Csoportházirend

A csoportházirend (Group Policy) a Microsoft operációs rendszereinek egy funkciója, amivel megoldható a felhasználók, a számítógépek és a felhasználói munkakörnyezetek viselkedésének és jogosultságainak szabályozása. A csoportházirend Active Directory környezetben lehetővé teszi az operációs rendszerek, alkalmazások és a felhasználók beállításainak központosított konfigurálását és menedzsmentjét. Leegyszerűsítve, a csoportházirenddel többek közt megszabható, hogy a felhasználó mit tehet és mit nem tehet meg a számítógépen. Bár a csoportházirendek alkalmazása nagyvállalati környezetben a legelterjedtebb, találkozhatunk vele iskolákban, kis- és középvállalkozásokban is. A csoportházirendeket gyakran arra használják, hogy potenciális biztonsági réseket zárjanak be vele, pl. tiltják a hozzáférést a Windows feladatkezelőjéhez, korlátozzák bizonyos mappákhoz a hozzáférést, tiltják a futtatható fájlok letöltését és így tovább.

A Microsoft IntelliMirror technológiájának részeként a csoportházirendek lényege a felhasználói támogatás költségeinek csökkentése. Egyéb IntelliMirror-technológiák közé tartoznak a vándorló profilok, a hálózatról lecsatlakoztatott számítógépek kezelése, a mappaátirányítás és a kapcsolat nélküli mappák.[1][2]

A csoportházirend építőköveinek, a csoportházirend-objektumoknak (Group Policy Object, GPO) használatához nem feltétlenül szükséges az Active Directory; a Novell a Windows 2000 óta támogatja a vándorló profilokat ZENworks Desktop Management termékében, a Windows XP óta pedig a csoportházirend-objektumokat is.

Bár gyárilag is számos csoportházirend jár az operációs rendszerhez (az XP/Windows 2003-ra mintegy 1700, a Vista/Windows 2008 párosra legalább 2700, a Windows 7/Windows 2008 R2-re több mint 3000 házirend vonatkozik[3]), ez a szám tetszőlegesen bővíthető további sablonok (admin templates, .ADM, illetve .ADMX) hozzáadásával. Ezek egyszerű szöveges állományok, amik a beállítások hierarchikus rendjét, a beállítható értékekre vonatkozó megkötéseket és az egyes beállítások alapértelmezett értékét tartalmazzák. A Microsoft is kiad bővítéseket pl. a Microsoft Office szabályozásához, de más gyártók termékeihez is készülnek ilyenek. Egyedi .ADM-fájlokkal szinte bármit meg lehet tenni, amihez egyébként a beállításjegyzék módosítása szükséges.

A csoportházirendek elődje, a System Policy a Windows NT-ben jelent meg.[4]

Áttekintés

A csoportházirend szabályozhatja a célobjektum (target) beállításjegyzékét, NTFS biztonsági leíróit, a rá vonatkozó auditálási és biztonsági házirendeket, a szoftvertelepítést, be- és kijelentkezési parancsfájlokat.

Az Active Directory-integrált csoportházirend alapvetően azokra a szervezeti egységekre (OU), helyekre (site) vagy tartományokra vonatkozik, amikhez hozzárendelik. A csoportházirend hatóköre (scope) tovább finomítható:

  • a „biztonsági szűrés” (security filtering) segítségével szabályozható, hogy az adott GPO milyen felhasználókra és csoportokra vonatkozik;
  • a Windows Management Instrumentation (WMI)-szűrés lehetővé teszi, hogy a GPO hatóköre egy WMI-szűrő eredményétől függően változzon (pl. legalább adott memóriával rendelkező számítógépek);
  • a Group Policy Preferences további szabályozást tesz lehetővé.

