Od najranijih dana korišćenja aktivnog direktorijuma, grupne polise su igrale jednu od glavnih uloga u upravljanju u kompjuterskom okruženju. Mnoge organizacije su shvatile da je inicijalna kupovina ili cena iznajmljivanja kompjutera samo jedan mali deo celokupne cene koja je povezana sa upravljanjem i održavanjem kompjutera u toku njegovog zivota. Primarna cena je trošak ljudskog upravljanja tim kompjuterima. Ako svi klijentskim kompjuterima mora ručno da se administrira, cena vlasništva tih kompjutera može mnogo da se poraste čak i toliko da ona bude neprihvatljiva. Da bi rešile ovaj problem, organizacije moraju da pređu sa ručnih procesa i da uspostave automatsku i formu centralizovane administracije promena i upravljanja korisničkim i kompjuterskim postavkama unutar okruženja.
Grupne polise u Windows Server 2008 nude mnoge karakteristike koje smanjuju cenu upravljanja kompjuterskim sistemima. Promene i Configuration Management su povećane sa grupnim polisama grupisanjem korisničkih i kompjuterskih polisa postavki koje tada mogu da se primene kroz različite nivoe AD hijerarhije. Kada primenjujemo konfiguracione postavke koristeći grupne polise, te postavke (ili grupe postavki) mogu da se primene na neke ili na sve kompjutere i korisnike unutar organizacije.
Grupne polise u Windows Server 2008 nude moćne karakteristike i mogućnosti za upravljanje konfiguracionim postavkama koje se odnose na kompjutere i korisnike unutar našeg okruženja aktivnog direktorijuma. Postoje brojne stvari koje možemo da odradimo pomoću grupnih polisa:
- Instalacija i upravljanje softverom: Za Active Directory-based Group Policy administrator može da izgradi softver i softverska ažuriranja korisnicima i kompjuterima. Takođe, možemo da uklonimo izgrađeni softver na osnovu lokacija korisnika i kompjutera unutar strukture aktivnog direktorijuma.
- Skriptovanje: Možemo da startujemo kompjuterske Startup i Shutdown skripte kao korisničke Logon i Logoff skripte.
- Sigurnosne postavke: Možemo da konfigurišemo veliki broj sigurnosnih postavki za korisničke i kompjuterske objekte unutar AD. Sigurnosne postavke za kompjutere uključuju: Account Policies, Local Policies, Event Log settings i postavke koje se odnose na Restricted Groups, System Services, Windows Firewall & Network Access Protection. Sigurnosne postavke koje se odnose na korisnike su: Public Key Policies & Software Restriction Policies.
- Preusmeravanje foldera (Folder Redirection): Možemo da preusmeravamo neke delove korisničkog radnog okruženja, kao što su Documents folder, Start Manu ili Desktop u mrežni Share gde će uvek biti dostupan korisnicima i gde će moći da se odrađuje Backup uz pomoć standardnih Backup procedura koje je propisala organizacija. Ovo preusmeravanje je transparentno prema korisniku. Windows Server 2008 & Windows Vista nude dodatnu funkcionalnost tako da sada možemo da preusmeravamo više foldera kao što su: Contacts, Downloads, Favorites, Links, Music, Saved Games, Searches & Video folders.
- Policy-based Quality of Service (QoS): QoS polisa može da dodeli odlazećem mrežnom saobraćaju specifičan Differentiated Services Code Point (DSCP) iznos i može da kontroliše koje aplikacije, IP adrese ili protokoli i brojevi ulaza (Port) će biti prioritetni i koji će se kontrolisati kroz mrežu.
- Internet Explorer postavke: Možemo da koristimo grupne polise da upravljamo Browser menijem i Toolbars-om, Connection settings, URL favorites, Security karakteristikama i defoltnim Internet postavkama. Extensive Internet Explorer postavke sada mogu da se konfigurišu ispod Administrative Templates-Windows Components-internet Explorer.
