Csoportházirend

A Wikipédiából, a szabad enciklopédiából

A csoportházirend (Group Policy) a Microsoft (Windows NT-alapú) operációs rendszereinek egy funkciója, amivel megoldható a felhasználók, a számítógépek és a felhasználói munkakörnyezetek viselkedésének és jogosultságainak szabályozása. A csoportházirend Active Directory környezetben lehetővé teszi az operációs rendszerek, alkalmazások és a felhasználók beállításainak központosított konfigurálását és menedzsmentjét. Leegyszerűsítve, a csoportházirenddel többek közt megszabható, hogy a felhasználó mit tehet és mit nem tehet meg a számítógépen. Bár a csoportházirendek alkalmazása nagyvállalati környezetben a legelterjedtebb, találkozhatunk vele iskolákban és kis- és középvállalkozásokban is. A csoportházirendeket gyakran arra használják, hogy potenciális biztonsági réseket zárjanak be vele, pl. tiltják a hozzáférést a Windows feladatkezelőjéhez, korlátozzák bizonyos mappákhoz a hozzáférést, tiltják a futtatható fájlok letöltését és így tovább.

A Microsoft IntelliMirror technológiájának részeként a csoportházirendek lényege a felhasználói támogatás költségeinek csökkentése. Egyéb IntelliMirror-technológiák közé tartoznak a vándorló profilok, a hálózatról lecsatlakoztatott számítógépek kezelése, a mappaátirányítás és a kapcsolat nélküli mappák.[1][2]

A csoportházirend építőköveinek, a csoportházirend-objektumoknak (Group Policy Object, GPO) használatához nem feltétlenül szükséges az Active Directory; a Novell a Windows 2000 óta támogatja a vándorló profilokat ZENworks Desktop Management termékében, a Windows XP óta pedig a csoportházirend-objektumokat is.

Bár gyárilag is számos csoportházirend jár az operációs rendszerhez (az XP/Windows 2003-ra mintegy 1700, a Vista/Windows 2008 párosra legalább 2700, a Windows 7/Windows 2008 R2-re több mint 3000 házirend vonatkozik[3]), ez a szám tetszőlegesen bővíthető további sablonok (admin templates, .ADM, illetve .ADMX) hozzáadásával. Ezek egyszerű szöveges állományok, amik a beállítások hierarchikus rendjét, a beállítható értékekre vonatkozó megkötéseket és az egyes beállítások alapértelmezett értékét tartalmazzák. A Microsoft is kiad bővítéseket pl. a Microsoft Office szabályozásához, de más gyártók termékeihez is készülnek ilyenek. Egyedi .ADM-fájlokkal szinte bármit meg lehet tenni, amihez egyébként a beállításjegyzék módosítása szükséges.

Áttekintés[szerkesztés | forrásszöveg szerkesztése]

A csoportházirend szabályozhatja a célobjektum (target) beállításjegyzékét, NTFS biztonsági leíróit, a rá vonatkozó auditálási és biztonsági házirendeket, a szoftvertelepítést, be- és kijelentkezési parancsfájlokat.

Az Active Directory-integrált csoportházirend alapvetően azokra a szervezeti egységekre (OU), helyekre (site) vagy tartományokra vonatkozik, amikhez hozzárendelik. A csoportházirend hatóköre (scope) tovább finomítható:

  • a „biztonsági szűrés” (security filtering) segítségével szabályozható, hogy az adott GPO milyen felhasználókra és csoportokra vonatkozik;
  • a Windows Management Instrumentation (WMI)-szűrés lehetővé teszi, hogy a GPO hatóköre egy WMI-szűrő eredményétől függően változzon (pl. legalább adott memóriával rendelkező számítógépek);
  • a Group Policy Preferences további szabályozást tesz lehetővé.

