a központosított rendszer - ii. rész
DESCRIPTION
Informatika Tisztán sorozat – 2010 http://technetklub.hu/InformatikaTisztan. A központosított rendszer - II. rész. Gál Tamás [email protected] IT üzemeltetési szakértő Microsoft Magyarország. A központosított rendszer - II. rész. - PowerPoint PPT PresentationTRANSCRIPT
A központosított rendszer - II. rész
Gál Tamá[email protected] üzemeltetési szakértőMicrosoft Magyarország
Informatika Tisztán sorozat – 2010http://technetklub.hu/InformatikaTisztan
- Group Policy- Group Policy Preferences- Group Policy 4x5- Optimális munkakörnyezet – az első lépcsőfok
A központosított rendszer - II. rész
Group Policy
A központosított rendszer - II. rész
Emlékezzünk vissza: mire jó egy címtár?Szerepe egy hálózatban
Tárolja a szervezet működéséhez szükséges objektumokatFiókok, erőforrás-objektumok, jogosultságok, DNS zónák, stb.Az objektumok egy helyen és egyszerre módosíthatóak
Fontos szerepe van a biztonsági folyamatokbanTeljeskörű hitelesítés a tartományban (+ tárolja, védi a hitelesítési adatokat)Hozzáférést biztosít az erőforrásokhoz (felhatalmazás)
Lehetővé teszi továbbáA centralizált / decentralizált felügyeletet Az engedélyek delegálásátA központi, házirend alapú szabályzást
TípusokCsoportházirend (Group Policy)
Tartományban a kliens OS-ek és alkalmazások tulajdonságainak beállítása, központilag, testreszabottan, automatikusanWindows NT 4.0: System PolicyWindows 2000 Server: Group PolicyWindows Server 2008: Group Policy Preferences
Helyi házirend (Local Group Policy)Az elv ugyanaz, de csak az adott gépre érvényes a hatókörLényegesen kevesebb opció – de pl. tesztelésre is kiválóVista és újabb > Multiple GPO
Admin vagy nem Admin helyi csoportoknakA helyi felhasználóknak is akár külön-külön
Mire használjuk?Mindenre.
Szabadság vs. GP
demo
Még mindig az alapokról…Nagyon sokat használjuk és nagyon sok mindenre
Ahol van Active Directory, ott90%-nál nagyobb az aktív GP használat (nagyvállalati szegmens)70%-nál több (középvállalati szegmens)
Windows 2000 Professional + Server = ~630 opcióWindows 7 + WS08 R2 = több mint 3300 opció
Használjuk ki!
Működés 1.GPO (Group Policy Object)
A hozzárendelés alapja, részei:GPC (Group Policy Container) – a címtárbanGPT (Group Policy Template) – a SYSVOL-ban, a végrehajtás részletei
Tartalom: manuális szerkesztés a sablonokon (.adm, .admx) keresztülA kliens oldali lebonyolítás: Client Side Extensions (CSE - *.dll)
Felépítés: 2x2 fő házirend ágA klasszikus elágazás
Felügyeleti (user + computer)Egyéb - biztonsági beállítások, szkriptek, szoftvertelepítés (user + computer)
Az új elágazás: Prefences (user + computer)
Működés 2.Hatókör: Site / Domain / OUHozzárendelés, hivatkozásTöbb GPO is érvényesülhet egy felhasználóra/számítógépre
Gyáriak: Default Domain, Default Domain ControllerSorrend1: L-S-D-O Sorrend2: a legfelső az adott objektum GPO listájában
Öröklődés, blokkolás, kikényszerítés, loopback processing
Domain
Domain
Domain
Domain
Domain
DomainOU
OU OU
Tartományfa
Tartomány
Erdő
Szervezeti egységek
Objektumok
Működés 3.ADMX/ADML - az új sablon
Nyelvfüggetlen, „modern” formátum, több mint 130 fájl + a nyelvi fájlokCentral Store > Sysvol bloat
Új ADMX UIMinden egyben + súgó
GP rendszerszolgáltatásGyors, független, „újratölthető”
NLA 2.0Gyors, intelligens (sávszélesség)ICMP nincs, automatikus, VPN is
Működés 4.Automatikusan frissül
A klienseknél kb. 90, DC-k: 5 perc, állítható, de manuális frissítés is
EszközökEseménynapló >>>Felügyelet: Gpedit.msc, GPMC
GPMCv2 > min. Vista SP1 > RSATExtrák: Modeling, Results, RSOPParancssor: gpupdate, gpresult, …Teljeskörű Powershell is (W7+R2)
Szkriptek, direkt GPO írás, stb.
GPMC áttekintés
demo
Group Policy Preferences
A központosított rendszer - II. rész
Group Policy PreferencesRengeteg olyan opció amire a kezdetek óta szükségünk lenneTeljesen új modell, nem kötelező, hanem ajánlott beállításokGépekre és felhasználókra isElképesztően részletes „targeting”Kliens oldalon spéci bővítmény kell hozzá
Cliens Side Extension, gyárilag csak W7, WS08/R2Vista RTM, XP, WS03 esetén letölthető (WU/MU)
Konfliktus esetén a „régi” GP opció nyer
GPP áttekintés
demo
Group Policy 4x5
A központosított rendszer - II. rész
5 biztonsági beállítás (1.)
