[ Pobierz całość w formacie PDF ]
.llZałożenia systemowe mogą być rozprzestrzeniane tylko w jednym pliku — NTCONFIG.POL.Ta sytuacja przeszkadza zdolności do tworzenia założeń systemowych przeznaczonych dla określonych połączeń użytkownika.Założenia systemowe mogą być kierowane do określonych grup, lecz powoduje to konieczność utworzenia olbrzymiego pliku NTCONFIG.POL, który jest bardzo nieporęczny w zarządzaniu.llZakres wpisów w rejestrze, które mogą być zmienione przez założenia systemowe, jest ograniczony przez wsteczną kompatybilność z klasycznym NT.lZałożenia systemowe są dalej wspomagane przez Windows 2000, lecz zostały w zasadzie w pełni zastąpione przez zasady grup.Dowolny parametr systemu bazujący na wpisie do rejestru może być kontrolowany przez zasady grup.Wszystkie zmiany są wykonywane szybko i łatwo i nie wymagają każdorazowego zmieniania lokalnych rejestrów.Usunięcie zasad grup powoduje przywrócenie pierwotnych wpisów rejestru.Zasady grup mogą być używane do kontroli wielu konfiguracji, takich jak ustawienia zabezpieczeń, usługi systemowe, parametry interfejsu użytkownika i ustawienia aplikacji.Dodatkowo założenia mogą być używane do kontroli:lprzydzielania obszaru dysku użytkownikowi,llodzyskiwania systemu plików,llprzeadresowywania folderów,lllogowania i rozłączania skryptów,llinstalacji oprogramowania.lOparte na rejestrze zasady grup, które wpływają na ustawienia komputera, są zapisywane w grupie HKEY_Local_Machine, a zasady dotyczące ustawień użytkownika — w gałęzi HKEY_Current_User.Zasady grup używane są przy każdym logowaniu użytkownika albo komputera i są odświeżane co 90 minut, aż do momentu rozłączenia.Niektóre założenia mogą być używane tylko podczas rozłączania.Zasady grup są udostępniane komputerom na dwa sposoby:lZasady lokalne.Zasady te są przechowywane na dysku lokalnym w katalogu \WINNT\System32\GroupPolicy i są wykorzystywane w momencie logowania użytkownika do komputera.llZasady Active Directory.Te zasady są przechowywane w dwóch miejscach.Główne zasady są umieszczane w każdym kontrolerze domeny w katalogu \WINNT\Sysvol\Sysvol\<nazwa_domeny>.Pozostała część jest przechowywana w katalogu, w zbiorze kontenerów zasad grupowych (GPCs — Group Policy Containers).Zasady mogą być związane z kontenerem Domain (Domena), Sites (Okręgi) albo z dowolnym kontenerem Organization Unit (Jednostka organizacyjna).Więcej informacji na ten temat znajdziesz w rozdziale 7.„Usługi Active Directory”.lKatalog \WINNT\Sysvol\Sysvol\<nazwa_domeny> jest replikowany do wszystkich kontrolerów domeny za pomocą usługi FRS (File Replication Service — Usługa replikacji plików).Szczegóły dotyczące operacji FRS znajdziesz w rozdziale 13.„Zarządzanie systemami plików”.Generalnie FRS jest usługą służącą do synchronizacji i replikacji danych do serwerów docelowych.Kopiowane są tylko uaktualnione pliki, a baza danych operacji plików jest zachowywana na wypadek przypadkowego skasowania albo nadpisania danych.Warunkiem korzystania z FRS jest posiadanie systemu NTFS5.Początkowe wersje Windows 2000 zawierają osiem typów zasad grup.Każdy typ zasady jest konfigurowany po stronie serwera w usłudze Group Policy (Zasady grup).Gdy klient otrzymuje założenie: skonfigurowane rozszerzenie po stronie serwera, przetwarza jego zawartość po stronie klienta za pomocą biblioteki DLL.W tabeli 6.2 przedstawione zostały rozszerzenia po stronie serwera i ich implementacje DLL po stronie