#1 GPO Serial – Lokalne Politiky
Skor ako sa pustime do samotnych Active Directory GPO, by som rad pripomenul, ze na kazdom pocitaci od Windows 2000 su Local Group Policy. Jedna sa o lokalne politiky. Ku tymto lokalnym politikam sa dostaneme spustenim prikazu gpedit.msc. Ked si spustime dany prikaz na pocitaci uvidime nasledovnu obrazovku:
- Local Group Policy
Samotna konzola je rozdelena na dve casti: Computer Configuration a User Configuration. Ako z nazvov vyplyva, Computer Configuration je nastavenie pocitaca bez rozdielu toho, kto na danom pocitaci je prihlaseny. User Configuration meni nastavenia , ale uzivatelske, bez ohladu na to, kto je na danom pocitaci prihlaseny. Obidve casti su dalej vetvene rovnako. Vyznamy tychto dalsich vetiev si preberieme v inej casti serialu.
Pre demonstraciu danych lokalnych politik si spravime jeden priklad. Ked na Windows klikneme pravym tlacidlom na Taskbar dostaneme nasledovne okno:
Task bar
Cize uzivatel moze ist na Task Manager. Teraz to chceme zakazat a tak si nastavime v gpedit.msc nasledovne nastavenie User Configuration \ Administrative Templates \ System \ Ctrl+Alt+Del Options \ Remove Task Manager na hodnotu Enabled:
Remove Task Manager Properties
Hned po kliknuti tlacidla OK sa prejavi nastavenie a uzivatel ked klikne pravym tlacidlom na Taskbar nemoze spustit Task Manager:
- Task bar
Takze takymto sposobom vieme ohybat nastavenia pre pocitac ako aj pre uzivatela. Ale je to velmi nepohodlne obchadzat vsetky pocitace a klikat nastavenia. Taktiez je dolezite si uvedomit, ze lokalne politiky ovplyvnuju vsetkych uzivatelov na danom pocitaci. Nezalezi na tom, ci dany uzivatel je obycajnym uzivatelom alebo administratorom. Takze kludne sa moze stat, ze si zablokujete Task Manager aj ked ste Administrator 🙂
Local Group Policy na Vistach a vyssie
Ako som uviedol predtym, tak Local Group Policy zmeni nastavenia pre vsetkych uzivatelov na pocitaci a je jedno ci ste len uzivatel alebo administrator. Toto sa vsak meni od Windows Vista nahor. Vista zaviedla nove politiky, ktore sa volaju Multiple Local Group Policy Object. Ako z nazvu vyplyva, jedna sa o viacej lokalnych politik. Toto pride vhod, ak chcete ine nastavenia pre uzivatelov ako pre administratorov. Samozrejme, ze MLGPO sa tykaju len casti User Configuration, cast Computer Configuration ostava rovnaka pre vsetkych uzivatelov na pocitace. Ked sa MLGPO spracuvavaju na lokalnom pocitaci (Vista nahor), tak je to v nasledovnom poradi:
Level 1 – Spracuju sa Computer Configuration nastavenia
Level 2 – Spracuvavaju sa User Configuration nastavenia na zaklade toho ci uzivatel je obycajny uzivatel alebo je administrator. V tejto casti je jedno co je nastavene v casti Computer Configuration
Level 3 – Spracuvavaju sa User Configuration nastavenia na zaklade uz konkretnych uzivatelov
Ked to graficky znazornim, tak by to vyzeralo takto:
- Spracovanie MLGPO
Cize daju sa nastavovat 3 urovne lokalnych politik.
A ako sa teda daju editovat tieto tri levely? Pre editovanie Level 1 si sputime stary znamy gpedit.msc.
Levely 2 a 3 na Windows Vista a vyssie:
- Spustite prikaz MMC.EXE
- File -> Add/Remove Snap-in
- Vyberieme snap-in Group Policy Object Editor
- Klikneme Add
Add Group Policy EditorKlikneme BrowsePotom na zalozku UsersMLGPO Filtering
- Potom klikneme Browse
- A vyberieme zalozku Users
MLGPO Level 2 a Level 3
Na tejto zalozke je mozne definovat:
- Level 2 – ked si vyberieme Administrators alebo Non-Administrators
- Level 3 – ked si vyberieme konkretneho uzivatela
Takze tolko myslim staci o lokalnych politikach, ktore su v centralizovanych prostrediach nie velmi pouzitelne.
V buducej casti vysvetlim centralne menezovane politiky zalozene na domene (Active Directory Group Policy).
———
Obsah serialu:
#1 GPO Serial – Lokalne Politiky
#2 GPO Serial – GPO v domene cast 1.
#3 GPO Serial – GPO v domene cast 2.
#4 GPO Serial – Aplikovanie GPO
#5 GPO Serial – WMI filtre a Loopback Processing
Recent Comments