Az Active Directory Users and Computers (ADUC) eszköz „vezérlés delegálása” funkciójának segítségével a rendszergazda lehetőséget adhat arra, hogy egy arra kijelölt felhasználó szerkeszthesse egy csoportházirend beállításait. Ez technikailag a szervezeti egység biztonsági leíróinak módosításával történik.[4]

A GPO alkalmazása[szerkesztés | forrásszöveg szerkesztése]

A csoportházirend-kliens „pull” modell alapján dolgozik. Bizonyos időközönként (ez véletlenszerű, 90 és 120 perc közötti érték, bár ez is szabályozható csoportházirenddel) összegyűjti a számítógépre, és a bejelentkezett felhasználóra (ha van ilyen) vonatkozó GPO-kat, és bejegyzi a Windows beállításjegyzékének HKLM\Software\Policies, illetve HKCU\Software\Policies ágába[5][6] azokat. Ezután, ha ez alkalmazza a beállításokat, amik ettől kezdve (vagy a következő bejelentkezés/rendszerindítás után) befolyásolni fogják a házirenddel szabályozható rendszerkomponensek működését.

A csoportházirend frissítése és alkalmazása kikényszeríthető, Windows 2000-en a secedit refreshpolicy, Windows XP-n és afölött a gpupdate parancs futtatásával.[7]

Ha egy felhasználóra vagy számítógépre több, esetleg egymással ütköző házirend-beállítás vonatkozik, a következő sorrendben kerülnek végrehajtásra (a később végrehajtott felülírja a korábbit!):

  • helyi számítógép
  • hely (site)
  • tartomány
  • szervezeti egységek (OU) – a hierarchiában felülről lefelé haladva értékelődnek ki.

Csoportházirend-beállítások[szerkesztés | forrásszöveg szerkesztése]

A csoportházirend-beállítások (Group Policy Preferences) eredetileg a csoportházirendek külön termékként létező, PolicyMaker néven futó kiterjesztései voltak. A terméket a Microsoft felvásárolta, és integrálta a Windows Server 2008-ba, a korábbi PolicyMaker-elemek migrálására pedig eszközt jelentetett meg.[8]

Windows XP, Vista és Windows Server 2003 32 és 64 bites változatai alatt külön kliensprogramot („csoportházirend-beállítások ügyféloldali kiterjesztései”) kell telepíteni a Group Policy Preferences érvényre jutásához[9] [10] [11] [12] [13] [14]; ez a Windows 2008, 2008 R2 és Windows 7 operációs rendszerekbe már beépítésre került.

A Group Policy Preferences számos új beállítási lehetőséget tartalmaz. Míg a házirendek kötelezően érvényesülnek, a házirend-beállítások többnyire a kezdeti beállítás után a felhasználó által átállíthatók. Finomabban hangolható az is, hogy a beállítások hol jussanak érvényre (targeting).

Helyi házirend[szerkesztés | forrásszöveg szerkesztése]

A helyi házirend (Local Group Policy, LGP) az Active Directoryval használt csoportházirendek egyszerűbb változata, a secpol.mscvel szerkeszthető. A Windows Vista előtti verziókban az LGP csak egyetlen számítógépre vonatkozik, és nem lehet egyes felhasználóknak vagy csoportoknak egyedi beállításokat konfigurálni vele. Kevesebb beállítást is kezel, mint a teljes értékű csoportházirend. Az LGP egyszerűen a beállításjegyzék HKLM kulcsa alá viszi fel a házirendeket; a felhasználónkénti beállításokat manuálisan úgy lehet megoldani, hogy át kell másolni a HKCU vagy a megfelelő HKU kulcsok alá. A csoportházirendek és a beállításjegyzék kapcsolatáról több információ található a TechNeten.[15] Az LGP egyaránt használható tartományi számítógépen és a Windows XP Home Edition-ön.

