Windows - Eredő házirendek számítása .NET szervereken

A csoportházirendek egy öröklődési folyamat során hatnak egymásra, felülírják vagy semlegesítik egymás beállításait. Több házirend együttese alkotja az eredő házirendet, mely beállításai végül is meghatározzák a felhasználó munkakörnyezetét és jogosultságait. A .NET szerverekben található egy új funkció, mely nagymértékben megkönnyíti az egymásra hatások és következményeik figyelemmel kísérését.
Cikkünk írásának idején a .NET kiszolgálók fejlesztése RC1 fázisban volt, ezért a végleges verzióban lehetnek eltérések a leírtakhoz képest.
A probléma nem az, hogy a házirendek hatnak egymásra - ez egy remek funkció – hanem az, hogy minél több csoportházirend van hozzárendelve a szervezeti egységekhez, annál nehezebb nyomonkövetni az összefüggéseket. Teljesen mindegy, hogy hány házirendről beszélünk a végeredmény mindig csak egy, teljes csoportházirend. A Windows-ból eddig hiányzott az eszköz, ami megkönnyíti a rendszergazdák dolgát és megmutatja mi lesz a végeredmény. Csak eddig, mert a .NET szerverekben megtalálható, integrálva az Active Directory kezelőkonzoljaiba, de önálló beépülő modulként is és, hogy teljes legyen a kép egy parancssori eszköz formájában is.
Az RSoP (Resultant Set of Policy) kétféle módban működik: planning és logging. Előbbi felfogható egy szimulációnak. Megmutatja, hogy mi lenne az eredmény, ha az adott házirendeket használjuk. Utóbbi azt mutatja meg, hogy a meglévő házirendek milyen eredményt produkálnak.
Amikor a számítógép bejelentkezik a hálózatba, minden házirend információ bekerül a CIMOM adatbázisba, ahonnan az RsoP-nak már csak ki kell olvasnia. Úgyhogy működése nem más, mint egy WMI lekérdezés az általunk megadott feltételek szerint.
Nyissuk meg az Administrative Tools > Active Directory Users and Computers felügyeleti konzolt. Kattintsunk a jobboldali egérgombbal egy olyan objektumra, melyhez csoportházirend rendelhető, például a tartomány gyökérpontjára vagy egy szervezeti egységre. A megjelenő menüben válasszuk az All Tasks > Resultant Set of Policy (Planning/Logging) pontot. Egy varázsló gyűjti össze a szükséges információkat.
A csoportházirendek két alapvető részből tevődnek össze: felhasználóra és számítógépekre vonatkozóból. Ezt látjuk az első oldalon is ("User information", "Computer information"). Az alapértelmezett beállítások szerint a "Container" mezőben annak az objektumnak az LDAP szerinti elérési útja jelenik meg, amelyikre kattintottunk. A "User" illetve "Computer" rádiógombok segítségével választhatunk egy felhasználót vagy egy számítógépet és azt nézhetjük meg, hogy ezekre milyen házirend beállítások jutnak. Találunk még egy jelölőnégyzetet "Skip to the final page of this wizard without collecting additional data" felirattal. Ha aktivizáljuk, nem kérdez tőlünk semmit a varázsló, hanem alapbeállításokkal az utolsó oldalra ugrik (a későbbi oldalakon is megtalálható). Ha nem kapcsoljuk be, akkor néhány további kérdésre kell még választ adni.
Tegyük fel, hogy az utóbbi lehetőség mellett döntöttünk és nézzük meg milyen varázsló oldalak jelennek meg:
  • Advanced Simulation Options
A házirendek feldolgozása szempontjából nem mindegy, hogy normál vagy lassú hálózati kapcsolaton keresztül történik. Utóbbi esetben bizonyos csoportok kimaradnak. A legfelső jelölőnégyzet aktivizálásával a lassú kapcsolatnak megfelelő eredmény jelenik meg.
A loopback feldolgozás egy szimulációs feldolgozás, mely a beállítások tesztelését teszi lehetővé, valós hatások nélkül. "Replace" módban az egymásra ható házirendek felülírják az előzőeket, míg "Merge" módban a házirendek kombinációja fog megjelenni.
A "Site" legördülő menüben a címtárban definiált telephelyek között választhatunk.
  • User Security Groups
Választhatunk, hogy mely biztonsági csoportokra vonatkozóan jelenjen meg az eredményül kapott házirend, de csak a felhasználói része. Alapértelmezésben a hitelesített felhasználók és a "mindenki" csoport jelenik meg.
  • Computer Security Groups
Ugyanaz, mint az előző csak a számítógép részre vonatkozóan.
  • WMI Filters for Users
A felhasználói részre vonatkozóan WMI szűrőket vonhatunk be a szimulációba. Az operációs rendszer RC1 fázisában nem volt egyetlen szűrő sem a rendszerben.
  • WMI Filters for Computers
Ugyanaz, mint az előző csak a számítógép részre vonatkozóan.
  • Summary of Selections
Megjelennek egy listában az eddig összegyűjtött adatok, innen még visszaléphetünk megváltoztatni valamit, a későbbiekben már nem. Most már csak azt kell eldönteni, hogy melyik tartományvezérlőn történjen a feldolgozás. Alapértelmezésben azon, amelyiken dolgozunk. Ha másikon akarjuk elvégeztetni a műveletet, adjuk meg a teljes DNS nevét a "Process the simulation on this domain controller" mezőben vagy válasszuk ki a "Browse" gomb segítségével egy listából. A "Gather extended error information. This may take several minutes" jelölőnégyzet bekapcsolt állapota mellett (alapértelmezés) bővített üzenetek jelennek meg hiba esetén.
A következő oldalon bezárhatjuk a varázslót, majd megjelenik a csoportházirendek egymásra hatásának eredménye, beállításaink függvényében egy MMC konzolban. Amit itt látunk az érvényes az adott felhasználóra, számítógépre vagy objektumra. Ha egy adott beállítás öröklődés útján többször megváltozik, akkor a végeredmény itt jelenik meg.