.png "Group Policy Preferences")
.png "Group Policy Preferences - cz. II"){kind=icon}
Group Policy Preferences - cz. I .png \\"Udostępnij na: Facebook\\")
Opublikowano: 8 maja 2008
Autor: Robert Stuczynski
Zawartość strony
.gif){kind=icon} |
Wstęp |
|
Trochę historii |
|
Group Policy Preferences vs Policies |
|
Praca z konsolą GPMC |
|
Akcje |
|
Przeczytaj pozostałe części tego artykułu |
Wstęp
Group Policy (GP) udostępnione wraz z pojawieniem się Windows Server 2000 można uznać za jedno z najciekawszych udoskonaleń, jakie wprowadzono do środowiska serwerowego firmy Microsoft. Jest to potężne narzędzie, które pomaga administratorowi sieci opartej na usłudze Active Directory w sposób intuicyjny i zcentralizowany kontrolować systemy serwerowe, klienckie oraz użytkowników. GP umożliwia kontrolę nad niemal całym systemem.
Każda kolejna wersja GP wprowadza nową funkcjonalność oraz narzędzia ułatwiające zarządzanie. Wraz z pojawieniem się Windows Server 2008 i Konsoli zarządzania zasadami grupy (Group Policy Management Console, GPMC) w wersji 2 Microsoft udostępnił administratorom rewolucyjną technologię, jaką jest Group Policy Preferences (GPP). Co w niej rewolucyjnego? Na to pytanie znajdziecie odpowiedź w tym artykule.
.gif){kind=icon}
Do początku strony
Trochę historii
Na początku należy wspomnieć o firmie DesktopStandard, która była wiodącym producentem oprogramowania do zarządzania systemami klienckim z wykorzystaniem GP. Jej sztandarowym produktem był PolicyMaker. Upraszczał on w znaczący sposób konfigurację, wdrażanie i zarządzanie ustawieniami systemu operacyjnego oraz aplikacji. Oprócz tego, administrator otrzymał możliwość edycji pokaźnej ilość ustawień, które nie były osiągalne przez standardowe, zawarte w Windows Server, mechanizmy Group Policy Object (GPO).
2 października 2006 firma DesktopStandard została przejęta przez Microsoft. Wraz z wydaniem finalnej wersji Windows Server 2008 program PolicyMaker został upubliczniony pod nową nazwą: Group Policy Preferences.
Warto w tym miejscu podkreślić, że funkcjonalność GPP w odróżnieniu od PolicyMakera została udostępniona całkowicie za darmo!
Do początku strony
Group Policy Preferences vs Policies
Chyba każda osoba administrująca środowiskiem Active Directory była choć raz zmuszona do napisania prostego lub bardziej złożonego skryptu, który później został wykorzystany jako skrypt logowania. Najczęstszym przykładem skryptu jest działający prawie w każdej sieci skrypt mapujący dyski sieciowe. W postaci minimalnej zawiera on jedną nieskomplikowaną linię zapisaną w pliku .BAT:
Net use u: \\server\share
Łatwo wyobrazić sobie sytuację, kiedy mapowanie dysku ma zależeć od innych czynników, np.: kto, gdzie lub z jakiego systemu się zalogował. W tym momencie wzrasta złożoność skryptu oraz istnieje potrzeba ograniczenia stosowania GPO zawierającego skrypt poprzez filtry Windows Management Instrumentation (WMI) lub filtrowanie grup zabezpieczeń. Zwiększa się podatność na błędy, które mogą zdarzyć się w czasie pisania skryptu oraz wzrasta prawdopodobieństwo, że nie wszystkie przypadki, jakie mogą wystąpić, zostaną uwzględnione. Tak rozbudowane skrypty są trudne do analizy, szczególnie gdy analizy dokonuje osoba inna niż autor. A to dopiero część mapowania dysków sieciowych! Takich zadań do „oskryptowania” zazwyczaj bywa dużo więcej.
Opisany przypadek ma miejsce w sieciach, które kontrolowane są przez znane z poprzedniej wersji polityki zasad grupy (Group Policy Polices). Dzieje się tak, dlatego że nie została w nich zaimplementowana na przykład opcja mapowania dysku. Istnieje na to proste i łatwo dostępne rozwiązanie: preferencje (Group Policy Preferences, GPP). Za ich pomocą w prosty sposób wykonamy tę oraz wiele innych czynności w sposób prosty i intuicyjny.
