1 / 31

A központosított rendszer - II. rész

Informatika Tisztán sorozat – 2010 http://technetklub.hu/InformatikaTisztan. A központosított rendszer - II. rész. Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország. A központosított rendszer - II. rész.

druce
Download Presentation

A központosított rendszer - II. rész

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Informatika Tisztán sorozat – 2010 http://technetklub.hu/InformatikaTisztan A központosított rendszer - II. rész Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország

  2. A központosított rendszer - II. rész - Group Policy- Group Policy Preferences- Group Policy 4x5- Optimális munkakörnyezet – az első lépcsőfok

  3. A központosított rendszer - II. rész Group Policy

  4. Emlékezzünk vissza: mire jó egy címtár? • Szerepe egy hálózatban • Tárolja a szervezet működéséhez szükséges objektumokat • Fiókok, erőforrás-objektumok, jogosultságok, DNS zónák, stb. • Az objektumok egy helyen és egyszerre módosíthatóak • Fontos szerepe van a biztonsági folyamatokban • Teljeskörű hitelesítés a tartományban (+ tárolja, védi a hitelesítési adatokat) • Hozzáférést biztosít az erőforrásokhoz (felhatalmazás) • Lehetővé teszi továbbá • A centralizált / decentralizált felügyeletet • Az engedélyek delegálását • A központi, házirend alapú szabályzást

  5. Típusok • Csoportházirend (Group Policy) • Tartományban a kliensOS-ek és alkalmazások tulajdonságainak beállítása, központilag, testreszabottan, automatikusan • Windows NT 4.0: System Policy • Windows 2000 Server: Group Policy • Windows Server 2008: Group Policy Preferences • Helyi házirend (Local Group Policy) • Az elv ugyanaz, de csak az adott gépre érvényes a hatókör • Lényegesen kevesebb opció – de pl. tesztelésre is kiváló • Vista és újabb > Multiple GPO • Admin vagy nem Admin helyi csoportoknak • A helyi felhasználóknak is akár külön-külön

  6. Mire használjuk? • Mindenre.

  7. Szabadság vs. GP demo

  8. Még mindig az alapokról… • Nagyon sokat használjuk és nagyon sok mindenre • Ahol van ActiveDirectory, ott • 90%-nál nagyobb az aktív GP használat (nagyvállalati szegmens) • 70%-nál több (középvállalati szegmens) • Windows 2000 Professional + Server = ~630 opció • Windows 7 + WS08 R2 = több mint 3300 opció • Használjuk ki!

  9. Működés 1. • GPO (Group Policy Object) • A hozzárendelés alapja, részei: • GPC (Group Policy Container) – a címtárban • GPT (Group Policy Template) – a SYSVOL-ban, a végrehajtás részletei • Tartalom: manuális szerkesztés a sablonokon (.adm, .admx) keresztül • A kliens oldali lebonyolítás: Client SideExtensions (CSE - *.dll) • Felépítés: 2x2 fő házirend ág • A klasszikus elágazás • Felügyeleti (user + computer) • Egyéb - biztonsági beállítások, szkriptek, szoftvertelepítés (user + computer) • Az új elágazás: Prefences (user + computer)

  10. Tartományfa Domain Domain Domain Domain Objektumok Domain Domain OU Tartomány Szervezeti egységek OU OU Erdő Működés 2. • Hatókör: Site / Domain / OU • Hozzárendelés, hivatkozás • Több GPO is érvényesülhet egy felhasználóra/számítógépre • Gyáriak: Default Domain, Default Domain Controller • Sorrend1: L-S-D-O • Sorrend2: a legfelső az adott objektum GPO listájában • Öröklődés, blokkolás, kikényszerítés, loopback processing

  11. Működés 3. • ADMX/ADML - az új sablon • Nyelvfüggetlen, „modern” formátum, több mint 130 fájl + a nyelvi fájlok • Central Store > Sysvol bloat • Új ADMX UI • Minden egyben + súgó • GP rendszerszolgáltatás • Gyors, független, „újratölthető” • NLA 2.0 • Gyors, intelligens (sávszélesség) • ICMP nincs, automatikus, VPN is

  12. Működés 4. • Automatikusan frissül • A klienseknél kb. 90, DC-k: 5 perc, állítható, de manuális frissítés is • Eszközök • Eseménynapló >>> • Felügyelet: Gpedit.msc, GPMC • GPMCv2 > min. Vista SP1 > RSAT • Extrák: Modeling, Results, RSOP • Parancssor: gpupdate, gpresult, … • Teljeskörű Powershell is (W7+R2) • Szkriptek, direkt GPO írás, stb.

