Jump to content
  • entries
    47
  • comments
    96
  • views
    25802

συνοπτικός οδηγός Group Policy Preferences


afotakel

1213 views

 Share

Το θέμα ξαναπέρασε εδώ http://autoexec.gr/forums/thread/6637.aspx αλλά απλά ως αναφορά και ίσως κάποιοι να μην το είδανε. Το λέω γιατί τα GPP είναι πάρα πολύ καλό εργαλείο στο χέρια του αδμιν και δεν είδα συμμετοχή.

Τί είναι τα GPP:

Ουσιαστικά είναι προεκτάσεις πάνω στις δυνατότητες των GPO που μας δίνουν τη δυνατότητα να κάνουμε απλά πράγματα όμως που μέχρι τώρα ήταν δύσκολο έως ιδιαίτερα δύσκολο να τα κάνουμε. Ειδικότερα μάλιστα με την ευελιξία που μας παρέχουν τα GP.

 

Τι παραπάνω μου δίνουν;

Πάμε να δούμε κάποια χαρακτηριστικά από κοντά. Παρατηρήστε αρχικά ότι εμφανίζονται ως ξεχωριστή κατηγορία στο GPO:

 

 Clipboard-1 Clipboard-2

Οι επιλογές που υπάρχουν είναι (κατά τα γνωστά) ελαφρώς διαφορετικές στο κομμάτι user κ στο computer.

Environment: Μπορούμε να εισάγουμε environmental variables. Π.χ. αν θέλω όλοι να έχουν στο path τους το C:\tools μπορώ απλά να το προσθέσω. Μπορώ όμως να δώσω και UNC path! Π.χ. \\server1\tools

Εξαιρετικά βολικό για το τμήμα ΙΤ που δε χρειάζεται πλέον να περιφέρει τα εργαλεία τους σε κάθε πισί και να έχει να τα συγχρονίζει μεταξύ τους όποτε βγαίνει κάποια νέα έκδοση.

Files/Folders: Θέλω όλοι οι χρήστες να έχουν το αρχείο ή το φάκελο Tools κάτω από το Program Files και να τον ενημερώνουν αυτόματα; Άπλά το ορίζω εδώ και τέλος. Ούτε net use ούτε script ούτε τίποτα…

Registry: Ομοίως με τα παραπάνω. Αν θέλω το HKLM\System\Value να υπάρχει σε όλους και να έχει την τιμή 1, απλά το ορίζω εδώ.

Network shares: Τέρμα τα net use. Όλες οι αντιστοιχήσεις δίσκων γίνονται και από εδώ.

Shortcuts:Θέλετε όλοι οι χρήστες να έχουν μια συντόμευση πάνω στην επιφάνεια εργασίας που θα δείχνει στο \\server\apps\uselessApp.exe ? Εύκολο. Θέλετε να έχει και δικό του εικονίδιο; Ακόμα πιο εύκολο.

Data sources:Επιτέλους ένας εύκολος τρόπος να εγκαταστήσουμε DSNs στους clients για να βλέπει η εφαρμογή που έχουν το σωστό σερβερ. Ακόμα και αν η εφαρμογή που δουλεύουν οι χρήστες το κάνει μόνο της αυτό, έχω ένα πλεονέκτημα: Αν αλλάξει ο σερβερ, αλλάζω απλά τη ρύθμιση στο GPO και τελείωσα.

Devices:  Μπορώ να υποδείξω μια συσκευή από το πισί μου και να ορίσω αν θέλω οι χρήστες να την έχουν ενεργοποιημένη ή όχι στα πισιά τους. Κερασάκι στην τούρτα: Μπορώ να το ορίσω και για χρήστη. Οπότε ο χρήστης Χ δεν θα έχει πρόσβαση στο CD-ROM του ενώ ο Υ θα έχει.

Local Users and groups: Ένας πονοκέφαλος (που είχε για ασπιρίνη το scripting) είναι οι τοπικοί χρήστες και γκρουπ των πισιών. Αν ήθελα να δημιουργήσω σε 50 πισιά έναν τοπικό χρήστη με περιορισμένα δικαιώματα ήταν λίγο μπελάς. Πλέον όχι.

Network Options: Φτιάξτε συνδέσεις VPN και οι χρήστες θα τις πάρουν αυτόματα! Τέλος τα μεταμεσονύχτια τηλεφωνήματα από τους πωλητές που έχουν τους φορητούς και όλο ξεχνάνε πως ρυθμίζουν ή σβήνουν τη σύνδεση. Εννοείται ότι αν αλλάξουν οι συνδέσεις απλά αλλάζω τη ρύθμιση, έτσι;

Power Options: Ένα από τα συν των Vista είναι ότι μπορούμε να διαχειριστούμε τις ρυθμίσεις ενέργειας μέσω Group Policy. Τα ΧΡ δεν είχαν σχετική δυνατότητα (και το να βάλεις τις ρυθμίσεις με το ζόρι, απλά δεν τα συγκινεί). Πλέον μπορώ να ορίσω ότι όλα τα πισιά θα πέφτουν σε αδράνεια μετά από 2 ώρες αδράνειας. Πείτε το και στο οικονομικό σας τμήμα (με cc πάντα στον προϊστάμενό σας) να χαρεί.

