti level 1
[server-2003.oss.local] Policy → User Configuration → Administrative Templates
→ System i podesiti slijedeća prava:
• Run only allowed Windows applications Enabled
(u listu aplikacija koje imaju dozvolu za korištenje dodamo programe calc.exe,
winword.exe, excel.exe, msimn.exe, mspaint.exe, powerpnt.exe i WinRar.exe)
7.3.4. Primjena grupnih pravila na OU level 2 (studenti i profesori)
OU level 2 konfiguriramo za studente. Imaju mogućnost korištenja kompletnog file

sistema, ograničenog prostora na disku (100 MB), te pokretanja svih aplikacija. Zabranjeno
im je instaliranje novih programa.
2. Za onemogućavanje Windows Installer potrebno je otvoriti level 2 [server-

2003.oss.local] Policy → Computer Configuration → Administrative Templates
→ Windows Components → Windows Installer i podesiti pravila:
• Prohibit user Installs Enabled
3. Za određivanje disk kvota potrebno je otvoriti level 2 [server-2003.oss.local]

Policy → Computer Configuration → Administrative Templates → System → Disk
Quotas i podesiti pravila:
• Enable disk quotas Enabled
• Default quota limit and warning level Enabled
(postavljen je quota limit na 100 MB i warning level na 90 MB)
4. Za uklanjanje mogućnosti za prženje CD-ova potrebno je otvoriti level 2 [server-

Windows Components → Windows Explorer i podesiti pravilo:
• Remove CD Burning features Enabled
5. Za organiziranje Start menija potrebno je otvoriti level 2 [server-2003.oss.local]

Policy → User Configuration → Administrative Templates → Start Menu and
Taskbar i podesiti slijedeća prava:
• Remove links and access to Windows Update Enabled
• Remove common program groups from Start Menu Enabled
• Remove Network Connections from Start Menu Enabled
46
• Prevent changes to Taskbar and Start Menu Settings Enabled

• Prohibit user from changing My Documents path Enabled
• Remove Properties from the My Computer context menu Enabled

8. Za konfiguriranje upotrebe pisača potrebno je otvoriti level 2 [server-

Control Panel → Printers i podesiti slijedeće pravilo:
• Browse a common web site to find printers Disabled
• Browse the network to find printers Disabled
• Default Active Directory path when searching for printers Disabled
• Point and Print Restrictions Disabled
• Prevent addition of printers Enabled
• Prevent deletion of printers Enabled
9. Za zabranu pristupa mrežnim postavkama potrebno je otvoriti level 2 [server-

Network → Network Connections i podesiti slijedeća pravila:
• Prohibit access to properties of components
of a LAN connection Enabled
• Prohibit access to properties of components
of a remote access connection Enabled
• Prohibit TCP/IP advanced configuration Enabled
• Prohibit access to properties of a LAN connection Enabled
• Prohibit Enabling/Disabling components
of a LAN connection Enabled
• Prohibit access to the New Connection Wizard Enabled
10. Za naznačavanje aplikacija koje korisnik može koristiti potrebno je otvoriti level 2
[server-2003.oss.local] Policy → User Configuration → Administrative Templates
→ System i podesiti slijedeće pravilo:
47
7.3.5. Primjena grupnih pravila na OU level 3 (poweruser)
OU level 3 konfiguriramo za poweruser korisnika. Poweruser korisnik prvenstveno je

namijenjen za kreiranje korisničkih profila, dodavanje korisnika na domenu, dodavanje
računala na domenu i izradu sigurnosnih kopija. Ima ovlasti nad cijelim file sistemom,
pristup Control Panel-u i nekim alatima iz direktorija Administrative Tools.
1. Pokrenemo Active Directory Users And Computers i zatim unutar organizacijske

jedinice Level 3 kreiramo poweruser korisnika te ga dodijelimo grupama
Accounts Operators, Backup Operators i Domain Users.
2. Za postavljanje grupnih pravila pokrenemo MMC konzolu level 3.
3. Za onemogućavanje ili omogućavanje administrativnih alata potrebno je otvoriti

level 3 [server-2003.oss.local] Policy → User Configuration → Administrative
Templates → Windows Components → Microsoft Managment Console i podesimo
pravila:
• Active Directory Users and Computers Enabled