Az Active Directory Users and Computers (ADUC) eszköz „vezérlés delegálása” funkciójának segítségével a rendszergazda lehetőséget adhat arra, hogy egy arra kijelölt felhasználó szerkeszthesse egy csoportházirend beállításait. Ez technikailag a szervezeti egység biztonsági leíróinak módosításával történik.[5]

A GPO alkalmazása

A csoportházirend-kliens „pull” (lekéréses) modell alapján dolgozik. Bizonyos időközönként (ez véletlenszerű, 90 és 120 perc közötti érték, bár ez is szabályozható csoportházirenddel) összegyűjti a számítógépre, és a bejelentkezett felhasználóra (ha van ilyen) vonatkozó GPO-kat, és bejegyzi azokat a Windows beállításjegyzékének HKLM\Software\Policies, illetve HKCU\Software\Policies ágába[6][7] (Windows 2000-en és Windows NT-n a HKLM\Software\Microsoft\Windows\CurrentVersion\Policies, illetve HKCU\Software\Microsoft\Windows\CurrentVersion\Policies ágába). Ezután alkalmazza a beállításokat, amik ettől kezdve (vagy a következő bejelentkezés/rendszerindítás után, adott rendszerkomponens újraindítása után) befolyásolni fogják a házirenddel szabályozható rendszerkomponensek működését.

A csoportházirend frissítése és alkalmazása kikényszeríthető, Windows 2000-en a secedit refreshpolicy, Windows XP-n és afölött a gpupdate parancs futtatásával.[8]

Ha egy felhasználóra vagy számítógépre több, esetleg egymással ütköző házirend-beállítás vonatkozik, a következő sorrendben kerülnek végrehajtásra (a később végrehajtott felülírja a korábbit!):

  • helyi számítógép
  • hely (site)
  • tartomány
  • szervezeti egységek (OU) – a hierarchiában felülről lefelé haladva értékelődnek ki.

A Windows NT 4.0-ban használt System Policy-kban még nem korlátozták a beállításjegyzék elérését, a regisztrációs adatbázis bármelyik helyére írhattak a policyk, értékük pdeig megmaradt, amíg egy másik házirenddel vagy kézzel felülírásra nem kerültek.[4]

Csoportházirend-beállítások

A csoportházirend-beállítások (Group Policy Preferences) eredetileg a csoportházirendek külön termékként létező, PolicyMaker néven futó kiterjesztései voltak. A terméket a Microsoft felvásárolta, és integrálta a Windows Server 2008-ba, a korábbi PolicyMaker-elemek migrálására pedig eszközt jelentetett meg.[9]

Windows XP, Vista és Windows Server 2003 32 és 64 bites változatai alatt külön kliensprogramot („csoportházirend-beállítások ügyféloldali kiterjesztései”) kell telepíteni a Group Policy Preferences érvényre jutásához;[10][11][12][13][14][15] ez a Windows 2008, 2008 R2 és Windows 7 operációs rendszerekbe már beépítésre került.

A Group Policy Preferences számos új beállítási lehetőséget tartalmaz. Míg a házirendek kötelezően érvényesülnek, a házirend-beállítások többnyire a kezdeti beállítás után a felhasználó által átállíthatók. Finomabban hangolható az is, hogy a beállítások hol jussanak érvényre (targeting).

Helyi házirend

A helyi házirend (Local Group Policy, LGP) az Active Directoryval használt csoportházirendek egyszerűbb változata, a secpol.msc-vel szerkeszthető. A Windows Vista előtti verziókban az LGP csak egyetlen számítógépre vonatkozik, és nem lehet egyes felhasználóknak vagy csoportoknak egyedi beállításokat konfigurálni vele. Kevesebb beállítást is kezel, mint a teljes értékű csoportházirend. Az LGP egyszerűen a beállításjegyzék HKLM kulcsa alá viszi fel a házirendeket; a felhasználónkénti beállításokat manuálisan úgy lehet megoldani, hogy át kell másolni a HKCU vagy a megfelelő HKU kulcsok alá. A csoportházirendek és a beállításjegyzék kapcsolatáról több információ található a TechNeten.[16] Az LGP egyaránt használható tartományi számítógépen és a Windows XP Home Edition-ön.

