Csoportházirend

A csoportházirend (Group Policy) a Microsoft operációs rendszereinek egy funkciója, amivel megoldható a felhasználók, a számítógépek és a felhasználói munkakörnyezetek viselkedésének és jogosultságainak szabályozása. A csoportházirend Active Directory környezetben lehetővé teszi az operációs rendszerek, alkalmazások és a felhasználók beállításainak központosított konfigurálását és menedzsmentjét. Leegyszerűsítve, a csoportházirenddel többek közt megszabható, hogy a felhasználó mit tehet és mit nem tehet meg a számítógépen. Bár a csoportházirendek alkalmazása nagyvállalati környezetben a legelterjedtebb, találkozhatunk vele iskolákban, kis- és középvállalkozásokban is. A csoportházirendeket gyakran arra használják, hogy potenciális biztonsági réseket zárjanak be vele, pl. tiltják a hozzáférést a Windows feladatkezelőjéhez, korlátozzák bizonyos mappákhoz a hozzáférést, tiltják a futtatható fájlok letöltését és így tovább.

A Microsoft IntelliMirror technológiájának részeként a csoportházirendek lényege a felhasználói támogatás költségeinek csökkentése. Egyéb IntelliMirror-technológiák közé tartoznak a vándorló profilok, a hálózatról lecsatlakoztatott számítógépek kezelése, a mappaátirányítás és a kapcsolat nélküli mappák.^[1]^[2]

A csoportházirend építőköveinek, a csoportházirend-objektumoknak (Group Policy Object, GPO) használatához nem feltétlenül szükséges az Active Directory; a Novell a Windows 2000 óta támogatja a vándorló profilokat ZENworks Desktop Management termékében, a Windows XP óta pedig a csoportházirend-objektumokat is.

Bár gyárilag is számos csoportházirend jár az operációs rendszerhez (az XP/Windows 2003-ra mintegy 1700, a Vista/Windows 2008 párosra legalább 2700, a Windows 7/Windows 2008 R2-re több mint 3000 házirend vonatkozik^[3]), ez a szám tetszőlegesen bővíthető további sablonok (admin templates, .ADM, illetve .ADMX) hozzáadásával. Ezek egyszerű szöveges állományok, amik a beállítások hierarchikus rendjét, a beállítható értékekre vonatkozó megkötéseket és az egyes beállítások alapértelmezett értékét tartalmazzák. A Microsoft is kiad bővítéseket pl. a Microsoft Office szabályozásához, de más gyártók termékeihez is készülnek ilyenek. Egyedi .ADM-fájlokkal szinte bármit meg lehet tenni, amihez egyébként a beállításjegyzék módosítása szükséges.

A csoportházirendek elődje, a System Policy a Windows NT-ben jelent meg.^[4]

Áttekintés

A csoportházirend szabályozhatja a célobjektum (target) beállításjegyzékét, NTFS biztonsági leíróit, a rá vonatkozó auditálási és biztonsági házirendeket, a szoftvertelepítést, be- és kijelentkezési parancsfájlokat.

Az Active Directory-integrált csoportházirend alapvetően azokra a szervezeti egységekre (OU), helyekre (site) vagy tartományokra vonatkozik, amikhez hozzárendelik. A csoportházirend hatóköre (scope) tovább finomítható:

a „biztonsági szűrés” (security filtering) segítségével szabályozható, hogy az adott GPO milyen felhasználókra és csoportokra vonatkozik;
a Windows Management Instrumentation (WMI)-szűrés lehetővé teszi, hogy a GPO hatóköre egy WMI-szűrő eredményétől függően változzon (pl. legalább adott memóriával rendelkező számítógépek);
a Group Policy Preferences további szabályozást tesz lehetővé.

Az Active Directory Users and Computers (ADUC) eszköz „vezérlés delegálása” funkciójának segítségével a rendszergazda lehetőséget adhat arra, hogy egy arra kijelölt felhasználó szerkeszthesse egy csoportházirend beállításait. Ez technikailag a szervezeti egység biztonsági leíróinak módosításával történik.^[5]

A GPO alkalmazása

A csoportházirend-kliens „pull” (lekéréses) modell alapján dolgozik. Bizonyos időközönként (ez véletlenszerű, 90 és 120 perc közötti érték, bár ez is szabályozható csoportházirenddel) összegyűjti a számítógépre, és a bejelentkezett felhasználóra (ha van ilyen) vonatkozó GPO-kat, és bejegyzi azokat a Windows beállításjegyzékének HKLM\Software\Policies, illetve HKCU\Software\Policies ágába^[6]^[7] (Windows 2000-en és Windows NT-n a HKLM\Software\Microsoft\Windows\CurrentVersion\Policies, illetve HKCU\Software\Microsoft\Windows\CurrentVersion\Policies ágába). Ezután alkalmazza a beállításokat, amik ettől kezdve (vagy a következő bejelentkezés/rendszerindítás után, adott rendszerkomponens újraindítása után) befolyásolni fogják a házirenddel szabályozható rendszerkomponensek működését.

