Windowsi kasutajate tsentraalne haldamine

Group Policy on vahend Active Directory arvutite ja kasutajate tsentraalseks haldamiseks. Group Policy abil on võimalik kontrollida süsteemi registri seadeid, tarkvara installeerimist, sisse­ ja väljalogimisskripte ning Internet Explorer'i seadeid.
Group Policy seadeid hoitakse Group Policy objektidena (GPO). Üks GPO võib olla seotud (ja seeläbi kehtida) sadadele arvutitele ja kasutajatele. Iga arvuti ja kasutaja kohta saab ühes domeenis eksisteerida ainult üks Group Policy kogum, mis võib koosneda mitmest GPO'st.
Arvutile kehtivad Group Policy seaded laetakse operatsioonisüsteemi üleslaadimisel ning kasutaja kohta käivad seaded siis kui kasutaja sisse logib. Kuigi Group Policy on peamiselt mõeldud kasutamiseks Ative Directory domeenis saab seda otstarbekalt kasutada ka eraldiseisva arvuti juures piiramaks kasutaja õigusi ning reguleerimaks mõningaid operatsioonisüsteemi seadeid, mille jaoks kasutajaliides puudub.
Group Policy seadete muutmiseks tuleb Windows XP'ga kaasa vaheleht (snap­in) „gpedit.msc“. Vahelehe vasakul pool on näha kohaliku arvuti Group Policy kaks peamist kategooriat:

• Computer Configuration
• User Configuration

Kategooriad jaotuvad mitmeteks alamkategooriateks, millede alla kuuluvad võimalikud valikud (nähtavad vahelehe paremal poolel). Klikkides mõnel valikul ilmub selle detailne kirjeldus ning olek. Valik võib olla ühes kolmest võimalikust olekust:

• Not Configured
• Enabled
• Disabled

Vaikimisi on kõik valikud alguses Not Configured ja kehtib valiku kirjelduses antud vaikimisi olukord. Vastavalt administraatori vajadustele saab valiku kas kinnitada või tühistada. Seda, mis mõlemas olekus toimub saab samuti lugeda valiku kirjeldusest.

Group Policy'ga seotud failid asuvad kataloogis:
C:\WINDOWS\system32\GroupPolicy

See kataloog sisaldab kolme alamkataloogi:
Adm – Sisaldab seadete malle (.adm failid), mis on Group Policy'st valitavad.
Machine ­ Sisaldab „registry.pol“ faili, mis sisaldab Group Policy Computer Configuration alajaotuse aktiivseid valikuid esindavaid registriseadeid. Need seaded lisatakse süsteemi registrisse operatsioonisüsteemi alglaadimisel. Kui arvutile on läbi Group Policy seatud algkäivitus või sulgemisskripte, siis on need selle kataloogi alamkataloogis „Scripts“.
User Folder ­ Sisaldab „registry.pol“ faili, mis sisaldab Group Policy User Configuration ajajaotuse aktiivseid valikuid esindavaid registriseadeid. Need seaded lisatakse süsteemi registrisse kui kasutaja sisse logib. Kui arvutile on läbi Group Policy seatud algkäivitus või sulgemisskripte, siis on need selle kataloogi alamkataloogis „Scripts“. Lisaks sisaldab alamkataloog „Microsoft\IEAK“ registirvõtmeid, mis vastavad Group Policy alamjaotuse „\User Configuration\Windows Settings\Internet Explorer Maintenance“ all tehtud valikutele.
Lisaks on ülalmainitud kataloogis veel „GPT.ini“ fail, mis sisaldab informatsiooni lisatud mallide kohta.
Group Policy seadeid kontrollitakse ja vajadusel lisatakse registrisse automaatselt iga 90 minuti järel ning loomulikult ka siis kui toimub operatsioonisüsteemi algkäivitus ja kasutaja sissselogimine.

GPedit.msc kasutamine

Kõige lihtsam on Group Policy vahelehte kätte saada käivitades START­>Run kirjutada tekstialasse „gpedit.msc“ ning vajutada „Run“
Nagu juba öeldud on valikud jaotatud kahte suurde ossa. Kuna otsida pole valikute seast võimalik tuleb sobiva seade leidmiseks teada selle täpset asukohta või otsida võimalikku sobivat seadet alajaotuste järgi.
Kui sobiv seade on leitud tuleb sellel hiirega teha topeltkõps ja avanenud aknast valida sobiv seade olek. Samas aknas on võimalik „Explain“ vahelehelt lugeda seade kohta käivat pikemat selgitust. On võimalik olukord, kus Computer Configuration'i ja User Configuration'i all on sama seade. Sellisel juhul kehtib reegel, et Computer Configuration'i all olev seade on tähtsam kui User Configuration'i all olev seade v.a. juhul kui Computer Configuration'i all olev seade on olekus „Not Configured“

Valik Group Policy seadeid
Machine configuration\Administrative templates\System

*Turn off Autoplay
Enabled {not configured} ­ Keelab CD­de ja DVD­de automaatse käivitamise.
Machine configuration\Administrative templates\System\logon

*Don't display the Getting Started welcome screen at logon
Enabled {not configured} – Ei kuvata uutele kasutajatele mõeldud Windows'i kasutusõpetust.
Machine configuration\Administrative templates\System\Remote assistance

*Solicited Remote Assistance
Disabled {Not configured} – Keelav sissetulevad Remote Assistance ühendused.

