Csoportházirend
A csoportházirend (Group Policy) a Microsoft operációs rendszereinek egy funkciója, amivel megoldható a felhasználók, a számítógépek és a felhasználói munkakörnyezetek viselkedésének és jogosultságainak szabályozása. A csoportházirend Active Directory környezetben lehetővé teszi az operációs rendszerek, alkalmazások és a felhasználók beállításainak központosított konfigurálását és menedzsmentjét. Leegyszerűsítve, a csoportházirenddel többek közt megszabható, hogy a felhasználó mit tehet és mit nem tehet meg a számítógépen. Bár a csoportházirendek alkalmazása nagyvállalati környezetben a legelterjedtebb, találkozhatunk vele iskolákban, kis- és középvállalkozásokban is. A csoportházirendeket gyakran arra használják, hogy potenciális biztonsági réseket zárjanak be vele, pl. tiltják a hozzáférést a Windows feladatkezelőjéhez, korlátozzák bizonyos mappákhoz a hozzáférést, tiltják a futtatható fájlok letöltését és így tovább.
A Microsoft IntelliMirror technológiájának részeként a csoportházirendek lényege a felhasználói támogatás költségeinek csökkentése. Egyéb IntelliMirror-technológiák közé tartoznak a vándorló profilok, a hálózatról lecsatlakoztatott számítógépek kezelése, a mappaátirányítás és a kapcsolat nélküli mappák.[1][2]
A csoportházirend építőköveinek, a csoportházirend-objektumoknak (Group Policy Object, GPO) használatához nem feltétlenül szükséges az Active Directory; a Novell a Windows 2000 óta támogatja a vándorló profilokat ZENworks Desktop Management termékében, a Windows XP óta pedig a csoportházirend-objektumokat is.
Bár gyárilag is számos csoportházirend jár az operációs rendszerhez (az XP/Windows 2003-ra mintegy 1700, a Vista/Windows 2008 párosra legalább 2700, a Windows 7/Windows 2008 R2-re több mint 3000 házirend vonatkozik[3]), ez a szám tetszőlegesen bővíthető további sablonok (admin templates, .ADM, illetve .ADMX) hozzáadásával. Ezek egyszerű szöveges állományok, amik a beállítások hierarchikus rendjét, a beállítható értékekre vonatkozó megkötéseket és az egyes beállítások alapértelmezett értékét tartalmazzák. A Microsoft is kiad bővítéseket pl. a Microsoft Office szabályozásához, de más gyártók termékeihez is készülnek ilyenek. Egyedi .ADM-fájlokkal szinte bármit meg lehet tenni, amihez egyébként a beállításjegyzék módosítása szükséges.
A csoportházirendek elődje, a System Policy a Windows NT-ben jelent meg.[4]
Áttekintés
A csoportházirend szabályozhatja a célobjektum (target) beállításjegyzékét, NTFS biztonsági leíróit, a rá vonatkozó auditálási és biztonsági házirendeket, a szoftvertelepítést, be- és kijelentkezési parancsfájlokat.
Az Active Directory-integrált csoportházirend alapvetően azokra a szervezeti egységekre (OU), helyekre (site) vagy tartományokra vonatkozik, amikhez hozzárendelik. A csoportházirend hatóköre (scope) tovább finomítható:
- a „biztonsági szűrés” (security filtering) segítségével szabályozható, hogy az adott GPO milyen felhasználókra és csoportokra vonatkozik;
- a Windows Management Instrumentation (WMI)-szűrés lehetővé teszi, hogy a GPO hatóköre egy WMI-szűrő eredményétől függően változzon (pl. legalább adott memóriával rendelkező számítógépek);
- a Group Policy Preferences további szabályozást tesz lehetővé.
