[ Pobierz całość w formacie PDF ]
.Pojawi siê okno W³aœciwoœci(Properties).Rysunek 16.18.Przyk³adowe okno Za³o¿enia grupowe W³aœciwoœci (Group PolicyProperties) przedstawiaj¹ce opcje zak³adki Bezpieczeñstwo (Security).Wybierz zak³adkê Bezpieczeñstwo (Security) (rys.16.18).Opcja ZastosujZa³o¿enia grupowe (Apply Group Policy) w polu Uprawnienia (Permissions)okreœla, czy dane za³o¿enia stosuje siê do grupy wybranej w polu Nazwa (Name).W niniejszym przyk³adzie za³o¿enia odnosz¹ siê do grupy Authenticated Users.Po naciœniêciu OK okno W³aœciwoœci (Properties) zostanie zamkniête i nast¹pipowrót do konsoli AD U¿ytkownicy i komputery (AD Users and Computers).Zamknij konsolê.Zastosowanie tych za³o¿eñ dla grupy Authenticated Users oznacza, ¿eaktualizacje Rejestru s¹ pobierane i stosowane przez ka¿dego z u¿ytkownikówzalogowanych w domenie, reprezentowanych w Active Directory przez obiektU¿ytkownik (User) w po³¹czonej jednostce organizacyjnej (OU).W raziekoniecznoœci stosowania bardziej zró¿nicowanych za³o¿eñ, mo¿na tworzyæ innegrupy.Mo¿na równie¿ zabroniæ dostêpu do pewnych grup, jeœli jest to bardziej wydajne.Na przyk³ad mo¿na ustanowiæ za³o¿enia (policy), maj¹ce wp³yw na u¿ytkowników wjednej z du¿ych grup (niech to bêdzie grupa Authenticated Users), a nastêpniezabroniæ dostêpu do pewnego podzbioru tej grupy, takiego jak IT_Admins.Grupa Group Policy Creator OwnersSystem Windows 2000 zawiera kilka wstêpnie zdefiniowanych grup wykorzystywanychdo delegowania (delegation).Jedn¹ z takich grup jest Group Policy CreatorOwners.Grupa ta znajduje siê na liœcie ACL kontenera (Container) cn=Policies,cn=System, dc=domain, dc=root z uprawnieniami Create All Child Objects.Wykrywanie usterek za³o¿eñ grupowychJeœli za³o¿enia grupowe nie dzia³aj¹ prawid³owo, nale¿y sprawdziæ nastêpuj¹cepunkty.Podgl¹d zdarzeñ (Event Viewer).Us³uga Userenv dokonuje wpisów do dziennikazdarzeñ aplikacji (Application log).Ostrze¿enia wpisane przez tê us³ugê s¹pierwszym wskaŸnikiem , ¿e z pobieraniem za³o¿eñ grupowych (group policy) sta³osiê coœ z³ego.Prawa dostêpu.Powszechnie spotykanym problemem z za³o¿eniami grupowymi jestgwarancja praw dostêpu.Zawsze konieczne jest upewnienie siê, czy u¿ytkownik maprawo dostêpu do za³o¿eñ, które maj¹ byæ zastosowane.Naj³atwiejszym sposobemsprawdzenia tego jest wykorzystanie odpowiedniej konsoli Active Directory,otwarcie w³aœciwoœci za³o¿eñ grupowych (group policy) po³¹czonego kontenera(container) i wybranie zak³adki Bezpieczeñstwo (Security).Dany u¿ytkownikpowinien byæ cz³onkiem grupy z uprawnieniami Zezwolenie (Allow).Nieprawid³owe po³¹czenia za³o¿eñ.Innym czêsto spotykanym problemem,wystêpuj¹cym przy konfigurowaniu za³o¿eñ grupowych (group policies) jest„utrata mapy” („losing the map”), jak to nazywane jest na szkoleniu pilotówmyœliwców.Za³o¿enia mog³y zostaæ po³¹czone z danym kontenerem (container), aledo testowania u¿ywane jest konto u¿ytkownika z innego kontenera (container).Albo ktoœ móg³ umieœciæ inne za³o¿enia (policy) wy¿ej w hierarchii za³o¿eñ ni¿dane za³o¿enia (policy) i albo wymazano poprzednie za³o¿enia, albo zosta³yca³kowicie zablokowane.Jest to szczególnie frustruj¹cy problem w systemieWindows 2000, poniewa¿ nie ma odpowiedniego narzêdzia do œledzenia wszystkichza³o¿eñ, które mog¹ byæ lub powinny byæ zastosowane dla poszczególnychu¿ytkowników.Firma Microsoft obiecuje takie narzêdzie w kolejnej wersjimaintenance systemu Windows 2000.Usuwanie b³êdów biblioteki Userenv.Ostatnia deska ratunku przy poszukiwaniu, wczym tkwi problem, to uruchomienie wpisów do dziennika zdarzeñ za³o¿eñgrupowych (group policy logging).W systemie Windows NT 4 wymaga tozainstalowania wersji tzw.checked build biblioteki USERENV.DLL, programurozszerzaj¹cego po stronie klienta, odpowiedzialnego za aktualizacje Rejestru.Umo¿liwia to uzyskanie dostêpu do plików zawieraj¹cych informacje konieczneprzy wykrywaniu b³êdów (debug symbols).W systemie Windows 2000 pliki te s¹zawarte w wersji free build biblioteki USERENV.DLL.Do klucza WINLOGON musizostaæ dodana wartoœæ Rejestru zezwalaj¹ca na logowanie.Key: HKLM|Software|Microsoft|Windows NT|CurrentVersion|WinlogonValue: UserEnvDebugLevelData: 0x10002 (Hex) of type Reg_DwordPo dodaniu tej wartoœci nale¿y ponownie uruchomiæ komputer.Plik dziennikazdarzeñ mieœci siê w katalogu \WINNT\Debug\Userenv.log
[ Pobierz całość w formacie PDF ]