HyperLink
Bejelentkezés
E-mail: 
Jelszó: 





Skip Navigation Links
 

Csoportházirend referencia


GPO 1. rész

Az Active Directory alkotta hálózatokban, Windows 2000 és XP munkaállomásokkal a Csoportházirend (GPO - Group Policy Objects) szolgáltatáson keresztül gyakorlatilag teljesen megoldható a felhasználók és munkakörnyezetük viselkedésének és jogosultságainak szabályozása. Mindez rengeteg beállításon keresztül. Sokszor csak azért nem valósulnak meg bizonyos dolgok, mert nem világos, hogy mit és hol lehet beállítani és hogy egyáltalán a csoportházirend képes-e erre? Ezzel a résszel elindítunk egy cikksorozatot, amelyben az összes csoportházirend beállítást felsoroljuk magyarázattal ellátva.
A csoportházirend objektumok megnyitása:

Kattintsunk a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) elemre. A konzol megnyitása után válasszuk ki azt a szervezeti egységet, amelyiknek a csoportházirendjét szerkeszteni akarjuk. Kattintsunk rá a jobb oldali egérgombbal és tallózzunk el a következő helyre: Tulajdonságok > Csoportházirend > Szerkesztés (Properties > Group Policy > Edit). A megnyíló "Csoportházirend" ("Group Policy") konzolban található az összes beállítási lehetőség. Két fő részre osztható: "Számítógép konfigurációja" ("Computer Configuration"), "Felhasználó konfigurációja" ("User Configuration").


Számítógép konfigurációja (Computer Configuration):

Számítógép konfigurációja > Szoftver beállítások > Szoftverek telepítése (Computer Configuration > Software Settings > Software installation):

Az IntelliMirror technológia részeként az Active Directory tartományokban lehetőség van a programtelepítéseket központilag is vezérelni a csoportházirendeken keresztül. Nem szükséges minden alkalmazást a hálózat minden gépére egyenként feltelepíteni, elvégzi ezt helyettünk a Windows Installer szolgáltatás. Feltétele a szolgáltatással kompatíbilis telepítőkészleten (MSI) túl, hogy csak olyan gépeken végezhető el, amelyek teljes körű tagjai tudnak lenni a tartománynak és képesek kezelni a csoportházirendet, ilyen jelenleg a Windows 2000 és a Windows XP minden verziója. A programtelepítés előírható a csoportházirend számítógépekre és felhasználókra vonatkozó részében is. Az előbbi esetben akkor zajlik le a telepítés, ha a gép rendszerindítási folyamatában elérkezett a csoportházirend alkalmazásához, még a felhasználó bejelentkezése előtt. Az utóbbi pedig a felhasználó bejelentkezése után zajlik le.


Számítógép konfigurációja > Windows beállításai > Parancsfájlok (indítás/leállítás) (Computer Configuration > Windows Settings > Scripts (Startup/Shutdown)):

A számítógép indításakor illetve leállításakor futtatandó programokat lehet egy listába összegyűjteni. Hasonló a Windows indítópultjához, csak attól függetlenül működik és a rendszerleálláskor is megengedi a programok indítását. Helyileg a SYSVOL mappán belül tárolja ezek parancsikonjait.


Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Fiókházirend > Jelszóházirend (Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy): 
A jelszónak meg kell felelnie a bonyolultsági feltételeknek (Passwords must meet complexity
    requirements):
Ez a következőt jelenti: nem egyezhet meg a felhasználói név egészével vagy egy részével, minimum 6 karakter hosszúnak kell lennie, kell szerepelnie benne az angol ábécé nagy- és kisbetűiből is, számokból 0-tól 9-ig és nem alfanumerikus karakterekből (!%#$). 
A tartomány összes felhasználója jelszavának tárolása visszafejthető titkosítással (Store password
    using reversible encryption for all users in the domain):
Csak tartományvezérlőkön használható beállítás, bekapcsolt állapota mellett a címtárból kiolvashatók a jelszavak. Biztonsági szempontból soha nem javasolt a használata.
Nem titkosítás nélkül (clear-text) hanem ún. visszafejthető titkosítással tárolja a jelszavakat és így adja át az alkalmazások számára is, amelyek részéről támogatásra van szükség, különben nem fogják tudni feldolgozni. Csak abban az esetben használható ez a házirendpont, ha minden jelszót igénylő alkalmazás képes kezelni a visszafejthető titkosítást. 
Előző jelszavak megőrzése (Enforce password history):
A rendszer megjegyzi 0-tól 24-ig terjedően a felhasználó előző jelszavait és nem engedi, hogy ezeket ismét felhasználja. 
Jelszó maximális élettartama (Maximum password age):
Az időtartam napban kifejezve (0-999) amíg a felhasználó képes használni egy jelszót. Ha lejár, meg kell változtatnia. 
Jelszó minimális élettartama (Minimum password age):
Az időtartam napban kifejezve (0-999) amíg a felhasználónak használnia kell egy jelszót. Csak ha ez lejár, akkor képes megváltoztatni. Az értéknek kevesebbnek kell lenni, mint a maximális élettartamé. 
Legrövidebb jelszó (Minimum password length):
A jelszónak minimum ennyi karakterből kell állnia (0-14-ig szabályozható). Ha 0-át állítunk be nem szükséges megadni a jelszót.


Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Fiókházirend > Fiókzárolási házirend (Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy): 
Fiókzárolás időtartama (Account lockout duration):
Ha egy felhasználó hibás jelszót ad meg ennyi ideig nem fogja tudni ismét megadni: 0-99999 percben kifejezve. A Windows letiltja a bejelentkező ablakot (lásd következő pont). 
Fiókzárolás küszöbe (Account lockout threshold):
Maximum ennyi érvénytelen jelszó megadást fogad el a rendszer, mielőtt letiltja az előző pontban meghatározott ideig a bejelentkezést. 
Fiókzárolási számláló nullázása (Reset account lockout counter after):
Ha ennyi percig nem történt érvénytelen bejelentkezési kísérlet, a rendszer nullázza az érvénytelen bejelentkezések számát.


Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Helyi házirend > Naplórend (Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy):

Az itt szereplő beállítások a rendszer Eseménynaplójába ("Event Viewer") helyezik el bejegyzéseiket. 
Bejelentkezés naplózása (Audit logon events):
Minden az adott géppel kapcsolatos ki- és bejelentkezés és hálózaton keresztüli kapcsolat kiépítése esetén egy bejegyzés kerül az eseménynaplóba. A "Sikeres" ("Success") jelölőnégyzet aktiválásával csak akkor, ha hibátlanul zajlott le. A "Sikertelen" ("Failure") aktiválásával pedig akkor, ha téves adatmegadás miatt nem jött létre a bejelentkezés. A kettő együtt is használható. 
Címtárszolgáltatás-hozzáférés naplózása (Audit directory service access):
Az System Access Control List (SACL) listában szereplő Active Directory objektumokhoz való sikeres és sikertelen hozzáférési kísérletek naplózása. 
Fiókbejelentkezés naplózása (Audit account logon events):
Akkor naplóz, amikor az adott számítógép érvényesít egy másikon egy sikeres vagy sikertelen ki- és bejelentkezést. 
Fiókkezelés naplózása (Audit account management):
A felhasználói fiókokkal végzett tevékenységek naplózása: fiókok vagy csoportok létrehozása, módosítása, törlése, átnevezése, engedélyezése, tiltása, jelszavak beállítása vagy megváltoztatása. 
Folyamatok nyomon követése (Audit process tracking):
A programok futtatás alatti aktivitásának naplózása. Nyomkövetésre is használható, ha elindítunk egy programot, láthatjuk milyen folyamatokat hozott létre, milyenek szűntek meg. Minden eseménynél látszik a hozzá tartozó felhasználó neve. Így akár azt is tudhatjuk, mikor melyik felhasználó milyen programokat indított el. Vigyázzunk a használatára, mert sok eseményt generálhat és hamar megtelhet az eseménynapló. 
Házirendváltozás naplózása (Audit policy change):
A csoport és helyi házirendeken végzett változtatásokat figyeli és jegyzi az eseménynaplóba. Nyomon követve a változtatásokat visszaállítható az eredeti beállítás. 
Objektum-hozzáférés naplózása (Audit object access):
A rendszer objektumai a fájlok, mappák, nyomtatók stb. Minden ezekkel kapcsolatos ténykedés eseményt vált ki, ami bejegyzésre is kerül a naplóba. Tehát ha egy felhasználó megnyit egy mappát, már ki is váltott egy ilyen eseményt. Az objektum-hozzáférés naplózása és a folyamatok nyomon követésének naplózása együtt teljes képet ad egy adott felhasználó minden ténykedéséről. Használatával szintén sok bejegyzés keletkezik, gyorsan megtöltheti a naplófájlt. 
Rendszeresemények naplózása (Audit system events):
Az operációs rendszer elindulása, leállása és minden rendszerbiztonsági esemény feljegyzésre kerül. Például az Eseménynapló ("Event Viewer") törlése is. 
Rendszerjogok használatának naplózása (Audit privilege use):
Minden felhasználói jogokat (tehát nem system - rendszer jogokat) igénylő művelet naplózása: lehet programok elindítása, leállítása, könyvtárak listázása, a vezérlőpult megnyitása stb. - sok eseményt generál.





