Windows - Csoportházirend referencia

GPO 6. rész

Cikksorozatunk mai részében a csoportházirend felügyeleti sablonjait tekintjük át. Segítségükkel beállítható a felhasználó munkakörnyezetének számos összetevője. Bizonyos elemek (például Vezérlőpult (Control Panel)) letiltásával megakadályozható, hogy a felhasználók elállítsák az operációs rendszert vagy a Windows Installer szolgáltatás letiltásával megakadályozzuk, hogy programokat telepítsenek.
Felügyeleti sablonok (Administrative Templates):
Felügyeleti sablonok a számítógép és a felhasználó konfigurációjában is szerepelnek. Az operációs rendszer, a rendszerbe telepített egyes alkalmazások és a felhasználói munkakörnyezet beállításait írják le. Az itt szereplő beállítások a házirend érvényre jutása alkalmával a regisztrációs adatbázisba is bekerülnek.
Az MMC konzolon megjelenő tartalom változó, mert konfigurációs állományokból töltődik be. Kattintsunk a jobb oldali egérgombbal a "Felügyeleti sablonok" ("Administrative Templates") tárolón. Lépjünk a "Sablon hozzáadása/eltávolítása" ("Add/Remove Templates") menüsorra. Megjelenik a képernyőn egy lista a jelenlegi alkotóelemek fájlneveivel. Az operációs rendszer feltelepítése után az alapértelmezett "conf", "inetres" és "system" állományokkal fogunk találkozni. Itt ugyan nem látszik, de a fájlok kiterjesztése: .adm. Ha rákattintunk a "Hozzáadás" ("Add") gombra további fájlokat is felvehetünk a listába, így ezek együtteséből fognak a felügyeleti sablonok állni. Helyileg a %systemroot%\inf mappában található belőlük néhány, amit a rendszerhez kapunk. Tetszés szerint átszerkeszthetők akár a Notepad-el is szöveges felépítésüknek köszönhetően. Egy házirend elem megnyitása után a megjelenő ablakban található egy "Magyarázat" ("Explain") oldal, ahol olvasható egy rövid leírás arról, hogy milyen következményekkel jár a megváltoztatása.
A számítógép konfigurációjában lévő felügyeleti sablonok a felhasználóktól függetlenül töltődnek le és jutnak érvényre. Az adott gépre bejelentkezett összes felhasználó környezetére hatással lesznek.
Számítógép konfigurációja (Computer Configuration)
Windows-összetevők (Windows Components)
Alapértelmezésben a NetMeeting, Internet Explorer, Feladatütemező (Task Scheduler) és a Windows Installer szolgáltatás néhány beállítását foglalja magába. Nagy részük tulajdonképpen a felhasználó tevékenységét korlátozza. A korábbi Windows operációs rendszerekben sokszor problémát jelentett, hogy mindenki mindenhez hozzáférhetett és szándékosan vagy véletlenül, tönkretehetett valamit. Lehet, hogy csak annyit tett, hogy a monitor képfrissítési frekvenciáját állította túl magasra és elment a kép, de lehet, hogy kétes eredetű programok feltelepítésével okozott károkat. A Windows összetevők tárolóban az adott gépre bejelentkezett összes felhasználó esetében korlátozhatjuk az egyes tevékenységeket. Még egyszer hangsúlyoznánk, hogy a tartalom függ a betöltött sablonfájloktól.
Nézzünk egy példát:
Alapértelmezésben a Windows Installer mappán belül található "A Windows Installer letiltása" ("Disable Windows Installer") házirendpont. Kétszer rákattintva és a "Letiltva" ("Disabled") rádiógombot kiválasztva, megakadályozza az Installer-en keresztül végrehajtott programtelepítést.
Rendszer (System)
Alapértelmezésben a bejelentkezésekkel, lemezkvótákkal, DNS ügyféllel, csoportházirenddel, Windows fájlvédelemmel és néhány egyéb rendszerszintű beállítással kapcsolatos házirendeket tartalmazza.
Például bármely felhasználóra vonatkozóan beállítható, hogy az NTFS lemezkvótájának túllépése esetén a rendszer hozzon létre naplóbejegyzést: tallózzunk el a Lemezkvóták > Kvóta túllépésének naplózása (Disk Quotas > Log event when quota limit exceeded) házirendhez és jelöljük be az "Engedélyezve" ("Enabled") rádiógombot.
Hálózat (Network)
Két rendszerközeli beállításcsoportot tartalmaz: kapcsolat nélküli fájlok valamint hálózati és telefonos kapcsolatok.
Például a kapcsolat nélküli fájlok engedélyezéséhez aktivizáljuk az "Engedélyezve" ("Enabled") rádiógombot a Kapcsolat nélküli fájlok > Engedélyezve (Offline Files > Enabled) házirendben.
Nyomtatók (Printers)
Az Active Directory-ban közzétett nyomtató megjelenítésének, elérésének és használatának a módját írja le. A beállítások a helyi használatú nyomtatókra nem érvényesek.
Például ha az adott gépről a címtárba közzé akarunk tenni nyomtatókat, akkor engedélyezni kell a "Nyomtató közzétételének engedélyezése" ("Allow printers to be published") házirendet.
Felhasználó konfigurációja (User Configuration)
A felhasználók konfigurációja szintén a tevékenységek korlátozásával jellemezhető. A Windows-összetevők (Windows Components), Hálózat (Network), Rendszer (System) csoportok itt is megtalálhatók, de más összetevőkkel. Ezeket kiegészítik a Start menü és Tálca (Start Menu & Taskbar), Asztal (Desktop), Vezérlőpult (Control Panel) beállításai.

GPO cikksorozat