- Administrativni šabloni: Možemo da koristimo administrativne šablone za upravljanje velikim brojem GUI elemenata kao što su: Control Panel Settings, Desktop settings, Start Menu & Taskbar Settings. Ove postavke konfigurišu Registry i iznose koje ograničavaju modifikaciju koju korisnici mogu da odrade na svojim kompjuterima.
- Preferences: Preferences nudi mogućnost upravljanja velikim brojem opcija koje se odnose na Windows postavke ili Control Panel postavke uključujući: mapiranje Drive-ova, Environment variables, Network Shares, Local Users & Groups, Services, Devices i mnoge druge.
- Printeri: Administratori sada imaju mogućnost da delegiraju dozvole korisnicima za instalciju Priner Driver-a (kao i za druge Driver-e uređaja) koristeći grupne polise.
- Blokiranje instalacije uređaja: Administrator sada može centralno da zabrani instalaciju određenih uređaja na kompjuterima u organizaciji. Možemo da kreiramo postavku polise koja kontroliše pristup uređajima kao što su USB, CD-RW i drugi mediji koji mogu da se uklone sa kompjutera. Postavke za intalaciju uređaja nalaze se na lokaciji Computer Configuration-Policies-Administrative Templates-System-Device Installation.
- Power Management settings: Sve postavke za Power Management možemo da kontrolišemo kroz grupne polise. Možemo da modifikujemo specifične Power postavke kroz individualne postavke u grupnim polisama ili možemo da izgradimo prilagođeni Power plan koji dalje možemo da implementiramo koristeći grupne polise. Postavke za Power Management nalaze se na lokaciji Computer Configuration-Policies-Administrative Templates-System-Power Management
Kako rade grupne polise?
Sve karakteristike koje su opisane u prošlom odeljku sastoje se iz velikog broja postavki polisa koje možemo da konfigurišemo da utiču ili na korisnike ili na kompjutere. Postavke polisa su konfigurisane kao Objekti grupnih polisa (GPO) koje povezujemo na različite nivoe u strukturi aktivnog direktorijuma, kao što su sajtovi, domeni ili organizacione jedinice. Hijerarhija aktivnog direktorijuma nudi mogućnost da povežemo postavke grupnih polisa na kontejnere višeg nivoa (kao što su Domeni ili organizacione jednice prvog nivoa) koje nasleđuju svi kontejneri nižeg nivoa. Ovo nasleđivanje nudi efikasan i efektan metod za primenjivanje postavki grupnih polisa kroz celokupno okruženje.
Kada smo prvi put kreirali AD domen, dva objekta grupnih polisa su automatski kreirana i povezana unutar aktivnog direktorijuma: Default Domain Policy & Default Domain Controllers Policy. Default Domain Policy je povezan na nivou domena i koristi se za podešavanje defoltnog nivoa sigurnosti i polisa koje se odnose na lozinke na ceo domen. Default Domain Controllers Policy je povezan na Domain Controllers organizacionu jedinicu i koristi se za konfiguraciju sigurnosnih postavki za domenske kontrolere. Kao dodatak ovim defoltnim objektima grupnih polisa (GPO), možemo da kreiramo neograničeni broj objekata grupnih polisa (GPO) i možemo da ih povezujemo na različite lokacije kroz strukturu našeg aktivnog direktorijuma.
Kao dodatak AD-based grupnim polisama, Local ili Stand-alone kompjuterska okruženja koriste Local Group policy Object (LGPO). Kompjuteri koji rade na Windows 2000, Windows XP, Windows Server 2003 samo sadrže jedan LGPO, koji zahvata sve korisnike koji se Log-uju na lokalni kompjuter. Windows Vista & Windows Server 2008 takođe, po defoltu, sadrže jedan LGPO, ali imaju mogućnost da koriste Multiple-user LGPOs za dodatnu administraciju i sigurnosne mogućnosti Stand-alone kompjutera ili kompjutera koji se nalaze u radnim grupama (Workgroups).
