Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa
Modul: Kreiranje i konfiguracija grupnih polisa
Autor: Test Instruktor
Naziv jedinice: Upravljanje objektima grupnih polisa
Materijali vezani uz ovu lekciju:
-
Test upravljanje objektima grupnih polisa -
Upravljanje objektima grupnih polisa (PDF dokument)
GPMC (Group Policy Management konzola) nudi brojne mogućnosti kojima možemo da upravljamo i održavamo infrastrukturu grupnih polisa. Neki od zadataka su:
- Backup i restauracija objekata grupnih polisa
- Kopiranje objekata grupnih polisa
- Importovanje postavki iz objekata grupnih polisa
- Modeliranje i izveštavanje rezultata grupnih polisa (Group Policy results)
Backup i restauracija GPOs
Sigurnost i upravljanje infrastrukturom aktivnog direktorijuma najviše leži u grupnim polisama. Iz tog razloga, od kritičnog je značaja planiranje i održavanje strategije Backup objekata grupnih polisa koje se nalaze unutar našeg okruženja. GPMC nudi Backup karakteristiku uz pomoć koje možemo da sačuvamo individualne objekte grupnih polisa (GPOs) ili ceo set GPOs koji je konfigurisan u našem domenu. Backup funkcija takođe može da se iskoristi i za eksportovanje GPOs koje treba da budu migrirani ili importovani u druge domene ili šume aktivnog direktorijuma.
GPMC Backup karakteristika čuva GPOs u destinacionom folderu koji određujemo u toku procesa Backup-a. Kako bismo izvršili Backup, moramo da imamo dozvolu Read na objektu grupne polise i dozvolu Write na folderu u koji planiramo da smestimo GPO. Preporučuje se da destinacioni folder za GPO Backup bude zaštićen i da samo autorizovani korisnici mogu da imaju pristup folderu.
Potrebno je koristiti sledeće korake da bismo Backup-ovali individualni objekat grupne polise (GPO) unutar domena:
1. U konzoli GPMC - Group Policy Management Console, navigiramo do kontejnera Group Policy Objects.
2. Da bismo Backup-ovali sve GPOs u domenu, desni klik na Group Policy Objects kontejner i kliknemo na Back Up All. Ako želimo da Backup-ujemo samo jedan objekat GPO tada kliknemo na određenu polisu, desni klik, opcija Back Up (Slike 1 i 2).

Slika 1: Backup svih GPO

Slika 2: Backup pojedinačnih GPO
3.U polju Location upisujemo putanju koja vodi do foldera u kom će biti smešten GPO Backup. Takođe možemo da dodamo i opis koji se odnosi na zadatak Backup-a (Slika 3).

Slika 3: Putanja do foldera u kome će se čuvati Backup GPO
4.Kliknemo na dugme Back Up kako bi započeo proces kreiranja kopija (Backup-a) GPO objekata (Slika 4).

Slika 4: Izveštaj o Backup-u GPO
GPMC konzola takođe dozvoljava administratorima da upravljaju i restauriraju objekte grupnih polisa. Tehnički, svaki objekat GPO se Backup-uje odvojeno i sadrži informacije o verziji, vremenu Backup-a i opis. Ovo nam pomaže da restauriramo ili najsvežiju verziju specifičnog objekta grupne polise ili raniju verziju ako je potrebno. Po redu da bismo mogli da izvršimo restauraciju GPO, moramo da imamo privilegije koje nam omogućavaju da kreiramo objekte grupnih polisa u domenu i Read dozvola za folder u kojem se nalaze objekti grupnih polisa za koje je izvršen Backup.
Potrebno je koristiti sledeće korake prilikom restauracije GPOs unutar domena:
- U GPMC konzoli, navigiramo do Group Policy Object kontejnera.
- Da bismo upravljali objektima grupnih polisa (GPOs) za koje smo izvršili Backup, desni klik na Group Policy Object kontejner i zatim kliknemo na Manage Backups. Otvara nam se Manage Backups dijalog boks (Slike 5 i 6).