Store passwords using reversibl
e encrypti
on
Restricted Groups
Public Key
Policies -Encrypte
d File System
Software Restricti
on Policies
+ AppLock
er
Wired / Wireless Policies
5 felügyeleti beállítás (2.)
Deployed Printers
Policy Based QoS
Turn off Local GP objects
processing
Specify a Custom Active Power Plan
Delete user
profiles older
than a specified number of days
on system restart
5 hálózati beállítás (3.)
Allow BITS Peer-
caching
Windows Firewall – Domain / Private profiles
Network Connecti-
vity Status
Indicator
Limit disk space
used by offline files
Always wait for
the network
at computer startup
and logon
5 felhasználói beállítás (4.)
Desktop-Don’t save
settings at exit
Prevent users from
resizing the
taskbar
Windows Update-Remove
access to use all
Windows Update features
Prevent access
the command prompt / registry editing tools
Removable
Storage Access
(CD/DVD, floppy,
USB, WPD)
Bónusz: 9 üzemeltetési tanács1. Mindenképpen teszteld le az opciók hatását!2. Először a GPO-kat csináld meg, és csak eztán
kerüljenek be a kliensek a hatókörükbe!3. GPO gyártás/szerkesztés > ugyanarról az OS verzióról4. A jó cél a kevés GPO, sok és összefüggő beállítással!5. Óvatosan a „kényszerítés” és a „blokkolás”
lehetőségekkel!6. Az adminoknak mindig tiltás (Deny) legyen a
végrehajtáson!7. Használd bátran a parancssort és a GPMC extrákat!8. Komentálás, dokumentálás, mentés!9. Próbáld meg a felhasználók tudomására hozni a
„miért” magyarázatát!
Optimális munkakörnyezet – az első lépcsőfok
A központosított rendszer - II. rész
Profilok, hálózati mappák,mappa átirányítás
Profilok helybenA felhasználói profil összetevői
RegistryNTuser.dat, amely a profil részeként töltődik be a belépéskor és a HKEY_CURRENT_USER szakasz alatt található meg
Profil mappaA fájlrendszerben, XP esetén a „Documents and Settings„, W7 esetén a „Users” mappában található.
Típusok: helyi, hálózati, kötelező, vándorló
Profilok helybenHelyi profil
Automatikusan, az első interaktív belépéskor készül el, és gépfüggőMindig a helyi lemezen tárolódik
De mozgatható (helyben)Másolható (nem fájlszinten), migrálhatóAz alapsablon (Default User) tárolható:
Helyben Illetve a NETLOGON megosztásban a DC-n
A közös profil (All Users/Public) is „beleszólhat”Tartományban kettős profil is előfordulhat (usernev.domain)
Profilok hálózatbanVándorló (roaming) profil
Automatikusan, az első interaktív belépéskor készül elHa alapértelmezés szerint a RUP az érvényes
Mindig egy hálózati megosztáson tárolódikMinden interaktív belépéskor letöltődikNem gépspecifikus > követi a usert
Kötelező (mandatory) profilSpeciális profil típus, az admin kreáljaElőredefiniált környezet a kiszolgáló megosztásán tárolva
A user módosítja pl. az Asztalt, de a változások nem szinkronizálódnak kilépéskorKét típus
Szimpla kötelező profil: NTuser.dat > NTuser.man Szuper kötelező profil: \\Server\Share\<profilnév>.man
Kis kitérő: a „Home” mappák
Felhasználók saját, hálózati mappái – tartományban, félig automatikusan
Könnyen menthető, védhető, elérhetőA kiszolgálón külön köteten lemezen
ABE!Megosztási és NTFS jogosultságok!
ADUC teendőkEngedélyezni >>>Automatikusan létrejön, a megfelelő jogosultságokkal
\\Server\Homes\%username% > (%OS%)Login szkript: net use x: /home
Profilok hálózatbanMappa átirányítás
Részben a vándorló profil hibái miatt, illetve az Offline files kiegészítése gyanántXP: csak 4 (esetleg 5) mappa
My Documents (My Pictures), Desktop, Start Menu, Application Data
Windows 7: 13 mappa, saját bővítményFdeploy.dll, a GP rendszerszolgáltatás részeMozgatja a fájlokat, ügyel a soft-linkek-re, és a Knownfolder nevekre Egyeztet az Offline files tartalommalSok-sok Csoportházirend opció
Profilok hálózatbanMappa átirányítás
A kiszolgáló oldali előkészítés hasonló a Home mappáéhoz (ADUC)
Praktikusan a Home mappát is használhatjukNTFS: Authenticated Users helyett Everyone
Teendők a csoportházirendben Beállítások mappatípusonkéntBasic/Advanced módszer: szűrés csoportokraÁtirányítás gyökerének megjelöléseEgyéb haladó beállítások (pl. eltávolításkor)
Gépcsere problémák nélkül
demo