[ Pobierz całość w formacie PDF ]
.Porz¹dek ten mo¿e zostaæ zmieniony za pomoc¹konsoli zarz¹dzania.Pliki u¿ywane do wspomagania za³o¿eñ grupowych nie s¹ przechowywane w baziedanych katalogu, lecz w miejscu \WINNT\SYSVOL\SYSVOL\.Niekoniecznie musi to byæ ten sam katalog \WINNT, bêd¹cy g³Ã³wnym katalogiemsystemowym %systemroot%.Lokalizacja katalogu SYSVOL jest wybierana podczaspromocji serwera do kontrolera domeny.Komputery klienta (u¿ytkownicy) potrzebuj¹ dostêpu do katalogu SYSVOL na swoichkontrolerach domeny, aby znaleŸæ za³o¿enia.Katalog zawiera specjalne obiektyze wskaŸnikami do folderów za³o¿eñ.Obiekty te s¹ egzemplarzami klasyGroupPolicyContainer, w zwi¹zku z czym czasami s¹ nazywane obiektami GPC.Obiekty GPC posiadaj¹: atrybuty zawieraj¹ce œcie¿kê UNC do po³¹czonych za³o¿eñ,rozszerzenia po stronie serwera, u¿ywane do tworzenia po³¹czonych za³o¿eñ orazrozszerzenia po stronie klienta potrzebne do ich obs³ugi.Gdy klienci Windows 2000 loguj¹ siê do domeny, wysy³aj¹ do katalogu zapytaniao obiekty GPC.Je¿eli któryœ obiekt jest odpowiedni dla danego klienta,zawartoœæ odpowiadaj¹cego folderu za³o¿eñ jest pobierana z katalogu SYSVOL.Je¿eli za³o¿enie oddzia³uje na wpisy do rejestru, a wiêkszoœæ z nich oddzia³ujew ten lub inny sposób, wpisy za³o¿eñ nak³adaj¹ siê na istniej¹ce wpisy dorejestru.W momencie usuniêcia albo zmiany za³o¿enia, poprzednie wpisy dorejestru ponownie zaczynaj¹ byæ aktywne.Poni¿ej przedstawione zosta³y kluczowe punkty pozwalaj¹ce zapamiêtaæ sposóbdzia³ania za³o¿eñ grupowych opartych na katalogu:Katalog posiada wskaŸniki do za³o¿eñ grupowych przechowywanych w SYSVOL naka¿dym kontrolerze domeny.Za³o¿enia grupowe s¹ pobierane automatycznie przez cz³onków domeny Windows2000.Za³o¿enia s¹ u¿ywane zgodnie z ustalon¹ hierarchi¹, w której komputer albou¿ytkownik OU posiada najwy¿szy priorytet.Zanim zapoznasz siê ze szczegó³ami za³o¿eñ grupowych umo¿liwiaj¹cychkonfiguracjê zabezpieczeñ, zobacz w jaki sposób mo¿na przegl¹daæ za³o¿enia zapomoc¹ Group Policy Editor (Edytor za³o¿eñ grupowych).Group Policy Editor (Edytor za³o¿eñ grupowych)Za³o¿enia s¹ konfigurowane za pomoc¹ Group Policy Editor (Edytor za³o¿eñgrupowych) — GPEDIT.MSC.Edytor bazuje na pliku wspomagaj¹cym GPEDIT.DLL.Dostêp do za³o¿enia zale¿y od jego lokalizacji i mo¿liwy jest w kilku ró¿nychkonsolach.GPEDIT.MSC jest ³adowany w swojej konsoli, w celu edycji za³o¿eñ lokalnych.DSA.MSC (u¿ytkownicy i komputery Active Directory) jest u¿ywany do tworzeniai edycji profili po³¹czonych z kontenerem Domain i kontenerami OU.DSSITE.MSC (strony i us³ugi Active Directory) jest u¿ywany do tworzenia iedycji profili po³¹czonych z kontenerami Site.Edytor za³o¿eñ posiada wiele rozszerzeñ odpowiadaj¹cych typom za³o¿eñ, któremog¹ byæ edytowane.Wszystkie rozszerzenia s¹ ³adowane domyœlnie.Poni¿szaprocedura przedstawia sposób ³adowania tylko wybranych rozszerzeñ, w celudostosowania konsoli do okreœlonego celu.Procedura 6.4Edycja za³o¿eñ lokalnych za pomoc¹ konsoli Group Policy Editor (Edytor za³o¿eñgrupowych)Otwórz okno Run (Uruchom) za pomoc¹ menu Start|Run (Uruchom).Wpisz GPEDIT.MSC, a nastêpnie kliknij OK.Wyœwietlona zostanie konsola GroupPolicy (Zasady grupowe) — rysunek 6.3.Rysunek 6.3.Konsola Group Policy (Zasady grupowe)Rozwiñ drzewo