Windows - Csoportházirend referencia

GPO 8. rész

A csoportházirendek beállítási lehetőségeiről szóló cikksorozatunk záró részeként befejezzük a felhasználó konfiguráció tárgyalását. Az alábbiakban arról lesz szó, hogy lehet egy felhasználó be- és kijelentkezésekor programokat futtatni, ennek milyen hátrányai és előnyei vannak, illetve miként lehet a felhasználói bizonyítványokat telepíteni, a Windows távtelepítési szolgáltatásának a beállításait alkalmazni és bizonyos speciális mappákat egy másik helyre áthelyezni.
A cikkben szereplő beállítások a Felhasználó konfigurációja > Windows beállításai (User Configuration > Windows Settings) tároló alatt érhetők el.
Parancsfájlok (bejelentkezés/kijelentkezés) ("Scripts (Logon/Logoff)")
A számítógép konfigurációjában már találkoztunk egy hasonló nevű házirendponttal. Annak az volt a szerepe, hogy az operációs rendszer indítása és leállítása alkalmával lehetővé tette programok futtatását. Itt a felhasználói részben annyi módosulás van ehhez képest, hogy az adott felhasználó be- és kijelentkezésekor írható elő programindítás. Fontos, hogy a futtatás a felhasználó nevével és jelszavával történik. Ha ezek a jogosultságok nem megfelelőek egy művelet elvégzéséhez, akkor hiba keletkezik. Például az elindított program le akar kérdezni egy rendszerszintű információt - az elérendő objektum azonosítást kér - a program megadja a nevet és jelszót, de ez csak egy átlagos felhasználói fiók és lehet, hogy az objektum minimum rendszergazdai jogokat kér. Ebben az esetben a művelet sikertelen lesz. Másik fontos dolog, hogy az így elindított programok háttérfolyamatként fognak futni. Ez annyit jelent, hogy nem rendelkeznek grafikus kimenettel a képernyőre. Ezért csak az így is működőképes alkalmazások elindításának van értelme. Például nincs elvi akadálya a Notepad vagy az Mspaint futtatásának, de mivel mindkettőnél alapvető feltétel, hogy a felhasználó képes legyen "hozzányúlni" ezért szükséges a grafikus felületen keresztüli kapcsolattartás - ami nem fog megvalósulni. Azt, hogy ezek a programok valóban futnak a CTRL+ALT+DEL megnyomására megjeleníthető "Feladatkezelő" ("Task Manager") "Folyamatok" ("Processes") oldalán található listából deríthetjük ki.
Biztonsági beállítások > Nyilvános kulcs irányelvei ("Security Settings > Public Key Policies")
A Windows 2000 biztonságának egyik legmagasabb szintű eleme a bizonyítványszolgáltatások használata. A bizonyítványok olyan titkosított kódsorozatok, amelyeket úgynevezett hitelesítő szervezetek osztanak ki egy bizonyos feladat ellátására. A bizonyítvány igénylője ezzel tudja magát hitelt érdemlően azonosítani. Lényegesen magasabb biztonsági szintet jelent, mint a hagyományos felhasználói név és jelszó páros. Alapvető követelmény, hogy az azonosító és az azonosítást kérő fél is megbízzon a bizonyítvány kiadójában. A házirend segítségével központilag hozzá lehet rendelni egy felhasználóhoz vagy a felhasználók egy csoportjához az általuk használható bizonyítványokat. Kattintsunk a Műveletek > Új > Megbízható bizonyítványok listája ("Action > New > Certificate Trust List") menüpontra. Elindul egy varázsló, amelynek a második oldalán a "Felhasználási célok" ("Designate Purposes") listában, a jelölőnégyzetek segítségével meghatározható, hogy a csoportházirend hatókörébe tartozó felhasználó milyen feladatok ellátására fogja tudni használni a bizonyítványt. Néhány példa: fájl helyreállítása, fájlrendszer titkosítása, ügyfél hitelesítése. A következő oldalon megtekinthető a csoportházirend eddigi bizonyítványainak listája. Ha újat akarunk felvenni két lehetőségünk van: vagy a rendszerbe már korábban telepített bizonyítványt használjuk, ebben az esetben a "Felvétel tárolóból" ("Add from Store") gombra kell kattintani. Vagy a bizonyítvány kiadójától fájlként érkezett bizonyítványt telepítjük a házirendbe, ekkor a "Felvétel fájlból" ("Add from File") gombot kell lenyomni.