A Windows Vista és a Windows 7 támogatja a többszörös helyi házirendeket (Multiple Local Group Policy objects, MLGPO), aminek segítségével felhasználónként is lehet házirendet állítani.[17]

Biztonság

Bár a csoportházirendek nagyban megkönnyítik a vállalati Windows-rendszergazda dolgát, önmagukban nem nyújtanak elegendő védelmet egy rossz szándékú felhasználóval szemben. Ennek okai:

  • A csoportházirendek korlátozásait a célzott alkalmazások tartatják be. Sok esetben ez csak annyit jelent, hogy a felhasználói felület adott funkcióhoz vezető részét tiltják le, de a funkció alacsonyabb szintű elérését nem akadályozzák meg.[18] Például letiltható, hogy az Intézőben látsszon a C: meghajtó, de más fájlkezelőből – pl. a Total Commanderből látszani fog. Hasonlóan, megtiltható a regedit.exe futtatása, de ez nem gátolja meg a felhasználót abban, hogy más programmal a beállításjegyzéket módosítsa.
  • Ha a felhasználónak helyi rendszergazdai jogai vannak a számítógépen, a beállításjegyzék-kulcsokhoz tartozó jogosultságok módosításával akár teljes mértékben megakadályozhatja a csoportházirendek érvényre jutását.[19]
  • A felhasználó megakadályozhatja, hogy az alkalmazás kiolvassa a rá vonatkozó csoportházirend-értékeket, így potenciálisan alacsonyabb biztonsággal futtathat alkalmazásokat.[20]

Rendszerházirend

A Windows 2000-es csoportházirendek megjelenése előtt, már a Windows 98 alatt is volt lehetőség egyes felhasználói beállítások „lezárására”, ha még nem is teljesen automatizált és központosított módon. A rendszerházirend-szerkesztő (Policy Editor, poledit.exe) programmal már lehetőség volt pl. a Vezérlőpult hardverekkel és jelszavakkal kapcsolatos beállításainak, a Start menü Futtatás parancsának, a rendszerleíró adatbázis szerkesztésére szolgáló eszközöknek és az MS-DOS parancssornak a letiltására – de csak akkor, ha a számítógépen a felhasználói fiókok használatát engedélyezték.[21] A házirendet a Windows 98 a Config.pol fájlból olvassa be, akár windowsos, akár Novell NetWare-es hálózati megosztásról.[22] A Windows 98-as rendszerházirendeket pl. a Novell ZENworksben is lehetett használni a felhasználók lehetőségeinek korlátozására.

Jegyzetek

  1. TechRepublic: IntelliMirror: What it is and what it isn't
  2. Microsoft TechNet: What is IntelliMirror?
  3. Microsoft Download Center: Group Policy Settings Reference for Windows and Windows Server
  4. a b Windows NT 4.0 System Policies. [2015. július 17-i dátummal az eredetiből archiválva]. (Hozzáférés: 2015. február 6.)
  5. Microsoft terméktámogatás: HOW TO: Delegate Authority for Editing a Group Policy Object (GPO)
  6. MSDN: Implementing Registry-based Policy
  7. Software Online: Csoportházirend összefüggése a regisztrációs adatbázissal[halott link]
  8. Gál Tamás: Csoportházirend II.
  9. Group Policy Preference Migration Tool (GPPMIG). [2009. december 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2015. október 27.)
  10. Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows XP rendszerhez (KB943729)
  11. Download: Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729)
  12. Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Vista rendszerhez (KB943729)
  13. Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Vista x64 Edition rendszerhez (KB943729)
  14. Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Server 2003 rendszerhez (KB943729)
  15. Download: Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)
  16. Group Policy Settings Reference[halott link]
  17. Step-by-Step Guide to Managing Multiple Local Group Policy Objects
  18. Raymond Chen, "Shell policy is not the same as security" Archiválva 2008. február 3-i dátummal a Wayback Machine-ben
  19. Mark Russinovich's technical blog: Circumventing Group Policy Settings. [2010. május 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. május 1.)
  20. Mark Russinovich's technical blog: Circumventing Group Policy as a Limited User. [2010. április 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. május 1.)
  21. Microsoft terméktámogatás: A házirendek szerkesztése
  22. TechNet: Windows 98 – System Configuration – System Policies

Fordítás

Ez a szócikk részben vagy egészben a Group Policy című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