A csoportházirend frissítése és alkalmazása kikényszeríthető, Windows 2000-en a secedit refreshpolicy, Windows XP-n és afölött a gpupdate parancs futtatásával.^[8]

Ha egy felhasználóra vagy számítógépre több, esetleg egymással ütköző házirend-beállítás vonatkozik, a következő sorrendben kerülnek végrehajtásra (a később végrehajtott felülírja a korábbit!):

helyi számítógép
hely (site)
tartomány
szervezeti egységek (OU) – a hierarchiában felülről lefelé haladva értékelődnek ki.

A Windows NT 4.0-ban használt System Policy-kban még nem korlátozták a beállításjegyzék elérését, a regisztrációs adatbázis bármelyik helyére írhattak a policyk, értékük pdeig megmaradt, amíg egy másik házirenddel vagy kézzel felülírásra nem kerültek.^[4]

Csoportházirend-beállítások

A csoportházirend-beállítások (Group Policy Preferences) eredetileg a csoportházirendek külön termékként létező, PolicyMaker néven futó kiterjesztései voltak. A terméket a Microsoft felvásárolta, és integrálta a Windows Server 2008-ba, a korábbi PolicyMaker-elemek migrálására pedig eszközt jelentetett meg.^[9]

Windows XP, Vista és Windows Server 2003 32 és 64 bites változatai alatt külön kliensprogramot („csoportházirend-beállítások ügyféloldali kiterjesztései”) kell telepíteni a Group Policy Preferences érvényre jutásához;^[10]^[11]^[12]^[13]^[14]^[15] ez a Windows 2008, 2008 R2 és Windows 7 operációs rendszerekbe már beépítésre került.

A Group Policy Preferences számos új beállítási lehetőséget tartalmaz. Míg a házirendek kötelezően érvényesülnek, a házirend-beállítások többnyire a kezdeti beállítás után a felhasználó által átállíthatók. Finomabban hangolható az is, hogy a beállítások hol jussanak érvényre (targeting).

Helyi házirend

A helyi házirend (Local Group Policy, LGP) az Active Directoryval használt csoportházirendek egyszerűbb változata, a secpol.msc-vel szerkeszthető. A Windows Vista előtti verziókban az LGP csak egyetlen számítógépre vonatkozik, és nem lehet egyes felhasználóknak vagy csoportoknak egyedi beállításokat konfigurálni vele. Kevesebb beállítást is kezel, mint a teljes értékű csoportházirend. Az LGP egyszerűen a beállításjegyzék HKLM kulcsa alá viszi fel a házirendeket; a felhasználónkénti beállításokat manuálisan úgy lehet megoldani, hogy át kell másolni a HKCU vagy a megfelelő HKU kulcsok alá. A csoportházirendek és a beállításjegyzék kapcsolatáról több információ található a TechNeten.^[16] Az LGP egyaránt használható tartományi számítógépen és a Windows XP Home Edition-ön.

A Windows Vista és a Windows 7 támogatja a többszörös helyi házirendeket (Multiple Local Group Policy objects, MLGPO), aminek segítségével felhasználónként is lehet házirendet állítani.^[17]

Biztonság

Bár a csoportházirendek nagyban megkönnyítik a vállalati Windows-rendszergazda dolgát, önmagukban nem nyújtanak elegendő védelmet egy rossz szándékú felhasználóval szemben. Ennek okai:

A csoportházirendek korlátozásait a célzott alkalmazások tartatják be. Sok esetben ez csak annyit jelent, hogy a felhasználói felület adott funkcióhoz vezető részét tiltják le, de a funkció alacsonyabb szintű elérését nem akadályozzák meg.^[18] Például letiltható, hogy az Intézőben látsszon a C: meghajtó, de más fájlkezelőből – pl. a Total Commanderből látszani fog. Hasonlóan, megtiltható a regedit.exe futtatása, de ez nem gátolja meg a felhasználót abban, hogy más programmal a beállításjegyzéket módosítsa.
Ha a felhasználónak helyi rendszergazdai jogai vannak a számítógépen, a beállításjegyzék-kulcsokhoz tartozó jogosultságok módosításával akár teljes mértékben megakadályozhatja a csoportházirendek érvényre jutását.^[19]
A felhasználó megakadályozhatja, hogy az alkalmazás kiolvassa a rá vonatkozó csoportházirend-értékeket, így potenciálisan alacsonyabb biztonsággal futtathat alkalmazásokat.^[20]

