Lisalugemiseks
Windowsi kasutajate tsentraalne haldamine
Group Policy on vahend Active Directory arvutite ja kasutajate
tsentraalseks haldamiseks. Group Policy abil on võimalik kontrollida
süsteemi registri seadeid, tarkvara installeerimist, sisse ja
väljalogimisskripte ning Internet Explorer'i seadeid.
Group Policy seadeid hoitakse Group Policy objektidena (GPO). Üks GPO
võib olla seotud (ja seeläbi kehtida) sadadele arvutitele ja
kasutajatele. Iga arvuti ja kasutaja kohta saab ühes domeenis
eksisteerida ainult üks Group Policy kogum, mis võib koosneda mitmest
GPO'st.
Arvutile kehtivad Group Policy seaded laetakse operatsioonisüsteemi
üleslaadimisel ning kasutaja kohta käivad seaded siis kui kasutaja
sisse logib. Kuigi Group Policy on peamiselt mõeldud kasutamiseks Ative
Directory domeenis saab seda otstarbekalt kasutada ka eraldiseisva
arvuti juures piiramaks kasutaja õigusi ning reguleerimaks mõningaid
operatsioonisüsteemi seadeid, mille jaoks kasutajaliides puudub.
Group Policy seadete muutmiseks tuleb Windows XP'ga kaasa vaheleht
(snapin) „gpedit.msc“. Vahelehe vasakul pool on näha kohaliku arvuti
Group Policy kaks peamist kategooriat:
- Computer Configuration
- User Configuration
- Not Configured
- Enabled
- Disabled
Vaikimisi on kõik valikud alguses Not Configured ja kehtib valiku
kirjelduses antud vaikimisi olukord. Vastavalt administraatori
vajadustele saab valiku kas kinnitada või tühistada. Seda, mis mõlemas
olekus toimub saab samuti lugeda valiku kirjeldusest.
Group Policy'ga seotud failid asuvad kataloogis:
C:\WINDOWS\system32\GroupPolicy
See kataloog sisaldab kolme alamkataloogi:
Adm – Sisaldab seadete malle (.adm failid), mis on Group Policy'st valitavad.
Machine Sisaldab „registry.pol“ faili, mis sisaldab Group Policy
Computer Configuration alajaotuse aktiivseid valikuid esindavaid
registriseadeid. Need seaded lisatakse süsteemi registrisse
operatsioonisüsteemi alglaadimisel. Kui arvutile on läbi Group Policy
seatud algkäivitus või sulgemisskripte, siis on need selle kataloogi
alamkataloogis „Scripts“.
User Folder Sisaldab „registry.pol“ faili, mis sisaldab Group Policy
User Configuration ajajaotuse aktiivseid valikuid esindavaid
registriseadeid. Need seaded lisatakse süsteemi registrisse kui
kasutaja sisse logib. Kui arvutile on läbi Group Policy seatud
algkäivitus või sulgemisskripte, siis on need selle kataloogi
alamkataloogis „Scripts“. Lisaks sisaldab alamkataloog „Microsoft\IEAK“
registirvõtmeid, mis vastavad Group Policy alamjaotuse „\User
Configuration\Windows Settings\Internet Explorer Maintenance“ all
tehtud valikutele.
Lisaks on ülalmainitud kataloogis veel „GPT.ini“ fail, mis sisaldab informatsiooni lisatud mallide kohta.
Group Policy seadeid kontrollitakse ja vajadusel lisatakse registrisse
automaatselt iga 90 minuti järel ning loomulikult ka siis kui toimub
operatsioonisüsteemi algkäivitus ja kasutaja sissselogimine.
GPedit.msc kasutamine
Kõige lihtsam on Group Policy vahelehte kätte saada käivitades
START>Run kirjutada tekstialasse „gpedit.msc“ ning vajutada „Run“
Nagu juba öeldud on valikud jaotatud kahte suurde ossa. Kuna otsida
pole valikute seast võimalik tuleb sobiva seade leidmiseks teada selle
täpset asukohta või otsida võimalikku sobivat seadet alajaotuste järgi.
Kui sobiv seade on leitud tuleb sellel hiirega teha topeltkõps ja
avanenud aknast valida sobiv seade olek. Samas aknas on võimalik
„Explain“ vahelehelt lugeda seade kohta käivat pikemat selgitust. On
võimalik olukord, kus Computer Configuration'i ja User Configuration'i
all on sama seade. Sellisel juhul kehtib reegel, et Computer
Configuration'i all olev seade on tähtsam kui User Configuration'i all
olev seade v.a. juhul kui Computer Configuration'i all olev seade on
olekus „Not Configured“
Valik Group Policy seadeid
Machine configuration\Administrative templates\System
*Turn off Autoplay
Enabled {not configured} Keelab CDde ja DVDde automaatse käivitamise.