  13. GPMC áttekintés demo

  14. A központosított rendszer - II. rész Group Policy Preferences

  15. Group Policy Preferences • Rengeteg olyan opció amire a kezdetek óta szükségünk lenne • Teljesen új modell, nem kötelező, hanem ajánlott beállítások • Gépekre és felhasználókra is • Elképesztően részletes „targeting” • Kliens oldalon spéci bővítmény kell hozzá • CliensSideExtension, gyárilag csak W7, WS08/R2 • Vista RTM, XP, WS03 esetén letölthető (WU/MU) • Konfliktus esetén a „régi” GP opció nyer

  16. GPP áttekintés demo

  17. A központosított rendszer - II. rész Group Policy 4x5

  18. 5 biztonsági beállítás (1.)

  19. 5 felügyeleti beállítás (2.)

  20. 5 hálózati beállítás (3.)

  21. 5 felhasználói beállítás (4.)

  22. Bónusz: 9 üzemeltetési tanács • Mindenképpen teszteld le az opciók hatását! • Először a GPO-kat csináld meg, és csak eztán kerüljenek be a kliensek a hatókörükbe! • GPO gyártás/szerkesztés > ugyanarról az OS verzióról • A jó cél a kevés GPO, sok és összefüggő beállítással! • Óvatosan a „kényszerítés” és a „blokkolás” lehetőségekkel! • Az adminoknak mindig tiltás (Deny) legyen a végrehajtáson! • Használd bátran a parancssort és a GPMC extrákat! • Komentálás, dokumentálás, mentés! • Próbáld meg a felhasználók tudomására hozni a „miért” magyarázatát! 

  23. A központosított rendszer - II. rész Optimális munkakörnyezet – az első lépcsőfok Profilok, hálózati mappák,mappa átirányítás

  24. Profilok helyben • A felhasználói profil összetevői • Registry • NTuser.dat, amely a profil részeként töltődik be a belépéskor és a HKEY_CURRENT_USER szakasz alatt található meg • Profil mappa • A fájlrendszerben, XP esetén a „Documents and Settings„, W7 esetén a „Users” mappában található. • Típusok: helyi, hálózati, kötelező, vándorló

  25. Profilok helyben • Helyi profil • Automatikusan, az első interaktív belépéskor készül el, és gépfüggő • Mindig a helyi lemezen tárolódik • De mozgatható (helyben) • Másolható (nem fájlszinten), migrálható • Az alapsablon (Default User) tárolható: • Helyben • Illetve a NETLOGON megosztásban a DC-n • A közös profil (All Users/Public) is „beleszólhat” • Tartományban kettős profil is előfordulhat (usernev.domain)

  26. Profilok hálózatban • Vándorló (roaming) profil • Automatikusan, az első interaktív belépéskor készül el • Ha alapértelmezés szerint a RUP az érvényes • Mindig egy hálózati megosztáson tárolódik • Minden interaktív belépéskor letöltődik • Nem gépspecifikus > követi a usert • Kötelező (mandatory) profil • Speciális profil típus, az admin kreálja • Előredefiniált környezet a kiszolgáló megosztásán tárolva • A user módosítja pl. az Asztalt, de a változások nem szinkronizálódnak kilépéskor • Két típus • Szimpla kötelező profil: NTuser.dat > NTuser.man • Szuper kötelező profil: \\Server\Share\<profilnév>.man

  27. Kis kitérő: a „Home” mappák • Felhasználók saját, hálózati mappái – tartományban, félig automatikusan • Könnyen menthető, védhető, elérhető • A kiszolgálón külön köteten lemezen • ABE! • Megosztási és NTFS jogosultságok! • ADUC teendők • Engedélyezni >>> • Automatikusan létrejön, a megfelelő jogosultságokkal • \\Server\Homes\%username% > (%OS%) • Login szkript: net use x: /home

  28. Profilok hálózatban • Mappa átirányítás • Részben a vándorló profil hibái miatt, illetve az Offline files kiegészítése gyanánt • XP: csak 4 (esetleg 5) mappa • My Documents (My Pictures), Desktop, Start Menu, Application Data • Windows 7: 13 mappa, saját bővítmény • Fdeploy.dll, a GP rendszerszolgáltatás része • Mozgatja a fájlokat, ügyel a soft-linkek-re, és a Knownfolder nevekre • Egyeztet az Offline files tartalommal • Sok-sok Csoportházirend opció

  29. Profilok hálózatban • Mappa átirányítás • A kiszolgáló oldali előkészítés hasonló a Home mappáéhoz (ADUC) • Praktikusan a Home mappát is használhatjuk • NTFS: Authenticated Users helyett Everyone • Teendők a csoportházirendben • Beállítások mappatípusonként • Basic/Advanced módszer: szűrés csoportokra • Átirányítás gyökerének megjelölése • Egyéb haladó beállítások (pl. eltávolításkor)

  30. Gépcsere problémák nélkül demo

More Related