Rendszerházirend

A Windows 2000-es csoportházirendek megjelenése előtt, már a Windows 98 alatt is volt lehetőség egyes felhasználói beállítások „lezárására”, ha még nem is teljesen automatizált és központosított módon. A rendszerházirend-szerkesztő (Policy Editor, poledit.exe) programmal már lehetőség volt pl. a Vezérlőpult hardverekkel és jelszavakkal kapcsolatos beállításainak, a Start menü Futtatás parancsának, a rendszerleíró adatbázis szerkesztésére szolgáló eszközöknek és az MS-DOS parancssornak a letiltására – de csak akkor, ha a számítógépen a felhasználói fiókok használatát engedélyezték.^[21] A házirendet a Windows 98 a Config.pol fájlból olvassa be, akár windowsos, akár Novell NetWare-es hálózati megosztásról.^[22] A Windows 98-as rendszerházirendeket pl. a Novell ZENworksben is lehetett használni a felhasználók lehetőségeinek korlátozására.

Jegyzetek

↑ TechRepublic: IntelliMirror: What it is and what it isn't
↑ Microsoft TechNet: What is IntelliMirror?
↑ Microsoft Download Center: Group Policy Settings Reference for Windows and Windows Server
↑ ^a ^b Windows NT 4.0 System Policies. [2015. július 17-i dátummal az eredetiből archiválva]. (Hozzáférés: 2015. február 6.)
↑ Microsoft terméktámogatás: HOW TO: Delegate Authority for Editing a Group Policy Object (GPO)
↑ MSDN: Implementing Registry-based Policy
↑ Software Online: Csoportházirend összefüggése a regisztrációs adatbázissal^{[halott link]}
↑ Gál Tamás: Csoportházirend II.
↑ Group Policy Preference Migration Tool (GPPMIG). [2009. december 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2015. október 27.)
↑ Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows XP rendszerhez (KB943729)
↑ Download: Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729)
↑ Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Vista rendszerhez (KB943729)
↑ Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Vista x64 Edition rendszerhez (KB943729)
↑ Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Server 2003 rendszerhez (KB943729)
↑ Download: Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)
↑ Group Policy Settings Reference^{[halott link]}
↑ Step-by-Step Guide to Managing Multiple Local Group Policy Objects
↑ Raymond Chen, "Shell policy is not the same as security" Archiválva 2008. február 3-i dátummal a Wayback Machine-ben
↑ Mark Russinovich's technical blog: Circumventing Group Policy Settings. [2010. május 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. május 1.)
↑ Mark Russinovich's technical blog: Circumventing Group Policy as a Limited User. [2010. április 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. május 1.)
↑ Microsoft terméktámogatás: A házirendek szerkesztése
↑ TechNet: Windows 98 – System Configuration – System Policies

Fordítás

Ez a szócikk részben vagy egészben a Group Policy című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

További információk

Informatikai portál • összefoglaló, színes tartalomajánló lap

[1] TechRepublic: IntelliMirror: What it is and what it isn't

[2] Microsoft TechNet: What is IntelliMirror?

[3] Microsoft Download Center: Group Policy Settings Reference for Windows and Windows Server

[Syspol-4] Windows NT 4.0 System Policies. [2015. július 17-i dátummal az eredetiből archiválva]. (Hozzáférés: 2015. február 6.)

[5] Microsoft terméktámogatás: HOW TO: Delegate Authority for Editing a Group Policy Object (GPO)

[6] MSDN: Implementing Registry-based Policy

[7] Software Online: Csoportházirend összefüggése a regisztrációs adatbázissal^{[halott link]}

[8] Gál Tamás: Csoportházirend II.

[9] Group Policy Preference Migration Tool (GPPMIG). [2009. december 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2015. október 27.)

[10] Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows XP rendszerhez (KB943729)

[11] Download: Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729)

[12] Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Vista rendszerhez (KB943729)

[13] Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Vista x64 Edition rendszerhez (KB943729)

[14] Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Server 2003 rendszerhez (KB943729)

[15] Download: Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)

[16] Group Policy Settings Reference^{[halott link]}

[17] Step-by-Step Guide to Managing Multiple Local Group Policy Objects

[18] Raymond Chen, "Shell policy is not the same as security" Archiválva 2008. február 3-i dátummal a Wayback Machine-ben

[19] Mark Russinovich's technical blog: Circumventing Group Policy Settings. [2010. május 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. május 1.)

[20] Mark Russinovich's technical blog: Circumventing Group Policy as a Limited User. [2010. április 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. május 1.)

[21] Microsoft terméktámogatás: A házirendek szerkesztése

[22] TechNet: Windows 98 – System Configuration – System Policies

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]