*Offer Remote Assistance
Disabled {Not configured} – Keelab väljaminevad Remote Assistance ühendused.
Machine configuration\Administrative templates\System\system restore

*Turn off System Restore
Enabled {Not configured} – Keerab kinni System Restore teenuse

*Turn off Configuration
Enabled {Not configured} – Ei luba System Restore vahelehel seadeid muuta.
Machine configuration\Administrative templates\System\user profiles

*Delete cached copies of roaming profiles
Enabled {Not configured} – Allalaetud võrguprofiilid kustutatakse kui kasutaja välja logib.

*Only allow local user profiles
Enabled {Not configured} – Lubatud on ainult kohalikud profiilid.
Machine configuration\Administrative templates\Windows components\Internet explorer

*Make proxy settings per­machine (rather than per­user)
Enabled {Not configured} – Internet Exploreri proxi seaded on kõigile masina kasutajatele samad.

*Disable Automatic Install of Internet Explorer components
Enabled {Not configured} – Internet Explorer'i komponente ei installeerita automaatselt.
Machine configuration\Administrative templates\Windows components\windows installer

*Turn off creation of System Restore Checkpoints
Enabled {Not configured} – System Restore Checkpointe enam ei looda.
Machine configuration\Administrative templates\Windows components\windows messenger

*Do not allow Windows Messenger to be run
Enabled {Not configured} – Windows Messenger'i ei saa käivitada.

*Do not automatically start Windows Messenger initially
Enabled {Not configured} – Windows Messenger'i ei käivitata kui kasutaja sisse logib.
Machine configuration\Administrative templates\Windows components\windows update

*Allow Automatic Updates immediate installation
Enabled {Not Configured} – Automaatselt allalaetud operatsioonisüsteemi täiendusi võib kohe
installeerida.
Machine configuration\Windows settings\Security settings\local policies\security options

*Devices: Allowed to format and eject removable media
Administrators and Interactive Users {Administrators} – kasutajad, kes tohivad formateerida
lisaseadmeid (Näiteks USB pulki)

*Interactive logon: Do not display last user name
Enabled {Disabled} – Viimasena sisselogitud kasutaja nime ei näidata

*Interactive logon: Do not require CTRL+ALT+DEL
Enabled {Disabled} – Sisselogimisel ei pea kõigepealt ctrl­alt­del vajutama

*Interactive logon: Number of previous logons to cache (in case domain controller is not available)
0 logons {10} – ei peeta meeles ühegi viimase kasutaja logiandmeid.
User configuration\Administrative Templates\control panel

*Force classic Control Panel Style
Enabled {Not configured} – Control Panel'it näidatakse klassikalises stiilis.
User configuration\Administrative Templates\control panel\add or remove programs

*Remove Add or Remove Programs
Enabled {Not configured} – kasutajale ei kuvata Add or Remove vahelehte.
User configuration\Administrative Templates\control panel\printers

*Browse the network to find printers
Enabled {Not configured} – kasutaja ei saa võrgust printereid otsida

*Prevent deletion of printers
Enabled {Not configured} – kasutaja ei saa printereid kustutada
User configuration\Administrative Templates\desktop

*Prohibit user from changing My Documents path
Enabled {Not configured} – Kasutaja ei saa My Documents asukohta muuta
User configuration\Administrative Templates\desktop\active desktop

*Disable Active Desktop
Enabled {Not configured} – Active Desktop'i ei saa kasutada.
User configuration\Administrative Templates\network\network connections

*Prohibit access to properties of components of a LAN connection
Enabled {Not configured} – kasutaja ei pääse juurde võrguseadetele
User configuration\Administrative Templates\Start menu and taskbar

*Remove links and access to Windows Update
Enabled {Not Configured} – kasutajale ei kuvata Windows Update linki

*Add Logoff to the Start Menu
Enabled {Not configured} – Start menüüs kuvatakse LogOff valikut

*Clear history of recently opened documents on exit
Enabled {Not configured} – ei jäeta meelde viimati avatud dokumente

*Turn off personalized menus
Enabled {Not configured} – personaliseeritud menüüsid ei kasutata

*Force classic Start Menu
Enabled {Not configured} – Start menüüd näidatakse klassikalises stiilis.

*Do not display any custom toolbars in the taskbar
Enabled {Not configured} – Kasutaja ei saa taskbar'ile lisada oma menüüsid.
User configuration\Administrative Templates\system\CntrAltDel options

*Remove Lock Computer
Enabled {Not configured} – kasutaja ei saa arvtit lukustada

*Remove Change Password
Enabled {Not configured} – kasutaja ei saa parooli muuta