Slika 5: GPMC - Manage Backups

Slika 6: Dijalog Manage Backups
3.Selektujemo GPO objekat koji želimo da restauriramo i kliknemo na dugme Restore. Možemo takođe da iskoristimo i View Settings dugme da vidimo izveštaj o tome koje postavke su konfigurisane unutar objekta grupne polise.
Kopiranje objekata grupnih polisa (GPOs)
Copy karakteristika je ugrađena u GPMC konzolu i nudi lak način migracije postavki grupnih polisa iz jednog domena u drugi. Da bismo mogli da realizujemo ovu operaciju, potrebna nam je dozvola Read na objektu grupne polise u izvornom domenu i dozvola Write u destinacionom domenu (domenu u koji želimo da migriramo GP postavke) da bismo mogli da kreiramo novi GPO. Da bismo iskopirali GPO, potrebno je da kliknemo desnim klikom na GPO i zatim kliknemo na Copy. Nakon toga možemo da upravljamo do destinacionog domena, desni klik na Group Policy Object kontejner i kliknemo na Paste. Cross-Domain Copying Wizard će se pojaviti da nam olakša proces kopiranja GPOs. Čarobnjak će možda od nas tražiti konfiguraciju Migration Table (tabele migracije) da bi mogao da kompletira proces kopiranja GPO u drugi domen. Migration Table se koristi za prevođenje specifičnih GPO informacija koje možda ne odgovaraju u potpunosti novom domenu. Na primer, možda ćemo imati GPO koji je konfigurisan da nudi preusmeravanje foldera za korisnike koji se nalaze u izvornom domenu. Kada pokušamo da kopiramo GPO u novi destinacioni domen, tabela migracije (Migration Table) se može iskoristiti za određivanje novih URL informacija koje se odnose na preusmeravanje foldera koje su potrebne novom domenu.
Importovanje postavki objekata grupnih polisa (Group Policy Object Settings)
U nekim situacijama, možda ćemo morati da iskopiramo konfiguraciju objekta grupne polise između dve lokacije koje nisu konektovane. Na primer, da bismo testirali grupnu polisu u laboratorijskom okruženju, možda ćemo morati da implementiramo odobrene GPO konfiguracije u našem produktivnom okruženju. Naš prvi korak bi bio kreiranje Backup objekata grupnih polisa. Nakon toga možemo da iskopiramo Back up File-ove na Removable Drive ili na određenu deljenu mrežnu lokaciju. Finalni korak je kreiranje novog objekta grupne polise ili prekopiranje postojećeg GPO importovanjem Backup-ovanih postavki grupne polise koje se nalaze na Removable Drive-u ili na mrežnoj lokaciji. U ovom scenariju, Migration Table bi takođe trebalo da se iskoristi za određivanje Domain-Specific postavki kao što su sigurnosne grupe i UNC staze.
Modeliranje i izveštavanje rezultata grupnih polisa (Modeling and Reporting)
Windows Server 2008 sakuplja podatke o procesuiranju grupnih polisa i smešta informacije u WMI bazu podataka na lokalnom kompjuteru. Ove informacije sadrže listu, sadržaj i Logging informacije za svaki procesuirani objekat grupne polise i mogu se iskoristiti za određivanje kako su primenjene postavke polise na korisnike i kompjutere. Po arhitekturi, ova karakteristika se naziva Resultant Set of Policy (RsoP). RsoP može da se startuje na dva načina, Logging Mode i Planning Mode. Logging Mode nudi informacije o celokupnim rezultatima postavki polise koje se odnose na postojećeg korisnika ili kompjuter. Planning Mode nudi metod za simulaciju rezultata postavki polise koja može da se primeni na korisnika ili na kompjuter na osnovu specifičnih promenjivih.
GPMC integriše Logging & Planning načine rada RsoP-a. Planning Mode se odnosi na Group Policy Modeling, a Logging Mode se odnosi na Group Policy Results.