Printers: Η ΜΣ άργησε πολύ να μας δώσει το προφανές: Έναν εύκολο τρόπο να αντιστοιχίζουμε εκτυπωτές σε χρήστες ή πισιά. Τελικά, τα τελευταία 3 χρόνια μας έδωσε 3 τρόπους. Ορίστε ο πιο πρόσφατος. Οπότε μπορείτε πλέον να ορίσετε ότι οπουδήποτε και αν συνδεθεί ο κ. Εκτυπωτίδης θα μπορεί πάντα να έχει προεπιλογή τον αγαπημένο του εκτυπωτή \\Server\PrionokordelaUltra

Scheduled tasks: Η χαρά του admin. Φτιάξτε μια χρονοπρογραμματισμένη ενέργεια και μοιράστε την σε όλους. Κερασάκι στην τούρτα το “immediate task” που θα εκτελεστεί άμα τη ενημερώσει της πολιτικής στα πισιά. Συνδυάζεται πολύ καλά με το files/folders. Αντιγράφετε ένα αρχείο και το ορίζετε πότε θέλετε να εκτελεστεί. Τί λέτε για ένα shutdown του πισιού όταν πάει 23:00;

Services: Όχι απλά τι θα τρέχει και τι όχι (έχουμε τις πολιτικές για αυτό) αλλά “Ως ποιός χρήστης θα τρέχει” και “τι θα κάνει άμα το service σκάσει”. Θέλετε να αλλάξετε για λόγους ασφαλείας τον κωδικό που χρησιμοποιεί ο SQL Server αλλά τον χρησιμοποιούν και άλλα 47 Instances στην εταιρεία; Πλέον δεν έχετε δικαιολογία. Θυμηθείτε μόνο να επανεκκινήσετε τα service με το που θα αλλάξετε τον κωδικό. Από την άλλη βέβαια μπορείτε απλά να ρυθμίσετε το recovery της σχετικής υπηρεσίας να επανεκκινήσει.

 

Υπενθύμιση για όλα τα παραπάνω: Προσέξτε ποιά ρύθμιση θα αλλάξετε. Εάν θέλετε να εφαρμόζεται στο χρήστη ή στο πισί. Εφαρμόστε πιλοτικά τις πολιτικές σε κάποιο/α πισιά ή χρήστες και μετά ρίξτε το στην παραγωγή.

 

Αυτό είναι όλο;

Σχεδόν. Άφησα εκτός (πάρτε το ως άσκηση για το σπίτι) τις επιλογές που μπορώ να έχω για κάθε αντικείμενο που προσθέτω. Δηλ αν θέλω να Δημιουργήσω/Ενημερώσω/Αντικαταστήσω/Διαγράψω π.χ. τη συντόμευση που έφτιαξα για το χρήστη στην επιφάνεια εργασίας τους.

Ακόμα, μπορώ τα εφαρμόσω κάθε ρύθμιση υπό συνθήκες. Δηλ item-level targeting

Clipboard-3

Για παράδειγμα μπορώ να ορίσω ότι θέλω μεν να αντιγράψω ένα φάκελο στον τοπικό δίσκο τους χρήστη αλλά μόνο όταν έχει 80 GB ελεύθερα, έχει ΙΡ μεταξύ του 192.168.1.2-100, >512MB RAM, και μόνο στις 15 κάθε μήνα.

Ορίστε

Clipboard-4

Ωραία τα τα GPP αλλά πως τα αποκτώ ;

 

Θέλουμε GPP Client Side Extensions (KB943729) για ΧΡ, Vista, Server 2003 (αν έχετε WSUS τότε πιθανότατα το έχετε μοιράσει ήδη αλλά δεν το ξέρετε).

Διαφορετικά δεν θα εφαρμόζονται οι επιλογές που κάναμε παρά μόνο στους Server 2008. Στα Vista μάλιστα, αν εγκαταστήσετε και το Group Policy Management Console (από τα RSAT) τότε θα μπορείτε και να διαχειρίζεστε τα GPP. Όποιο GPΟ και αν δημιουργήσετε, τα GPP θα εμφανίζονται. Στα ΧΡ δεν ισχύει κάτι τέτοιο.

 

 

 

 

 

Ελπίζω να βρείτε τα GPP χρήσιμα και να απελευθερώσετε χρόνο που χάνετε μέχρι τώρα για τέτοια πράγματα.

Το ξαναλέω: ΤΕΣΤ, ΤΕΣΤ, ΤΕΣΤ πριν κάνετε οτιδήποτε.

Α και φυσικά να τα τεστάρετε κιόλας :)

 

update: Παρέλειψα να δώσω λινκ για τον σχετικό οδηγό της ΜΣ, Group Policy Preferences Overview.

 Share

9 Comments


Recommended Comments

Κορυφαίο άρθρο.

Ετσι έτσι να μαθάινουμε και τίποτα γιατί έχω μείνει κολλημένος με τις χαζομάρες.

Link to comment

όντος καλή αναφορά, για όσους το πέρασαν στα ψιλά...

Άκη; ρε μήπως να κάνουμε κανά τεστ πριν κάνουμε τίποτα;

Link to comment

Ωραιο κ χρησιμο αρθρο.Δλδ κατεβαζω για το λειτουργικο που θελω το αντιστοιχο gpp client και αν μιλαμε για win2k3 αλλαζει πληρως η εικονα στα gpo?

Link to comment

Δεν αλλάζει πλήρως, απλά συμπληρώνει τις ήδη υπάρχουσες. Προσοχή στο ότι για ρυθμίσεις/διαχειριστείς τα GPP θέλεις Βίστα ή 2008.

Link to comment

o client για να εφαρμόζονται οι πολιτικές GPP ναι.

Αλλά όχι το εργαλείο για να τις ρυθμίσεις. Για αυτό θες Βίστα/2008.

Link to comment

Δεν επεμβαίνουν στα κλασικά GP απλά προσθέτουν νέες δυνατότητες σε ένα ξεχωριστό τμήμα, αυτό των GPP.

Τελικά μπορείς να κάνεις group policy ότι φανταστείς με αυτά.

Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...