• Active Directory Domains and Trusts Disabled
• Active Directory Sites and Services Disabled
• ADSI Edit Disabled
• ActiveX Control Disabled
• Certificates Disabled
• Certification Authority Disabled
• Certificate Templates Disabled
• Wireless Monitor Disabled
• Component Services Disabled
• Computer Management Enabled
• Device Manager Enabled
• Disk Management Enabled
• Disk Defragmenter Enabled
• Event Viewer Enabled
• FAX Service Disabled
• FrontPage Server Extensions Disabled
• Indexing Service Disabled
• .Net Framework Configuration Disabled
• Internet Authentication Service (IAS) Disabled
• Internet Information Services Disabled
• IP Security Policy Management Disabled
• IP Security Monitor Disabled
• Local Users and Groups Enabled
• QoS Admission Control Disabled
• Removable Storage Management Enabled
• Routing and Remote Access Enabled
• Security Configuration and Analysis Disabled
• Security Templates Disabled
• Services Disabled
• Shared Folders Enabled
48
• System Information Disabled
• Terminal Services Configuration Disabled
• WMI Control Disabled
4. Za zabranu pristupa svim grupnim pravilima (GPO-ima) potrebno je otvoriti level

3 [server-2003.oss.local] Policy → User Configuration → Administrative
Templates → Windows Components → Microsoft Managment Console→ Group
Policy i podesiti pravila:
• Group Policy Management Disabled
• Group Policy Object Editor Disabled
• Group Policy tab for Active Directory Tools Disabled
• Resultant Set of Policy snap-in Disabled
7.3.6. Primjena grupnih pravila na OU level 4 (administrator)
Na OU level 4 kreiranu za administratore, GPO se ne primjenjuje. Za postavljanje

administratora dovoljno je željenog korisnika dodijeliti grupi administratora.
Za dodjeljivanje korisnika grupi Administrators potrebno je napraviti sljedeće:
1. Pokrene se Active Directory Users And Computers.
2. Unutar domene oss.local otvori se OU level 4 i desnom tipkom miša klikne na

korisnika administratora te iz padajućeg izbornika izabere Properties.
3. U okviru administrator Properties odabere se kartica Member Of kao što je

prikazano na slici 7-9, zatim klikne na Add i u okviru Select Groups u polje Enter
the object names to select: upiše Administrators i klikne na OK.
Slika 7-9: Administrator Properties kartica Member Of
4. Na kraju u okviru administrator Properties kliknemo na OK.
49
8. Zaključak
Svrha i cilj ovog rada bila je da se pobliže objasni koncept grupnih pravila,
karakteristike, mogućnosti, izvedbe itd. Za demonstraciju postavljanja grupnih pravila
korišten je operativni sustav Windows 2003 Server.
Administrativna kontrola nad GPO-ima, može se delegirati korištenjem modela
administrativne kontrole koji je centraliziran, decentraliziran ili zasnovan na zadacima. Kod
centraliziranog modela administriranje grupnih pravila delegira se samo administratorima
organizacijskih jedinica najvišeg nivoa. Kod decentraliziranog modela administriranje
grupnih pravila delegira se administratorima organizacijskih jedinica najviše razine i
organizacijskih jedinica druge razine. Kod modela zasnovanog na zadacima administriranje
određenih prava grupnih pravila se delegira administratorima koji se bave povezanim
specifičnim zadacima.
Grupna pravila možemo podijeliti na pravila računala i pravila korisnika. Pravila
konfiguracije računala se koriste za postavljanje grupnih pravila za računala, bez obzira na to
tko se na njih prijavljuje, a primjenjuju se kad se operacijski sustav podiže. Dakle sva grupna
pravila sadrže čvor User Confuguration i čvor Computer Configuration . Kada se korisnik
prijavi na mrežu, on dobiva grupna prava iz čvorova User Configuration redom od lokacije do
domene, preko svih razina organizacijskih jedinica do one koja sadrži objekt (osim u slučaju
kada je administrator blokirao ili nametnuo nasljeđivanje nekih prava). Kada se operacijski
sustav računala podiže, računalo dobiva prava iz čvorova Computer Configuration svih
grupnih pravila redom sve do njegovog mjesta u hijerarhiji. To znači da se korisnik može
prijaviti na dva različita računala i naići na sasvim različita okruženja, jer su grupna pravila
računala veoma različita.
Nakon eksperimentalnog postavljanja grupa za okruženje Odjela za Stručne Studije,
može se zaključiti da je dobra primjenjivost tehnologije i na druga okruženja i jednostavna
integracija same tehnologije. Rezultati provedenog eksperimenta bili su uspješni. Ovo
okruženje moguće je primijeniti i na druga visoka učilišta, ali je prethodno potrebno napraviti
male preinake u skladu s hijerarhijom dotične škole.
50
9. Literatura
William Boswell : Inside Windows® Server 2003,

Published by Addison Wesley Professional, 14.04.2003.
Jill Spealman, Kurt Hudson,: Windows Server 2003 Active Directory

Melisa Craft Infrastructure
Published by Microsoft Press 2004.
Jerry Honeycutt : Introducing Microsoft® Windows Server™ 2003,

Published by Microsoft Press, 29.01.2003.
51

Kreiranje Korisničkog Okruženja

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Kreiranje Korisničkog Okruženja

Uploaded by

Copyright:

Available Formats

SVEUČILIŠTE U SPLITU

ODJEL ZA STRUČNE STUDIJE

KOLEGIJ – UPRAVLJANJE POSLUŽITELJSKIM RAČUNALIMA

Kreiranje korisničkog okruženja

Student: Goran Semren

Mentor: Valentini Kožica, dipl.ing.