Oczywiście GPP potrafią dużo więcej niż tylko mapować dyski sieciowe. Oferują one ponad 20 rozszerzeń GP. Zarządzenie rejestrami, usługami, plikami i folderami, lokalnymi użytkownikami oraz grupami od teraz będzie dziecinnie proste: wystarczy uruchomić prosty formularz lub kreator, aby otrzymać bardzo szybko pożądany i wolny od błędów efekt.
GPP zmieniają także podejście do sposobu stosowania polityk. Polityki zasad grupy wymuszają na kliencie lub jego systemie zdefiniowane w GPO ustawienia. GPP natomiast definiuje preferowane ustawienia, które użytkownik może zmienić na własne zaraz po zalogowaniu do systemu. Warto zauważyć, że wiele opcji można ustawić jednocześnie za pomocą zasad grup oraz preferencji. Prostym przykładem może być pokazane na rysunku 1. usunięcie ikony Sieć z menu Start. Jeśli zostaną użyte polityki zasad grupy, to w systemie nie będzie ikony, ale też użytkownik nie będzie miał możliwości włączenia tej opcji, ponieważ będzie ona dla niego niedostępna. GPP także usunie ikonę, lecz gdy zajdzie taka potrzeba użytkownik będzie mógł ją włączyć, korzystając ze standardowego interfejsu.
Uwaga
Jeśli na poziomie Preferences i Policies zostaną zdefiniowane te same ustawienia, to zawsze mniej ważne będą te zdefiniowane jako preferencje.
.jpg)
.jpg)
Rys. 1. Preferencje, a polityki zasad grupy.
Polityki zasad grupy na systemach klienckich odświeżane są co 90-120 minut. Jeśli chodzi o preferencje, to nic się nie zmieniło, gdyż znajdują się one także w GPO. Jednakże w tym przypadku administrator może zadecydować, czy element preferencji wykona się tylko raz (bez powtarzania) czy przy każdym odświeżeniu. Pozostawia to dużą swobodę w dostosowywaniu środowiska pracy do potrzeb biznesu.
Stojąc przed dylematem, co wybrać w konkretnej sytuacji: preferencje czy może polityki zasad grupy, można posłużyć się prostym algorytmem przedstawionym na rysunku 2. Oczywiście, nic nie stoi na przeszkodzie, żeby w obrębie tego samego GPO, gdy zajdzie taka potrzeba, zastosować obydwa rozwiązania.
.jpg)
Rys. 2. Wybrać GPP czy politykę zasad grupy.
Za pomocą polityk zasad grupy można było zarządzać aplikacjami tylko, gdy były one wspierane przez GP. Oczywiście, można było stworzyć szablony administracyjne, ale na pewno nie można było powiedzieć o tym rozwiązaniu, że jest proste. GPP zmieni dość dużo w tym temacie. Do preferencji została dodana obsługa aplikacji. Jest już nawet gotowa gałąź, która będzie je zawierać. Niestety, w tym momencie lista aplikacji jest pusta, ale na pewno planowane jest dodanie obsługi Microsoft Office. Odpowiednie pliki zostaną udostępnione do pobrania na witrynie firmy Microsoft. Bardzo ważne jest to, że deweloperzy będą mogli tworzyć dodatki dla innych aplikacji za pomocą zestawu Group Policy Software Development Kit.
Każde GPO może zawierać wiele elementów preferencji, a opcje określania wartości docelowych (Item-Level Targeting) pozwalają sterować stosowaniem preferencji. Umożliwiają one bardzo dokładne określenie, dla jakich komputerów lub użytkowników mają zostać zastosowane. Można to zrobić na każdym elemencie preferencji. Ułatwia to zdefiniowanie i zastosowanie jednego GPO zawierającego wiele preferencji zamiast tworzenia oddzielnych GPO dla różnych grup docelowych. Temat Item-Level Targeting zostanie dokładniej omówiony w dalszej części artykułu.
Należy mieć na uwadze to, że GPP nie występują w postaci polityk lokalnych. Tu nadal należy zastosować Local Security Policy.
Do początku strony
Praca z konsolą GPMC
Konsola do zarządzania zasadami grupy występująca w Windows Server 2008 i Windows Vista jest teraz w wersji 2. Zarządzanie zasadami grupy zostało ulepszone poprzez dodanie nowych funkcjonalności - w niniejszym artykule zostaną omówione tylko te związane z GPP.
Na pasku narzędzi (rysunek 3.) umieszczono kilka ciekawych funkcji, z których część zostanie omówiona poniżej:
.jpg)
Rys. 3. Pasek narzędzi konsoli GPMC.