Az Active Directory Users and Computers (ADUC) eszköz „vezérlés delegálása” funkciójának segítségével a rendszergazda lehetőséget adhat arra, hogy egy arra kijelölt felhasználó szerkeszthesse egy csoportházirend beállításait. Ez technikailag a szervezeti egység biztonsági leíróinak módosításával történik.[5]
A GPO alkalmazása
A csoportházirend-kliens „pull” (lekéréses) modell alapján dolgozik. Bizonyos időközönként (ez véletlenszerű, 90 és 120 perc közötti érték, bár ez is szabályozható csoportházirenddel) összegyűjti a számítógépre, és a bejelentkezett felhasználóra (ha van ilyen) vonatkozó GPO-kat, és bejegyzi azokat a Windows beállításjegyzékének HKLM\Software\Policies, illetve HKCU\Software\Policies ágába[6][7] (Windows 2000-en és Windows NT-n a HKLM\Software\Microsoft\Windows\CurrentVersion\Policies, illetve HKCU\Software\Microsoft\Windows\CurrentVersion\Policies ágába). Ezután alkalmazza a beállításokat, amik ettől kezdve (vagy a következő bejelentkezés/rendszerindítás után, adott rendszerkomponens újraindítása után) befolyásolni fogják a házirenddel szabályozható rendszerkomponensek működését.
A csoportházirend frissítése és alkalmazása kikényszeríthető, Windows 2000-en a secedit refreshpolicy, Windows XP-n és afölött a gpupdate parancs futtatásával.[8]
Ha egy felhasználóra vagy számítógépre több, esetleg egymással ütköző házirend-beállítás vonatkozik, a következő sorrendben kerülnek végrehajtásra (a később végrehajtott felülírja a korábbit!):
- helyi számítógép
- hely (site)
- tartomány
- szervezeti egységek (OU) – a hierarchiában felülről lefelé haladva értékelődnek ki.
A Windows NT 4.0-ban használt System Policy-kban még nem korlátozták a beállításjegyzék elérését, a regisztrációs adatbázis bármelyik helyére írhattak a policyk, értékük pdeig megmaradt, amíg egy másik házirenddel vagy kézzel felülírásra nem kerültek.[4]
Csoportházirend-beállítások
A csoportházirend-beállítások (Group Policy Preferences) eredetileg a csoportházirendek külön termékként létező, PolicyMaker néven futó kiterjesztései voltak. A terméket a Microsoft felvásárolta, és integrálta a Windows Server 2008-ba, a korábbi PolicyMaker-elemek migrálására pedig eszközt jelentetett meg.[9]
Windows XP, Vista és Windows Server 2003 32 és 64 bites változatai alatt külön kliensprogramot („csoportházirend-beállítások ügyféloldali kiterjesztései”) kell telepíteni a Group Policy Preferences érvényre jutásához;[10][11][12][13][14][15] ez a Windows 2008, 2008 R2 és Windows 7 operációs rendszerekbe már beépítésre került.
A Group Policy Preferences számos új beállítási lehetőséget tartalmaz. Míg a házirendek kötelezően érvényesülnek, a házirend-beállítások többnyire a kezdeti beállítás után a felhasználó által átállíthatók. Finomabban hangolható az is, hogy a beállítások hol jussanak érvényre (targeting).
Helyi házirend
A helyi házirend (Local Group Policy, LGP) az Active Directoryval használt csoportházirendek egyszerűbb változata, a secpol.msc-vel szerkeszthető. A Windows Vista előtti verziókban az LGP csak egyetlen számítógépre vonatkozik, és nem lehet egyes felhasználóknak vagy csoportoknak egyedi beállításokat konfigurálni vele. Kevesebb beállítást is kezel, mint a teljes értékű csoportházirend. Az LGP egyszerűen a beállításjegyzék HKLM kulcsa alá viszi fel a házirendeket; a felhasználónkénti beállításokat manuálisan úgy lehet megoldani, hogy át kell másolni a HKCU vagy a megfelelő HKU kulcsok alá. A csoportházirendek és a beállításjegyzék kapcsolatáról több információ található a TechNeten.[16] Az LGP egyaránt használható tartományi számítógépen és a Windows XP Home Edition-ön.
A Windows Vista és a Windows 7 támogatja a többszörös helyi házirendeket (Multiple Local Group Policy objects, MLGPO), aminek segítségével felhasználónként is lehet házirendet állítani.[17]
Biztonság
Bár a csoportházirendek nagyban megkönnyítik a vállalati Windows-rendszergazda dolgát, önmagukban nem nyújtanak elegendő védelmet egy rossz szándékú felhasználóval szemben. Ennek okai:
- A csoportházirendek korlátozásait a célzott alkalmazások tartatják be. Sok esetben ez csak annyit jelent, hogy a felhasználói felület adott funkcióhoz vezető részét tiltják le, de a funkció alacsonyabb szintű elérését nem akadályozzák meg.[18] Például letiltható, hogy az Intézőben látsszon a C: meghajtó, de más fájlkezelőből – pl. a Total Commanderből látszani fog. Hasonlóan, megtiltható a regedit.exe futtatása, de ez nem gátolja meg a felhasználót abban, hogy más programmal a beállításjegyzéket módosítsa.