Machine configuration\Administrative templates\System\logon
*Don't display the Getting Started welcome screen at logon
Enabled {not configured} – Ei kuvata uutele kasutajatele mõeldud Windows'i kasutusõpetust.
Machine configuration\Administrative templates\System\Remote assistance
*Solicited Remote Assistance
Disabled {Not configured} – Keelav sissetulevad Remote Assistance ühendused.
*Offer Remote Assistance
Disabled {Not configured} – Keelab väljaminevad Remote Assistance ühendused.
Machine configuration\Administrative templates\System\system restore
*Turn off System Restore
Enabled {Not configured} – Keerab kinni System Restore teenuse
*Turn off Configuration
Enabled {Not configured} – Ei luba System Restore vahelehel seadeid muuta.
Machine configuration\Administrative templates\System\user profiles
*Delete cached copies of roaming profiles
Enabled {Not configured} – Allalaetud võrguprofiilid kustutatakse kui kasutaja välja logib.
*Only allow local user profiles
Enabled {Not configured} – Lubatud on ainult kohalikud profiilid.
Machine configuration\Administrative templates\Windows components\Internet explorer
*Make proxy settings permachine (rather than peruser)
Enabled {Not configured} – Internet Exploreri proxi seaded on kõigile masina kasutajatele samad.
*Disable Automatic Install of Internet Explorer components
Enabled {Not configured} – Internet Explorer'i komponente ei installeerita automaatselt.
Machine configuration\Administrative templates\Windows components\windows installer
*Turn off creation of System Restore Checkpoints
Enabled {Not configured} – System Restore Checkpointe enam ei looda.
Machine configuration\Administrative templates\Windows components\windows messenger
*Do not allow Windows Messenger to be run
Enabled {Not configured} – Windows Messenger'i ei saa käivitada.
*Do not automatically start Windows Messenger initially
Enabled {Not configured} – Windows Messenger'i ei käivitata kui kasutaja sisse logib.
Machine configuration\Administrative templates\Windows components\windows update
*Allow Automatic Updates immediate installation
Enabled {Not Configured} – Automaatselt allalaetud operatsioonisüsteemi täiendusi võib kohe
installeerida.
Machine configuration\Windows settings\Security settings\local policies\security options
*Devices: Allowed to format and eject removable media
Administrators and Interactive Users {Administrators} – kasutajad, kes tohivad formateerida
lisaseadmeid (Näiteks USB pulki)
*Interactive logon: Do not display last user name
Enabled {Disabled} – Viimasena sisselogitud kasutaja nime ei näidata
*Interactive logon: Do not require CTRL+ALT+DEL
Enabled {Disabled} – Sisselogimisel ei pea kõigepealt ctrlaltdel vajutama
*Interactive logon: Number of previous logons to cache (in case domain controller is not available)
0 logons {10} – ei peeta meeles ühegi viimase kasutaja logiandmeid.
User configuration\Administrative Templates\control panel
*Force classic Control Panel Style
Enabled {Not configured} – Control Panel'it näidatakse klassikalises stiilis.
User configuration\Administrative Templates\control panel\add or remove programs
*Remove Add or Remove Programs
Enabled {Not configured} – kasutajale ei kuvata Add or Remove vahelehte.
User configuration\Administrative Templates\control panel\printers
*Browse the network to find printers
Enabled {Not configured} – kasutaja ei saa võrgust printereid otsida
*Prevent deletion of printers
Enabled {Not configured} – kasutaja ei saa printereid kustutada
User configuration\Administrative Templates\desktop
*Prohibit user from changing My Documents path
Enabled {Not configured} – Kasutaja ei saa My Documents asukohta muuta
User configuration\Administrative Templates\desktop\active desktop
*Disable Active Desktop
Enabled {Not configured} – Active Desktop'i ei saa kasutada.
User configuration\Administrative Templates\network\network connections
*Prohibit access to properties of components of a LAN connection
Enabled {Not configured} – kasutaja ei pääse juurde võrguseadetele
User configuration\Administrative Templates\Start menu and taskbar
*Remove links and access to Windows Update
Enabled {Not Configured} – kasutajale ei kuvata Windows Update linki
*Add Logoff to the Start Menu
Enabled {Not configured} – Start menüüs kuvatakse LogOff valikut
*Clear history of recently opened documents on exit
Enabled {Not configured} – ei jäeta meelde viimati avatud dokumente
*Turn off personalized menus
Enabled {Not configured} – personaliseeritud menüüsid ei kasutata
*Force classic Start Menu
Enabled {Not configured} – Start menüüd näidatakse klassikalises stiilis.
*Do not display any custom toolbars in the taskbar
Enabled {Not configured} – Kasutaja ei saa taskbar'ile lisada oma menüüsid.
User configuration\Administrative Templates\system\CntrAltDel options
*Remove Lock Computer
Enabled {Not configured} – kasutaja ei saa arvtit lukustada
*Remove Change Password
Enabled {Not configured} – kasutaja ei saa parooli muuta