A Windows Vista és a Windows 7 támogatja a többszörös helyi házirendeket (Multiple Local Group Policy objects, MLGPO), aminek segítségével felhasználónként is lehet házirendet állítani.[16]

Biztonság[szerkesztés | forrásszöveg szerkesztése]

Bár a csoportházirendek nagyban megkönnyítik a vállalati Windows-rendszergazda dolgát, önmagukban nem nyújtanak elegendő védelmet egy rossz szándékú felhasználóval szemben. Ennek okai:

  • A csoportházirendek korlátozásait a célzott alkalmazások tartatják be. Sok esetben ez csak annyit jelent, hogy a felhasználói felület adott funkcióhoz vezető részét tiltják le, de a funkció alacsonyabb szintű elérését nem akadályozzák meg.[17] Például letiltható, hogy az Intézőben látsszon a C: meghajtó, de más fájlkezelőből – pl. a Total Commanderből látszani fog. Hasonlóan, megtiltható a regedit.exe futtatása, de ez nem gátolja meg a felhasználót abban, hogy más programmal a beállításjegyzéket módosítsa.
  • Ha a felhasználónak helyi rendszergazdai jogai vannak a számítógépen, a beállításjegyzék-kulcsokhoz tartozó jogosultságok módosításával akár teljes mértékben megakadályozhatja a csoportházirendek érvényre jutását.[18]
  • A felhasználó megakadályozhatja, hogy az alkalmazás kiolvassa a rá vonatkozó csoportházirend-értékeket, így potenciálisan alacsonyabb biztonsággal futtathat alkalmazásokat.[19]

Rendszerházirend[szerkesztés | forrásszöveg szerkesztése]

A Windows 2000-es csoportházirendek megjelenése előtt, már a Windows 98 alatt is volt lehetőség egyes felhasználói beállítások „lezárására”, ha még nem is teljesen automatizált és központosított módon. A rendszerházirend-szerkesztő (Policy Editor, poledit.exe) programmal már lehetőség volt pl. a Vezérlőpult hardverekkel és jelszavakkal kapcsolatos beállításainak, a Start menü Futtatás parancsának, a rendszerleíró adatbázis szerkesztésére szolgáló eszközöknek és az MS-DOS parancssornak a letiltására – de csak akkor, ha a számítógépen a felhasználói fiókok használatát engedélyezték.[20] A házirendet a Windows 98 a Config.pol fájlból olvassa be, akár windowsos, akár Novell NetWare-es hálózati megosztásról.[21] A Windows 98-as rendszerházirendeket pl. a Novell ZENworksben is lehetett használni a felhasználók lehetőségeinek korlátozására.

Jegyzetek[szerkesztés | forrásszöveg szerkesztése]

  1. TechRepublic: IntelliMirror: What it is and what it isn't
  2. Microsoft TechNet: What is IntelliMirror?
  3. Microsoft Download Center: Group Policy Settings Reference for Windows and Windows Server
  4. Microsoft terméktámogatás: HOW TO: Delegate Authority for Editing a Group Policy Object (GPO)
  5. MSDN: Implementing Registry-based Policy
  6. Software Online: Csoportházirend összefüggése a regisztrációs adatbázissal
  7. Gál Tamás: Csoportházirend II.
  8. Group Policy Preference Migration Tool (GPPMIG)
  9. Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows XP rendszerhez (KB943729)
  10. Download: Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729)
  11. Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Vista rendszerhez (KB943729)
  12. Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Vista x64 Edition rendszerhez (KB943729)
  13. Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Server 2003 rendszerhez (KB943729)
  14. Download: Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)
  15. Group Policy Settings Reference
  16. Step-by-Step Guide to Managing Multiple Local Group Policy Objects
  17. Raymond Chen, "Shell policy is not the same as security"
  18. Mark Russinovich's technical blog: Circumventing Group Policy Settings
  19. Mark Russinovich's technical blog: Circumventing Group Policy as a Limited User
  20. Microsoft terméktámogatás: A házirendek szerkesztése
  21. TechNet: Windows 98 – System Configuration – System Policies

Fordítás[szerkesztés | forrásszöveg szerkesztése]

  • Ez a szócikk részben vagy egészben a Group Policy című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel.

További információk[szerkesztés | forrásszöveg szerkesztése]