Cikksorozat

#IDKategóriaCikk címeSorozat
2591WindowsTippek és trükkök - RAS - Modem csengetési szám állítása1. rész
2622WindowsTippek és trükkök - Program futtatása más felhasználóként2. rész
2640WindowsA Windows ikonméretének megváltoztatása és Windows 2000 Asztaltémák3. rész
2657WindowsTippek és trükkök - Internet Explorer4. rész
2667WindowsTippek és trükkök5. rész
2684WindowsAlapértelmezések állítása, telepítési fájlok helye, intéző nézetek6. rész
2696WindowsBiztonsági trükkök7. rész
2702WindowsWindows XP trükkök8. rész
2729WindowsWindows 2000 és XP tippek, trükkök9. rész
2757WindowsRegistry trükkök10. rész
2784WindowsTippek, trükkök11. rész
2829WindowsTippek, trükkök12. rész
2889WindowsWindows XP tippek13. rész
2909WindowsTippek Windows XP-hez14. rész
2919WindowsWindows tippek15. rész
2924WindowsWindows tippek16. rész
2963WindowsWindows tippek17. rész
2973WindowsWindows Tippek18. rész
2981WindowsWindows tippek19. rész
2990WindowsTippek-trükkök20. rész
3027WindowsIIS tippek21. rész
3034WindowsWindows XP tippek-trükkök22. rész
3088WindowsWindows 2000/XP tippek, trükkök23. rész
3133WindowsWindows XP tippcsokor24. rész
3140WindowsWindows XP tippek, trükkök25. rész
3152WindowsXP és IIS tippek - trükkök26. rész
3158WindowsWindows XP tippek, trükkök27. rész
3168WindowsTippek, trükkök28. rész
3170WindowsRegistry trükkök29. rész
3179WindowsTippek, trükkök30. rész
3197WindowsWindows XP tippek, trükkök31. rész
3205WindowsTippek, trükkök32. rész
3214WindowsTippek, trükkök33. rész
3223WindowsTippek, trükkök34. rész
3233WindowsTippek, trükkök35. rész
3271WindowsTippek, trükkök36. rész
3307WindowsTippek, trükkök37. rész
3370WindowsTippek, trükkök38. rész
3399WindowsTippek, trükkök39. rész
3510WindowsTippek, trükkök40. rész
3611WindowsHardverrel kapcsolatos tippek, trükkök41. rész
3668WindowsRegistry trükkök42. rész
3711WindowsTippek, trükkök43. rész
3771WindowsTippek, trükkök44. rész
3801WindowsTippek, trükkök45. rész
3831WindowsTippek, trükkök46. rész
3891WindowsTippek, trükkök47. rész
3921WindowsTippek, trükkök48. rész
3981WindowsTippek, trükkök49. rész
4041WindowsTippek, trükkök50. rész
4071WindowsTippek, trükkök51. rész
4151WindowsTippek, trükkök52. rész
4171C#Tippek, trükkök53. rész
4211WindowsTippek, trükkök54. rész
4251WindowsTippek, trükkök55. rész
4281WindowsTippek, trükkök56. rész
3589DelphiTippek, trükkök57. rész
3718DelphiTippek, trükkök58. rész


Könyv
Ez a cikk megtalálható ebben a könyvben: Windows Software Offline 2001 évkönyv 298. oldal

Felhasználási feltételek
A Software Online szoftverfejlesztői magazin mindegyik cikke, minden megjelent képe, és egyéb publikált anyaga szerzői jog védelme alatt áll! Bármilyen formában történő másodlagos terjesztésük, közzétételük vagy felhasználásuk kizárólag a kiadó előzetes írásbeli engedélyével történhet!

Copyright © 1999-2012 Animare Software Kft. Minden jog fenntartva!
| Készült: Animare Stúdió | Adatvédelem | Kapcsolat |