klienta.Tabela 6.2.Rozszerzenie założeń grupowych i biblioteki DLLRozszerzenie po stronie serweraImplementacja DLLRegistry Administrative Templates (Szablony administracyjne rejestru)USERENV.DLL (komputery i użytkownicy)Folder Redirection Editor (Edytor przeadresowania katalogu)FDEPLOY.DLLSkrypty (komputerów i użytkowników)GPTEXT.DLLSecurity Settings (Ustawienia zabezpieczeń)SCECLI.DLLSoftware Installation (Instalacja oprogramowania)APPMGMTS.DLL (komputery i użytkownicy)Disk Quota (Obszar dysku przeznaczony dla użytkownika)DSKQUOTA.DLLEncrypting file system recovery (Odzyskanie systemu plików zaszyfrowanych)SCECLI.DLLInternet Explorer Branding (Firmowanie Internet Explorer)IEDKC32.DLLIP Security (Zabezpieczenie identyfikatora)GPTEXT.DLLWskazówka rejestru: Lista rozszerzeń po stronie klientaLista rozszerzeń po stronie klienta znajduje się w HKLM|Software|Microsoft|WindowsNT|CurrentVersion|Winlogon|GPExtensions.Po stronie serwera, rozszerzenie obsługujące założenie zabezpieczenia (SCESRV.DLL) jest częścią pakietu Services (Usługi).Rozszerzenie po stronie klienta (SCECLI.DLL) jest częścią LSASS.W następnej części rozdziału zostaną zamieszczone informacje dotyczące konfiguracji zabezpieczeń w założeniach grupowych.Będzie tu przedstawiony funkcjonalny opis ustawień zabezpieczeń oraz sposób konfiguracji szablonów używanych przez rozszerzenie (w celu dostosowania założeń dla danego systemu klienta).Założenia grupowe wpływają na inne parametry konfiguracji użytkownika.Zostanie to omówione w rozdziale 16.„Zarządzanie środowiskiem pracy użytkownika”.Dostarczanie oprogramowania wykracza poza zakres tej książki.Wyjątek stanowi automatyczne dostarczanie Windows 2000, omówione w rozdziale 2.„Aktualizowanie i automatyczne instalowanie systemu”.Pomimo że szczegóły dotyczące Active Directory będą omówione dopiero w rozdziałach 7 - 10, już teraz musisz zapoznać się z tą koncepcją, aby zrozumieć sposób dystrybucji założeń grupowych w domenie.Ogólnie mówiąc jest to koncepcja kontenerów.Active Directory jest bazą danych zorientowaną obiektowo.System plików jest przykładem właśnie takiej bazy.Baza zorientowana obiektowo posiada hierarchiczną strukturę, w której pewne obiekty mogą zawierać w sobie inne obiekty.W przypadku systemu plików katalog jest obiektem, który może zawierać w sobie inne obiekty, podczas gdy plik nie posiada takich możliwości.Obiekty, które mogą posiadać w sobie inne obiekty są nazywane kontenerami.Active Directory jest usługą katalogową LDAPJeżeli jesteś administratorem sieci NetWare, zapewne przywykłeś do myślenia o obiektach Directory Services (Usługi katalogowe) jako o obiektach mogących być kontenerami albo końcowymi obiektami hierarchii obiektowej.Active Directory jest usługą katalogową LDAP i nie pozwala na wprowadzanie tego typu rozróżniania.Każdy obiekt klasy w LDAP może być kontenerem.Każdy obiekt w katalogu reprezentuje element świata rzeczywistego, np.użytkownik o nazwie Gwashington, komputer o nazwie PHX-DC-01, grupa o nazwie Phx_Sales itd.Każdy z tych obiektów pochodzi z konkretnej klasy obiektów.Klasa definiuje zbiór atrybutów (czasami nazywanych właściwościami).Gdy obiekt jest tworzony w oparciu o klasę obiektu, mówi się, że staje się on egzemplarzem klasy.Jeżeli klasa obiektu zawierałaby atrybuty bycia krótkowzrocznym administratorem, z płaskostopiem i uzależnieniem od kawy, autor książki mógłby być egzemplarzem klasy
[ Pobierz całość w formacie PDF ]
