Windows - Csoportházirendek hatóköre és öröklődési folyamata

Cikkünkben azzal foglalkozunk, hogy Active Directory tartományokban egy csoportházirend objektumnak milyen hatókörei vannak, hogyan öröklődik a tartományi hierarchiában. Több objektum hogy képes hatást gyakorolni egymásra és ez milyen végeredményhez vezet. A csoportházirend objektumok (Group Policy Object - GPO) segítségével valósítható meg egy Active Directory tartomány gépeinek és felhasználóinak központi adminisztrálhatósága. Ez vonatkozik a programok központi telepítésétől kezdve a munkakörnyezet felépítésén át a biztonsági beállításokig. Minden GPO alapvetően két részből áll: az egyik a hatókörébe tartozó számítógépre, a másik pedig a felhasználóra vonatkozik. Hogyan jutnak ezek érvényre?
Elkezd töltődni az operációs rendszer, a hálózati kapcsolatok kialakítása után letöltődik és érvényesül a csoportházirend számítógépre vonatkozó része. Ezt követően jelentkezhet be a felhasználó, ennek megtörténte után letöltődik és érvényesül a csoportházirend felhasználókra vonatkozó része. Így a felhasználó munkalehetőségeit mindkettő befolyásolja és itt következik egy további paraméter:

Milyen Active Directory egységekhez rendelhető csoportházirend?
  • Telephelyhez
  • Tartományhoz
  • Szervezeti egységhez
Mi van, ha a felhasználó és a számítógép, amin bejelentkezett, különböző címtári egységhez tartozik (pl. két különböző szervezeti egységhez)? Mindenkire a saját beállításai fognak vonatkozni: a számítógépre annak a csoportházirendnek a számítógépekre vonatkozó része, amelyikhez tartozik, és ugyanígy a felhasználóra pedig annak a csoportházirendnek a felhasználói része, amihez tartozik. Az ellenkező részek nem töltődnek le: tehát a felhasználó csoportházirendjének számítógépekre vonatkozó része és fordítva.

Az öröklődési folyamat szemléltetéshez vegyük alapul a következő vállalati hierarchiát:

A tartományon belül legyen egy "Vállalat" nevű szervezeti egység, amely a következő alegységekből áll: Gyártás, Csomagolás, Informatika, Bérszámfejtés. Utóbbi felosztható még két alegységre: Igazgató és Bérszámfejtők.

Szükséges tudni, hogy a címtár feltelepítése után két előre elkészített csoportházirend áll rendelkezésünkre: "Default Domain Policy" és "Default Domain Controllers Policy". Az előző a teljes tartományhoz van hozzárendelve, utóbbi pedig a tartományon belül elhelyezkedő "Domain Controllers" szervezeti egységhez, ahol a tartományvezérlők vannak felsorolva.
Adott csoportházirend hatóköre arra az egységre terjed ki, amelyhez hozzá lett adva és innen egy öröklődési folyamattal minden ehhez tartozó alegységre. Az öröklődés mindig a felsőbb címtári egységtől kezdődik és halad lefelé a hierarchia belseje felé, ezért a tartományvezérlőkre mindkét csoportházirend hatással lesz. A két házirend beállításai összeadódnak és együttesen, mintegy virtuális harmadik házirendként szerepelnek. Mit jelent az összeadódás? Az egyikben engedélyezve van egy tulajdonság a másikban ugyanez nincs megadva, a végeredmény az engedélyezés lesz. Rögtön adódik egy kérdés: Mi van, ha ugyanaz az egyikben engedélyezve van a másikban meg tiltva? Ilyenkor mindig a hierarchia alacsonyabb szintjén állók (a hierarchia belsejében lévők, amelyek az adott géphez vagy felhasználóhoz közelebb állnak) kapnak magasabb prioritást. A fenti két GPO-t figyelembe véve, ha egy tulajdonság engedélyezve van a "Default Domain Policy"-ban és tiltva van a " Default Domain Controllers Policy"-ban, akkor a tartományvezérlőknél a tiltás fog érvényesülni.
Itt említenénk meg, hogy a "Telephely"-ek nem tartoznak bele a tartományi hierarchiába és ők maguk sem állnak egymással alá-fölérendeltségi viszonyban, ezért ott nem érvényesek a fent leírtak. Minden telephely egy különálló logikai egység, rendelhető hozzá csoportházirend, de semmilyen logikai kapcsolatban nincs a tartomány csoportházirendre vonatkozó részével.

Tegyük fel, hogy van házirendje a "Vállalat" szervezeti egységnek és ezen belül a "Bérszámfejtés" alegységnek. A "Igazgató" szervezeti egységnek nincs, de az öröklődés következtében a tartomány ("Default Domain Policy" GPO), a "Vállalat" és a "Bérszámfejtés" csoportházirendeknek az együttese hat rá. A "Gyártás", "Csomagolás", "Informatika" alegységek a " Bérszámfejtés"-sel vannak egy szinten, ezért rájuk csak a tartomány és a "Vállalat" házirendek lesznek érvényesek.

Egy címtári egységhez nem csak egy, hanem több házirend is hozzárendelhető, ilyenkor nincs szervezeti hierarchia. Hogy alakul ki mégis az együttes házirend? Ebben az esetben minden házirend objektum prioritás szerint sorba rendezhető. Nyissuk meg a tartományvezérlők csoportházirend listáját, hogy láthassuk hogyan. Ehhez kattintsunk a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek > Domain Controllers > Tulajdonságok > Csoportházirend (Administrative Tools > Active Directory Users and Computers > Domain Controllers > Properties > Group Policy) elemekre. A "Hozzáadás" ("Add") gombbal tudunk továbbiakat felvenni a listába. Amikor legalább kettő van, aktívvá válnak a "Fel" ("Up"), "Le" ("Down") gombok. Ha rákattintunk az egyik házirendre, ezekkel tudjuk mozgatni a listában. A lista tetején állónak van nagyobb prioritása, tehát ennek a beállításai lesznek a meghatározók ellentmondás esetén.

Az öröklődési folyamat megszüntetése:

Ugyanezen ablak alsó részén található "Házirend öröklődésének blokkolása" ("Block Policy inheritance") jelölőnégyzet bekapcsolásával. Az eredmény az lesz, hogy a magasabb szintről jövő öröklődés útján keletkezett beállítások ezen egységre és minden hozzá tartozó alegységre hatástalanok lesznek.

Az öröklődési folyamat megszüntetésének felülbírálata:

Magasabb szintről előírható, hogy az előbbi módszerrel ne lehessen megakadályozni az öröklődést és a beállítások érvényesítését. Válasszuk ki a magasabb szinten lévő szervezeti egységet: a fenti csoportházirend objektum listában jelöljük ki azt a házirendet, amelynek meg akarjuk akadályozni az öröklődési útjának megakadályozását és kattintsunk a "Beállítások" ("Options") gombra. Végül jelöljük be a "Nincs felülbírálás: Más csoportházirend-objektumok nem bírálhatják felül az itt lévő házirendkészletet" ("No Override: prevents other Group Policy Objects from overriding policy set in this one") jelölőnégyzetet.

Ezen szabályok alkalmazásával kiszámíthatók minden számítógépre és felhasználóra a hatást gyakorló beállítások, bármilyen bonyolult is a címtár szervezési hierarchia.