- Ha a felhasználónak helyi rendszergazdai jogai vannak a számítógépen, a beállításjegyzék-kulcsokhoz tartozó jogosultságok módosításával akár teljes mértékben megakadályozhatja a csoportházirendek érvényre jutását.[19]
- A felhasználó megakadályozhatja, hogy az alkalmazás kiolvassa a rá vonatkozó csoportházirend-értékeket, így potenciálisan alacsonyabb biztonsággal futtathat alkalmazásokat.[20]
Rendszerházirend
A Windows 2000-es csoportházirendek megjelenése előtt, már a Windows 98 alatt is volt lehetőség egyes felhasználói beállítások „lezárására”, ha még nem is teljesen automatizált és központosított módon. A rendszerházirend-szerkesztő (Policy Editor, poledit.exe) programmal már lehetőség volt pl. a Vezérlőpult hardverekkel és jelszavakkal kapcsolatos beállításainak, a Start menü Futtatás parancsának, a rendszerleíró adatbázis szerkesztésére szolgáló eszközöknek és az MS-DOS parancssornak a letiltására – de csak akkor, ha a számítógépen a felhasználói fiókok használatát engedélyezték.[21] A házirendet a Windows 98 a Config.pol fájlból olvassa be, akár windowsos, akár Novell NetWare-es hálózati megosztásról.[22] A Windows 98-as rendszerházirendeket pl. a Novell ZENworksben is lehetett használni a felhasználók lehetőségeinek korlátozására.
Jegyzetek
- ↑ TechRepublic: IntelliMirror: What it is and what it isn't
- ↑ Microsoft TechNet: What is IntelliMirror?
- ↑ Microsoft Download Center: Group Policy Settings Reference for Windows and Windows Server
- ↑ a b Windows NT 4.0 System Policies. [2015. július 17-i dátummal az eredetiből archiválva]. (Hozzáférés: 2015. február 6.)
- ↑ Microsoft terméktámogatás: HOW TO: Delegate Authority for Editing a Group Policy Object (GPO)
- ↑ MSDN: Implementing Registry-based Policy
- ↑ Software Online: Csoportházirend összefüggése a regisztrációs adatbázissal[halott link]
- ↑ Gál Tamás: Csoportházirend II.
- ↑ Group Policy Preference Migration Tool (GPPMIG). [2009. december 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2015. október 27.)
- ↑ Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows XP rendszerhez (KB943729)
- ↑ Download: Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729)
- ↑ Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Vista rendszerhez (KB943729)
- ↑ Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Vista x64 Edition rendszerhez (KB943729)
- ↑ Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Server 2003 rendszerhez (KB943729)
- ↑ Download: Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)
- ↑ Group Policy Settings Reference[halott link]
- ↑ Step-by-Step Guide to Managing Multiple Local Group Policy Objects
- ↑ Raymond Chen, "Shell policy is not the same as security" Archiválva 2008. február 3-i dátummal a Wayback Machine-ben
- ↑ Mark Russinovich's technical blog: Circumventing Group Policy Settings. [2010. május 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. május 1.)
- ↑ Mark Russinovich's technical blog: Circumventing Group Policy as a Limited User. [2010. április 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. május 1.)
- ↑ Microsoft terméktámogatás: A házirendek szerkesztése
- ↑ TechNet: Windows 98 – System Configuration – System Policies
Fordítás
Ez a szócikk részben vagy egészben a Group Policy című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.
További információk
- Group Policy Team Blog
- Windows Server Group Policy Home
- Microsoft Group Policy page
- GPanswers.com Group Policy (Community 3rd Party Resource)
- Group Policy Center (Community 3rd Party Resource)
- The Group Policy Management Console (GPMC)
- Step-by-Step Guide to Managing Multiple Local Group Policy Objects
- Group Policy Settings (in Excel format) and registry key equivalents, from Microsoft[halott link]
- Csoportházirend-referencia (magyarul)
- Felhasználószintű csoportházirend-kezelés (magyarul)
- Gál Tamás: Csoportházirend I. és Csoportházirend II. (magyarul)