Novosti u Windows Server 2008 grupnim polisama
Windows Server 2008 predstavlja određena poboljšanja u karakteristikama koja pomažu u procesuiranju i administraciji grupnih polisa. Ova nova poboljšanja uključuju sledeće:
- Integraciju sa Group Policy Management konzolom: Grupnim polisama se više ne upravlja kroz Active Directory Users and Computers konzole. Group Policy Management konzola (GPMC), koja je ranije morala da se preuzima kao odvojeni Add.on komponent sa Microsoft Web sajta, sada je integrisana karakteristika unutar Windows Server 2008. GPMC može da se instalira koristeći Add Features Wizard ili se instalira automatski kada se serveru dodeli uloga domenskog kontrolera. GPMC je takođe poboljšana u odnosu na prethodnu verziju i sada podržava novi ADMX šablonski File i radi zajedno sa novim filterskim mogućnostima i mogućnošću da nudi komentare koji se odnose na specifične postavke polisa.
- Group Policy klijentski servis: Mehanizmom grupnih polisa i ekstenzijama sa strane klijenata više ne upravlja Winlogon proces. Grupne polise se sada startuju kao servis (gpsvc) koji nudi efikasniji i sigurnije Processing okruženje za primenjivanje postavki grupnih polisa.
- Network Location awareness: Grupne polise se više ne oslanjaju na ICMP protokol (PING) kada određuju efektivnu mrežnu propustnost. U Windows Server 2008, grupne polise sada koriste Network Location Awareness servis (NlaSvc) za određivanje promene mrežnog stanja koje može da utiče na Application of Policy postavke.
- New XML-based administrativni šabloni: Grupne polise tradicionalno koriste jedinstveni File format poznat pod imenom ADM File. Ovaj File sadrži jezik koji se koristi za opisivanje Registry-based postavki koje mogu da se primene na mrežne klijente koristeći grupne polise. Windows Server 2008 predstavlja novi XML-based File format poznat pod imenom ADMX File-ovi. Ovaj novi File format nudi lakše upravljanje administrativnim šablonima unutar višejezičkih okruženja i nudi mogućnost promene mrežnih procesa.
- Centralna ostava za grupne polise (Group Policy central store): ADMX File-ovi šablona mogu da se smeste unutar centralnog skladišta koji se nalazi na SYSVOL Sheru na domenskom kontroleru. Centralna ostava dozvoljava administratorima pristup istom setu ADMX File-ova kada edituju objekat grupne polise i osiguravaju konzistentni upravljački doživljaj kroz domen.
- Poboljšano Log-ovanje grupnih polisa (Group Policy Logging): Ranije verzije grupnih polisa oslanjale su se na Log-ovanje koje je bilo omogućeno za userenv.dll komponent. U Windows Server 2008, Stand-alone servis radi ispod Svchost procesa. Event poruke se sada pojavljuju u sistemskom Logu (System Log) sa Event Source-om Microsoft-Windows-GroupPolicy. Takođe, novi Group Policy Operational Log menja Userenv.dll Log-ovanje; ovo nudi poboljšani Event Messaging koji se odnosi na procesuiranje grupnih polisa.
- Podrška za Local Group Policy Objects: Windows Server 2008 & Windows Vista podržavaju korišćenje višestrukih Local Group Policy objekata na jednom kompjuteru. Ovo nudi poboljšane mogućnosti za kontrolisanje okruženja koje uključuje Shared Computing na istom kompjuteru (kao što je Library) ili smeštanje kompjutera unutar radne grupne (Workgroup). Višestruke postavke Local Group Policy mogu se dodeljivati lokalnim korisnicima ili se mogu primenjivati na lokalne korisnike koji su članovi Administrators ili Local-Users lokalnih ugrađenih grupa. Tipično, ova karakteristika bi trebalo da se koristi na Stand-alone radnim stanicama koje se nalaze u radnim grupama, ali LGPOs će takođe raditi sa domenskim grupnim polisama. Ova karakteristika takođe može i da se onemogući korisšćenjem postavki grupnih polisa.
- Nove postavke u grupnim polisama: Windows Server 2008 sada uključuje preko 2600 postavki polisa, uključujući kategorije koje se odnose na izgradnju Power Management postavki, dodeljivanje printera na osnovu lokacija, blokiranje instalacije uređaja i mnoge druge.