w ga³êziach Computer Configuration (Konfiguracja komputera)i User Configuration (Konfiguracja u¿ytkownika).Wpisy zawieraj¹ ustawieniazabezpieczeñ oraz inne za³o¿enia, takie jak skrypty logowania/roz³¹czenia alboszablony administracyjne umo¿liwiaj¹ce kontrolê konfiguracji rejestru.Aktualizacje rejestru po³¹czone z wpisami Computer Configuration (Konfiguracjakomputera) s¹ wykorzystywane po uruchomieniu komputera (zmiany s¹ odnotowywanew HKEY_Local_Machine).Natomiast aktualizacje rejestru zwi¹zane z wpisami UserConfiguration (Konfiguracja u¿ytkownika) s¹ wykorzystywane po zalogowaniuu¿ytkownika do komputera (zmiany s¹ odnotowywane w HKEY_Current_User).Wpisy Computer Configuration (Konfiguracja komputera) po³¹czone z rejestrems¹ stosowane po uruchomieniu komputera (zmiany wp³ywaj¹ na ustawieniaw HKEY_Local_Machine).Wpisy User Configuration (Konfiguracja u¿ytkownika)po³¹czone z rejestrem s¹ stosowane po zalogowaniu u¿ytkownika do komputera(zmiany wp³ywaj¹ na ustawienia w HKEY_Current_User).Aby edytowaæ Security Settings (Ustawienia zabezpieczeñ) dla lokalnegokomputera, otwórz konsolê Security Policy (Zasady zabezpieczeñ) za pomoc¹ menuStart|Programs (Programy)|Administrative Tools (Narzêdziaadministracyjne)|Local Security Policy (Zasady zabezpieczeñ lokalnych).Wyœwietlone zostanie okno Security Policy (Zasady zabezpieczeñ).Ustawieniazabezpieczeñ s¹ identyczne z ustawieniami ³adowanymi przez GPEDIT.MSC.Aby edytowaæ zasady grup domeny, musisz najpierw dowiedzieæ siê, który kontenerma zostaæ po³¹czony z zasad¹.W nastêpuj¹cym przyk³adzie wykorzystano konsolêAD Users and Computers (U¿ytkownicy i komputery Active Directory), za pomoc¹której otwarto domyœln¹ zasadê grupy domeny po³¹czon¹ z kontenerem Domain-DNS.W ten sam sposób mo¿esz otworzyæ albo utworzyæ zasady grup dla kontenera OU.Korzystaj¹c z konsoli AD Sites and Services (Strony i us³ugi Active Directory)mo¿esz uzyskaæ dostêp do za³o¿eñ grup po³¹czonych z kontenerami Sites.Opcjeza³o¿eñ s¹ identyczne, ró¿nica polega tylko na innym miejscu w hierarchii.Procedura 6.5Edycja zasad domeny w kontrolerach domenOtwórz konsolê AD Users and Computers (U¿ytkownicy i komputery ActiveDirectory) albo AD Sites and Services (Strony i us³ugi Active Directory) zapomoc¹ menu Start|Programs (Programy)|Administrative Tools (Narzêdziaadministracyjne).Prawym przyciskiem myszy kliknij kontener Domain (Domeny) znajduj¹c¹ siê nagórze drzewa, a nastêpnie z wyœwietlonego menu wybierz polecenie Properties(W³aœciwoœci).Wyœwietlone zostanie okno Properties (W³aœciwoœci).Aby otworzyæalbo utworzyæ zasady dla OU, wykonaj wszystkie te same czynnoœci dla ikony OU.Konsola nie umo¿liwia utworzenia zasad dla innej klasy obiektu.Zaznacz Default Domain Policy (Domyœlna zasada domeny), a nastêpnie kliknijEdit (Edycja).Wyœwietlona zostanie konsola Group Policy (Zasady grup).SprawdŸ listê opcji pod ka¿dym obiektem Settings (Ustawienia).Oprócz tychsamych opcji, które by³y wyœwietlone dla wolno stoj¹cego komputera, dodanychzosta³o kilka dodatkowych wpisów dla rozprzestrzeniania aplikacji i centralnejkontroli informacji profilu.Skoncentruj siê na pozycji Security Settings(Ustawienia zabezpieczeñ) w ga³êzi Computer Configuration (Konfiguracjakomputera)
[ Pobierz całość w formacie PDF ]