310 likes | 422 Views
Informatika Tisztán sorozat – 2010 http://technetklub.hu/InformatikaTisztan. A központosított rendszer - II. rész. Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország. A központosított rendszer - II. rész.
E N D
Informatika Tisztán sorozat – 2010 http://technetklub.hu/InformatikaTisztan A központosított rendszer - II. rész Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország
A központosított rendszer - II. rész - Group Policy- Group Policy Preferences- Group Policy 4x5- Optimális munkakörnyezet – az első lépcsőfok
A központosított rendszer - II. rész Group Policy
Emlékezzünk vissza: mire jó egy címtár? • Szerepe egy hálózatban • Tárolja a szervezet működéséhez szükséges objektumokat • Fiókok, erőforrás-objektumok, jogosultságok, DNS zónák, stb. • Az objektumok egy helyen és egyszerre módosíthatóak • Fontos szerepe van a biztonsági folyamatokban • Teljeskörű hitelesítés a tartományban (+ tárolja, védi a hitelesítési adatokat) • Hozzáférést biztosít az erőforrásokhoz (felhatalmazás) • Lehetővé teszi továbbá • A centralizált / decentralizált felügyeletet • Az engedélyek delegálását • A központi, házirend alapú szabályzást
Típusok • Csoportházirend (Group Policy) • Tartományban a kliensOS-ek és alkalmazások tulajdonságainak beállítása, központilag, testreszabottan, automatikusan • Windows NT 4.0: System Policy • Windows 2000 Server: Group Policy • Windows Server 2008: Group Policy Preferences • Helyi házirend (Local Group Policy) • Az elv ugyanaz, de csak az adott gépre érvényes a hatókör • Lényegesen kevesebb opció – de pl. tesztelésre is kiváló • Vista és újabb > Multiple GPO • Admin vagy nem Admin helyi csoportoknak • A helyi felhasználóknak is akár külön-külön
Mire használjuk? • Mindenre.
Szabadság vs. GP demo
Még mindig az alapokról… • Nagyon sokat használjuk és nagyon sok mindenre • Ahol van ActiveDirectory, ott • 90%-nál nagyobb az aktív GP használat (nagyvállalati szegmens) • 70%-nál több (középvállalati szegmens) • Windows 2000 Professional + Server = ~630 opció • Windows 7 + WS08 R2 = több mint 3300 opció • Használjuk ki!
Működés 1. • GPO (Group Policy Object) • A hozzárendelés alapja, részei: • GPC (Group Policy Container) – a címtárban • GPT (Group Policy Template) – a SYSVOL-ban, a végrehajtás részletei • Tartalom: manuális szerkesztés a sablonokon (.adm, .admx) keresztül • A kliens oldali lebonyolítás: Client SideExtensions (CSE - *.dll) • Felépítés: 2x2 fő házirend ág • A klasszikus elágazás • Felügyeleti (user + computer) • Egyéb - biztonsági beállítások, szkriptek, szoftvertelepítés (user + computer) • Az új elágazás: Prefences (user + computer)
Tartományfa Domain Domain Domain Domain Objektumok Domain Domain OU Tartomány Szervezeti egységek OU OU Erdő Működés 2. • Hatókör: Site / Domain / OU • Hozzárendelés, hivatkozás • Több GPO is érvényesülhet egy felhasználóra/számítógépre • Gyáriak: Default Domain, Default Domain Controller • Sorrend1: L-S-D-O • Sorrend2: a legfelső az adott objektum GPO listájában • Öröklődés, blokkolás, kikényszerítés, loopback processing
Működés 3. • ADMX/ADML - az új sablon • Nyelvfüggetlen, „modern” formátum, több mint 130 fájl + a nyelvi fájlok • Central Store > Sysvol bloat • Új ADMX UI • Minden egyben + súgó • GP rendszerszolgáltatás • Gyors, független, „újratölthető” • NLA 2.0 • Gyors, intelligens (sávszélesség) • ICMP nincs, automatikus, VPN is
Működés 4. • Automatikusan frissül • A klienseknél kb. 90, DC-k: 5 perc, állítható, de manuális frissítés is • Eszközök • Eseménynapló >>> • Felügyelet: Gpedit.msc, GPMC • GPMCv2 > min. Vista SP1 > RSAT • Extrák: Modeling, Results, RSOP • Parancssor: gpupdate, gpresult, … • Teljeskörű Powershell is (W7+R2) • Szkriptek, direkt GPO írás, stb.