További információk

  • Group Policy Team Blog
  • Windows Server Group Policy Home
  • Microsoft Group Policy page
  • GPanswers.com Group Policy (Community 3rd Party Resource)
  • Group Policy Center (Community 3rd Party Resource)
  • The Group Policy Management Console (GPMC)
  • Step-by-Step Guide to Managing Multiple Local Group Policy Objects
  • Group Policy Settings (in Excel format) and registry key equivalents, from Microsoft[halott link]
  • Csoportházirend-referencia (magyarul)
  • Felhasználószintű csoportházirend-kezelés (magyarul)
  • Gál Tamás: Csoportházirend I. és Csoportházirend II. (magyarul)
Sablon:Windows-komponensek
  • m
  • v
  • sz
A Microsoft Windows komponensei
Menedzsmenteszközök
  • CMD.EXE
  • Vezérlőpult
  • Eszközkezelő
  • Lemezkarbantartó
  • Töredezettségmentesítő
  • Illesztőprogram-ellenőrző
  • Eseménynapló
  • IExpress
  • Management Console
  • Netsh
  • Windows Error Reporting
  • Recovery Console
  • Resource Monitor
  • ScanDisk
  • Sysprep
  • System Configuration
  • System File Checker
  • System Policy Editor
  • System Restore
  • Task Manager
  • Windows Easy Transfer
  • Windows Installer
  • Windows PowerShell
  • Windows Update
  • WinPE
  • WinRE
  • WMI
Alkalmazások
Shell
Szolgáltatások
  • Service Control Manager
  • BITS
  • CLFS
  • Multimedia Class Scheduler
  • Shadow Copy
  • Task Scheduler
  • Error Reporting
  • Wireless Zero Configuration
Fájlrendszerek
Szerver
  • Tartományok
  • Active Directory
  • Csoportházirend
  • DNS
  • Roaming user profiles
  • Folder redirection
  • Distributed Transaction Coordinator
  • MSMQ
  • Windows Media Services
  • Rights Management Services
  • IIS
  • Remote Desktop Services
  • WSUS
  • SharePoint
  • Network Access Protection
  • PWS
  • DFS Replication
  • Remote Differential Compression
  • Print Services for UNIX
  • Remote Installation Services
  • Windows Deployment Services
  • System Resource Manager
  • Hyper-V
  • Server Core
Architektúra
  • Architecture of Windows NT
  • Startup process
  • CSRSS
  • Desktop Window Manager
  • Portable Executable
  • Graphics Device Interface
  • hal.dll
  • I/O request packet
  • Imaging Format
  • Kernel Transaction Manager
  • Library files
  • Logical Disk Manager
  • LSASS
  • MinWin
  • NTLDR
  • Ntoskrnl.exe
  • Object Manager
  • Open XML Paper Specification
  • Regisztrációs adatbázis
  • Resource Protection
  • Security Accounts Manager
  • Server Message Block
  • Shadow Copy
  • SMSS
  • System Idle Process
  • USER
  • Win32 console
  • Winlogon
Biztonság
  • Action Center
  • BitLocker
  • Data Execution Prevention
  • Family Safety
  • Kernel Patch Protection
  • Mandatory Integrity Control
  • Protected Media Path
  • Felhasználói fiókok felügyelete
  • User Interface Privilege Isolation
  • Windows Defender
  • Windows Firewall
Kompatibilitás
  • COMMAND.COM
  • Windows Services for UNIX
    • POSIX subsystem
    • Interix
  • Virtual DOS machine
  • Windows on Windows
  • WoW64
API
Megszűnt
Játékok
  • 3D Pinball
  • Chess Titans
  • FreeCell
  • Hearts
  • Hover!
  • InkBall
  • Hold 'Em
  • Mahjong Titans
  • Minesweeper
  • Purble Place
  • Reversi
  • Solitaire
  • Spider Solitaire
  • Tinker
Egyebek
  • ActiveMovie
  • Névjegytár
  • Backup and Restore
  • Cardfile
  • CardSpace
  • Diagnostics
  • DriveSpace
  • DVD Maker
  • DVD Player
  • Fax
  • File Manager
  • File Protection
  • HyperTerminal
  • Internet Mail and News
  • Mail
  • Media Control Interface
  • Meeting Space
  • Messaging
  • Messenger
  • NetMeeting
  • Next-Generation Secure Computing Base
  • NTBackup
  • Outlook Express
  • Photo Gallery
  • Program Manager
  • Video for Windows
  • Oldalsáv
  • Windows SideShow
  • WinHelp
  • WinSAT
  • Write
  • Informatika Informatikai portál • összefoglaló, színes tartalomajánló lap