.jpg)
— przyciski „Wstecz” oraz „Dalej: przenoszą do ostatnio przeglądanych miejsc. Mimo swojej prostoty są bardzo użyteczne.
.jpg)
— umożliwiają wycinanie lub kopiowanie elementu do schowka, co powoduje przenoszenie lub kopiowanie preferencji pomiędzy gałęziami.
.jpg)
— wyświetla dane XML dla zaznaczonych elementów. Można je później zapisać jako plik i przenieść techniką „przeciągnij i upuść” do tej samej lub innej gałęzi, co spowoduje utworzenie nowego elementu. Może służyć jako kopia bezpieczeństwa, z której szybko i łatwo można przywrócić dany element.
.jpg)
— służy do włączania i wyłączania elementu preferencji
.jpg)
— przenoszą element w górę lub w dół na liście, co wpływa na kolejność wykonywania preferencji.
GPMC umożliwia konfigurowanie preferencji podczas edytowania dowolnego obiektu zasad grupy opartego na domenie. Węzeł Preferences (rysunek 4.) umieszczono obok znanego z poprzednich wersji węzła Policies. Oba zawierają obszary User Configuration (Konfiguracja użytkownika) i Computer Configuration (Konfiguracja komputera). Każdy z nich podzielony jest na dwie kategorie: Windows Settings (Ustawienia systemu Windows) oraz Control Panel Settings (Ustawienia Panelu sterowania).
.jpg)
Rys. 4. Preferencje komputera oraz użytkownika.
Aby utworzyć nowy element preferencji, należy kliknąć odpowiedni obiekt prawym przyciskiem myszy. W menu kontekstowym po wybraniu opcji New będzie możliwość, w zależności od typu preferencji, wyboru jednego lub kilku poleceń. Na rysunku 5. widać, że w rozszerzeniu preferencji Network Options można utworzyć elementy: VPN Connection oraz DUN Connectio.
.jpg)
Rys. 5. Tworzenie nowego elementu.
Następny krok polega na wypełnieniu formatki. Jak widać na rysunku 6., interfejs definiowania preferencji jest prosty i intuicyjny. Wygląd bardzo często jest zbliżony do interfejsu, jaki występuje w systemie użytkownika końcowego. Dzięki temu nawet niedoświadczony administrator poradzi sobie z ich konfiguracją bez dodatkowych szkoleń z ich obsługi.
.jpg)
Rys. 6. Przykładowa formatka elementu preferencji.
Do początku strony
Akcje
Większość preferencji opiera się na czterech akcjach (rysunek 6.), jakie mogą wykonać: Update, Create, Replace oraz Delete. Bardzo ważne jest, by zrozumieć, w jaki sposób one działają. W większości przypadków wystarczy zastosowanie domyślnej akcji, czyli Update.
Akcja Create (Utwórz) umożliwia utworzenie nowej wartości, gdy nie istnieje ona w systemie docelowym.
Zadanie Replace (Zamień) polega na usunięciu i ponownym utworzeniu ustawień, jeśli w systemie nie istnieją.
Domyślną akcją jest Update (Aktualizuj). Za jej pomocą można dokonać modyfikacji aktualnych ustawień. Ważne jest to, że gdy ustawienie lub obiekt, do którego zastosowana jest preferencja, nie istnieje, to zostaje on utworzony. Jest to akcja domyślna dla wszystkich preferencji i zastosowanie jej wystarcza w większości przypadków. Jest ona także bezpieczniejsza niż Replace, ponieważ jej zadanie polega tylko na aktualizacji ustawień, więc konfiguracja pozostałych elementów obiektu zostaje zachowana.
Delete (Usuń) przeznaczona jest do usuwania ustawień.
Do początku strony
Przeczytaj pozostałe części tego artykułu
 |
Robert Stuczynski (Microsoft MVP, MCITP, MCTS, MCSE: Security, Messaging) Pracuje jako inżynier systemowy w międzynarodowej korporacji. Na co dzień zawodowo dręczy produkty firmy Microsoft, a szczególnie Active Directory oraz Exchange. Informatyki nie traktuje jedynie jako zawód, ale też wielkie hobby, któremu często poświęca zbyt wiele czasu. Hobby, pasji, ulubionych zajęć ma wiele. Ciągle nie wystarcza mu na wszystko czasu. Jednym z nich jest fotografia. Robert jest także opiekunem działu Windows Server na portalu społeczności WSS.pl. |
| Do początku strony |