GPMC áttekintés demo
A központosított rendszer - II. rész Group Policy Preferences
Group Policy Preferences • Rengeteg olyan opció amire a kezdetek óta szükségünk lenne • Teljesen új modell, nem kötelező, hanem ajánlott beállítások • Gépekre és felhasználókra is • Elképesztően részletes „targeting” • Kliens oldalon spéci bővítmény kell hozzá • CliensSideExtension, gyárilag csak W7, WS08/R2 • Vista RTM, XP, WS03 esetén letölthető (WU/MU) • Konfliktus esetén a „régi” GP opció nyer
GPP áttekintés demo
A központosított rendszer - II. rész Group Policy 4x5
Bónusz: 9 üzemeltetési tanács • Mindenképpen teszteld le az opciók hatását! • Először a GPO-kat csináld meg, és csak eztán kerüljenek be a kliensek a hatókörükbe! • GPO gyártás/szerkesztés > ugyanarról az OS verzióról • A jó cél a kevés GPO, sok és összefüggő beállítással! • Óvatosan a „kényszerítés” és a „blokkolás” lehetőségekkel! • Az adminoknak mindig tiltás (Deny) legyen a végrehajtáson! • Használd bátran a parancssort és a GPMC extrákat! • Komentálás, dokumentálás, mentés! • Próbáld meg a felhasználók tudomására hozni a „miért” magyarázatát!
A központosított rendszer - II. rész Optimális munkakörnyezet – az első lépcsőfok Profilok, hálózati mappák,mappa átirányítás
Profilok helyben • A felhasználói profil összetevői • Registry • NTuser.dat, amely a profil részeként töltődik be a belépéskor és a HKEY_CURRENT_USER szakasz alatt található meg • Profil mappa • A fájlrendszerben, XP esetén a „Documents and Settings„, W7 esetén a „Users” mappában található. • Típusok: helyi, hálózati, kötelező, vándorló
Profilok helyben • Helyi profil • Automatikusan, az első interaktív belépéskor készül el, és gépfüggő • Mindig a helyi lemezen tárolódik • De mozgatható (helyben) • Másolható (nem fájlszinten), migrálható • Az alapsablon (Default User) tárolható: • Helyben • Illetve a NETLOGON megosztásban a DC-n • A közös profil (All Users/Public) is „beleszólhat” • Tartományban kettős profil is előfordulhat (usernev.domain)
Profilok hálózatban • Vándorló (roaming) profil • Automatikusan, az első interaktív belépéskor készül el • Ha alapértelmezés szerint a RUP az érvényes • Mindig egy hálózati megosztáson tárolódik • Minden interaktív belépéskor letöltődik • Nem gépspecifikus > követi a usert • Kötelező (mandatory) profil • Speciális profil típus, az admin kreálja • Előredefiniált környezet a kiszolgáló megosztásán tárolva • A user módosítja pl. az Asztalt, de a változások nem szinkronizálódnak kilépéskor • Két típus • Szimpla kötelező profil: NTuser.dat > NTuser.man • Szuper kötelező profil: \\Server\Share\<profilnév>.man
Kis kitérő: a „Home” mappák • Felhasználók saját, hálózati mappái – tartományban, félig automatikusan • Könnyen menthető, védhető, elérhető • A kiszolgálón külön köteten lemezen • ABE! • Megosztási és NTFS jogosultságok! • ADUC teendők • Engedélyezni >>> • Automatikusan létrejön, a megfelelő jogosultságokkal • \\Server\Homes\%username% > (%OS%) • Login szkript: net use x: /home
Profilok hálózatban • Mappa átirányítás • Részben a vándorló profil hibái miatt, illetve az Offline files kiegészítése gyanánt • XP: csak 4 (esetleg 5) mappa • My Documents (My Pictures), Desktop, Start Menu, Application Data • Windows 7: 13 mappa, saját bővítmény • Fdeploy.dll, a GP rendszerszolgáltatás része • Mozgatja a fájlokat, ügyel a soft-linkek-re, és a Knownfolder nevekre • Egyeztet az Offline files tartalommal • Sok-sok Csoportházirend opció
Profilok hálózatban • Mappa átirányítás • A kiszolgáló oldali előkészítés hasonló a Home mappáéhoz (ADUC) • Praktikusan a Home mappát is használhatjuk • NTFS: Authenticated Users helyett Everyone • Teendők a csoportházirendben • Beállítások mappatípusonként • Basic/Advanced módszer: szűrés csoportokra • Átirányítás gyökerének megjelölése • Egyéb haladó beállítások (pl. eltávolításkor)