Split, lipanj 2006.

2.1. GPO - Objekt grupnih pravila

Da bismo napravili određenu konfiguraciju radne površine za korisnike, pravimo

Nelokalni GPO-i prave se u aktivnom imeniku i moraju biti vezani za lokaciju,

 Default Domain Policy (pretpostavljena pravila domene) Ovaj GPO

Group Policy Object Editor (editor objekata grupnih pravila)

Group Policy Object Editor (GPOE) koristimo za organiziranje i upravljanje

Slika 2-1: Group Policy Object Editor

Primjena GPO-a na Što treba napraviti

Parametri grupnih pravila sadržani su u GPO-u i određuju korisnikovo okruženje

2.2.1. Čvorovi konfiguracije računala i korisnika

Čvor Computer Configuration (konfiguracije računala) sadrži parametre koji se koriste

Slika 2-2: čvorovi Computer Configuration i User Configuration

2.2.2. Čvor Sofware Settings

2.2.3. Čvor Windows Settings

• Remonte Instalations Services (Servisi za udaljeno instaliranje, RIS) –

• Folder Redirection (preusmjeravanje direktorija) – koristi se za

• Internet Explorer Maintance (Održavanje internet explorera) – koristi se

2.2.3. Čvor Administrative Templates

• Not Configured (nije konfigurirano) – Baza Registry nije mjenjana.

• Enabled (omogućeno) - Baza Registry pokazuje da je parametar grupnih

• Disabled (onemogućeno) - Baza Registry pokazuje da je parametar grupnih

Parametri u čvoru Administrative Templates pod čvorom Computer Configuration

2.3. Kako grupna pravila utječu na podizanje sustava

Kada se računalo pokrene i korisnik prijavi, primjenjuju se parametri konfiguracije

2.3. Primjena grupnih pravila

• Planiranje parametara grupnih pravila potrebnih za računala i korisnike na

• Planiranje GPO-a potrebnih za računala i korisnike na svakoj razini (lokaciji,

• Planiranje administrativne kontrole nad GPO-ima

Precizna i organizirana dokumentacija o parametrima grupnih pravila i GPO-ima može

3.1. Planiranje GPO-a

Za svaku lokaciju, domenu i OU moramo odrediti kako parametri grupnih pravila

Na slici 3-1. su opisani ovi tipovi GPO-a.

GPO za sig urnost

Namjenski tip pravila

Slika 3-1: Tipovi postavljanja GPO-a

3.1.1. Decentralizirani model GPO-a

Slika 3-2: Decentralizirani model GPO-a

3.1.2. Centraliziran model GPO-a

Slika 3-3: Centralizirani model GPO-a

Kad planiramo parametre grupnih pravila i GPO-e koji će se koristiti u organizaciji,

4.1. Zadaci implementiranja GPO-a

Prvi korak u implementaciji grupnih pravila je formiranje GPO-a. Podesimo da GPO

• Da bismo napravili GPO vezan za domenu ili OU, otvorimo Administrative

Slika 4-1: Okvir za dijalog Properties za OU OSS, kartica Group Policy

Microsoftova upravljačka konzola (Microsoft Managment Console, MMC )

1. Kliknemo na Start, a zatim na Run.

4.1.3. Delegiranje administrativne kontrole nad GPO-om

Sigurnosna grupa Podrazumijevane dozvole

GPO Default Domain Policy ne može izbrisati ni jedan administrator. Time se

4.1.4. Konfiguriranje parametara grupnih pravila za GPO

Da bismo konfigurirali parametre grupnih pravila za GPO, potrebno je poduzeti

1. Pristupimo GPOE za GPO.

4.1.5. Deaktiviranje neupotrijebljenih parametara grupnih pravila

Da bismo deaktivirali parametre konfiguracije računala ili korisnika za GPO, potrebno

1. Otvorimo GPOE za GPO.

GPO-i se primjenjuju u skladu s hijerarhijom u servisu aktivnog imenika: lokalni

Default Domain Policy (pretpostavljena pravila domene) Ovaj GPO

Datoteke (.msi) početnog paketa Windows Installer Ove datoteke su

Transformacine (.mst) datoteke Ove datoteke osiguravaju sredstvo za

Datoteke (.msp) ispravki Ove datoteke se koriste za ažuriranje postojećih