Group Policy Modeling: Group Policy Modeling nudi mogućnost odrađivanja „Šta-ako“ (What-if) scenarija na osnovu trenutne infrastrukture grupnih polisa. Na primer, možda ćemo imati korisnika koji se prebacuje u drugo odeljene unutar organizacije. Verovatno ćemo želeti da proaktivno odredimo šta se može desiti korisničkom objektu u slučaju pomeranja korisnika iz svoje trenutne organizacione jedinice u novu roditeljsku organizacionu jedinicu. Group Policy Modeling čarobnjak može da se iskoristi za simulaciju i izveštaj o rezltatima postavki polisa, a da ne moramo stvarno da pomeramo pravi korisnički nalog.
Da bismo koristili Group Policy Modeling, moramo imati Generate Resultant Set of Policy dozvolu za domen ili za organizacionu jedinicu koja sadrži objekte na kojima želimo da startujemo upit. Domenski kontroler na kom je instaliran Windows Server 2003 ili Windows Server 2008 takođe mora da bude prisutan unutar okruženja po redu da bismo mogli da dobijemo odgovarajuće informacije za upit.
Modeling scenario možemo da startujemo koristeći dva metoda. Prvi metod je korišćenje Active Directory Users and Computers i desni klik na domen ili organizacionu jedinicu, zatim All Tasks, pa klik na Resultant Set of Policy (Planning). Drugi metod je korišćenje GPMC. Možemo da pristupimo čarobnjaku desnim klikom na Group Policy Modeling i nakon toga kliknemo na Group Policy Modeling Wizard. Oba metoda će rezultirati sa incijalnim dijalog boksom koji nam dozvoljava da dobijemo informacije o korisniku i kompjuteru koji učestvuju u simulaciji.
Resultat Group Policy Modeling scenarija prikazuje se u Extensive Report formatu. Group Policy Modeling izveštaj sadrži tri kartice koje zajedno prezentuju detaljne informacije o rezlutatu scenarija. Summary kartica nudi generalne detalje za konfiguraciju kompjutera ili korisnika, uključujući primenjene GPO i blokirane GPO zavisno od situacije. Query kartica nudi statističke informacije kao što su vreme kad je upit poslednji put startovan, koji domenski kontroler je procesuirao simulaciju i koji kriterijumi su korišćeni za simulaciju.
Group Policy Results: Group Policy Results nudi koristan metod za rešavanje problema sa namene postavki polisa za specifičnog korisnika ili kompjuter. Na primer, ako se pogrešna postavka u polisi kontinuirano primenjuje na korisnika, Group Policy Results može da nam pomogne da odredimo koja postavka polise je primenjena i red namene.
Group Policy Results se može startovati ili iz Active Directory Users and Computers konzole ili iz GPMC. Možemo da koristimo Active Directory Users and Computers zatim desni klik na specifični kompjuter ili na specifični korisnički nalog, klik na All Tasks i zatim klik na Resultant Set of Policy (Logging). U GPMC konzoli, možemo da pristupimo čarobnjaku desnim klikom na Group Policy Results i zatim klik na Group Policy Results Wizard. Kada startujemo čarobnjaka, treba da odredimo za koji kompjuter (lokalni ili neki udaljeni) želimo da napravimo upit. Nakon toga dobićemo listu korisničkih naloga koji su keširani na mašini i za koje možemo da dobijemo rezultat postavki polise.
Group Policy Results izveštaj sadrži tri kartice koje se odnose na GPO Processing Results. Summary kartica nudi generalnu rekapitulaciju o tome koji je objekat grupne polise primenjen ili blokiran za tog korisnika ili kompjuter koji testiramo. Settings kartica nudi listu svih postavki koje su primenjene preko grupne polise. Policy Events kartica nudi informacije koje se odnose na grupne polise o kojima se izveštava (Reported) na određenoj mašini.