Távtelepítési szolgáltatások ("Remote Installation Services")
A Windows 2000 távtelepítési szolgáltatása lehetővé teszi az operációs rendszer telepítését olyan gépekre is, amelyek merevlemeze nem tartalmaz még partíciókat sem. Hogy lehetséges ez? Szükség van a kliens gépben egy Plug and Play hálózati kártyára és egy boot Epromra. Az Epromba épített program segítségével képes bejelentkezni a hálózati egyik Windows 2000 szervert futtató gépére. Ha a szerveren is telepítve van a szolgáltatás, akkor a hálózaton keresztül lezajlik a kliens teljes telepítésének és konfigurálásának folyamata. A telepítés típusa úgynevezett felügyelet nélküli telepítés. Működésének lényege, hogy a felmerülő kérdésekre adandó válaszok egy előre elkészített válaszfájlban találhatók és így mindenfajta beavatkozás nélkül installálható a Windows 2000/XP. A csoportházirend "Választási lehetőségek" ("Choice Options") része az alábbi beállításokat rejti:
"Automatikus telepítés" ("Automatic Setup")
Tulajdonképpen az, amiről az előbb írtunk: egy válaszfájl segítségével végrehajtódik a Windows telepítése és konfigurálása.
"Egyéni telepítés" ("Custom Setup")
Az automatikus telepítési folyamat megszakad, amikor a számítógépnév és Active Directory számítógépfiók beállítására kerül sor és a feladatot végző felhasználónak kell az adatokat megadni. Előnyös abban az esetben, ha egy telepítőkészlettel rendelkezünk és az nincs felkészítve több gép kezelésére. Ilyenkor ugyanis elkerülhető, hogy két azonos nevű gépnév legyen a hálózatban (ami egyébként sem megengedett).
"Telepítő újraindítása" ("Restart Setup")
A házirend engedélyezése lehetővé teszi a megkezdett, de hiba miatt megszakadt telepítések újraindítását az adott felhasználó számára.
"Eszközök" ("Tools")
Engedélyezi vagy tiltja a diagnosztikai és karbantartó programok alkalmazását (pl.: víruskeresők, flash BIOS frissítők).
Mindegyik menüpontnál három választási lehetőség van. Az "Engedélyezve" ("Allow") és "Megtagadva" ("Deny") nem szorul magyarázatra, de a középső "Mindegy" ("Don't care") rádiógomb szerepe talán elsőre nem egyértelmű. Ebben az esetben a csoportházirend öröklődési folyamatának magasabban lévő beállításai (szülő házirendek) jutnak érvényre. Tulajdonképpen nem adjuk meg a beállításokat, ha a hierarchia magasabb pontján megadtuk, akkor azok lesznek érvényben.
Mappa átirányítása ("Folder Redirection")
A házirend segítségével speciális Windows mappák helyét tehetjük át az adott gépen belül máshová vagy a hálózat egy másik gépére. Speciális mappák alatt a programok és rendszerbeállításokat tároló "Application Data" mappát, a Windows Asztalt tároló "Asztal" ("Desktop") mappát, a felhasználó dokumentumait és ezen belül a képeket tároló "Dokumentumok" ("My Documents") mappát és végül a Start menü elemeit tároló ("Start Menu") mappát értjük. Ha rákattintsunk a mappanévre a jobb oldali egérgombbal és kiválasztjuk a "Tulajdonságok" ("Properties") menüt, akkor három választási lehetőségünk van:
"Nincs megadva felügyeleti házirend" ("No administrative policy specified")(alapértelmezés)
Ebben az esetben minden mappa az eredeti helyén marad.
"Alapvető - Mindenki mappájának egy helyre irányítása" ("Basic - Redirect everyone's folder to the same location")
A csoportházirend érvényességi körébe tartozó összes felhasználó mappáját az adott helyre teszi. A helyet a "Tallózás" ("Browse") gombbal lehet kiválasztani.
"Speciális - Helyek megadása a különböző felhasználói csoportok" ("Advanced - Specify locations for various user groups")
A "Hozzáadás" ("Add") gombbal megjeleníthetünk egy további ablakot, ahol megadható egy felhasználói csoport és egy hozzá tartozó célmappa. Így nem csak a házirendhez tartozó összes felhasználó számára, hanem ezen belül minden csoport számára külön is előírható a speciális mappák átirányítása.

GPO cikksorozat