Kolejność przetwarzania i wdrażania zasad

Artykuł  | Damian Stelmach

Obiekty Zasad Grupy można tworzyć lokalnie, jak również z poziomu serwera dla lokacji, poszczególnych domen, jak również jednostek organizacyjnych. Pojawia się zatem pytanie, w jaki sposób oraz w jakiej kolejności przetwarzane są zasady?

Wyobraźmy sobie sytuacje, że dla całej domeny (a właściwie użytkowników tej domeny) zabroniliśmy dostępu do panelu sterowania. Konkretnej jednostce organizacyjnej z kolei, zezwoliliśmy na obsługę panelu. Jak zatem będzie przedstawiała się kwestia dostępu dla użytkowników należących do tej jednostki organizacyjnej?

Otóż będą oni mogli korzystać z panelu – dlaczego? Dlatego, że w pierwszej kolejności przetwarzane są zasady przypisywane dla jednostek organizacyjnych i to one mają pierwszeństwo. Nawet jeśli zabronimy czegoś dla całej domeny, a zezwolimy dla jednostki to te ustawienia będą miały priorytet. Kolejność przetwarzania zasad przedstawia poniższy diagram.

Kolejna ważna kwestia to wdrażanie zasad. Po tym jak dokonamy modyfikacji w obiektach zasad powinna nastąpić ich aktualizacja, zarówno na serwerze, jak również na kliencie. Zasady aktualizowane są automatycznie, co pewien czas, jednak po każdej modyfikacji obiektów warto wykonać taką aktualizację ręcznie. Służy do tego polecenie gpupdate /force wprowadzane w konsoli systemowej.

Polecenie gpupdate /force wykonać można na serwerze oraz na kliencie. Wówczas mamy pewność, że wszystkie zamiany, których dokonaliśmy zostaną wprowadzone od razu. Jeśli chodzi o samych klientów to aktualizacja zasad odbywa się również podczas ponownego logowania do systemu oraz po upływie określonego czasu. Czas ten wynosi między 90, a 120 minut.

Utworzona zasada z linkiem to dopiero początek. Zasadę trzeba teraz “uzbroić” w odpowiednie ustawienia. Aby uruchomić okno edycji zasady klikamy PPM, albo w zasadę, albo w link i wybieramy Edytuj (ang. Edit)

Uruchomione zostanie okno edycji zasad, zawierające ustawienia konfiguracyjne użytkowników i komputerów. Ustawienia dla komputerów dotyczą urządzeń bez względu na to jaki użytkownik się zaloguje, natomiast ustawienia użytkownika dotyczą użytkowników bez względu na to do jakiego komputera się zalogują. Dotyczy to oczywiście tylko jednostek organizacyjnych, dla których przygotowywane są zasady.

Skonfigurowane zasady domyślnie działać będą dla wszystkich użytkowników (lub komputerów – w zależności od wybranej konfiguracji) w danej jednostce organizacyjnej. Można to oczywiście zmienić, usuwając z listy Użytkowników Uwierzytelnionych (ang. Authenticated Users). Wówczas dodając do tej listy określonych użytkowników czy też grupy (oczywiście muszą być oni przypisanie do jednostki, na którą nałożyliśmy zasadę), możemy samodzielnie decydować, dla których z nich obowiązywały będą zasady.

Komentarze

Czy macie jakieś uwagi, pytania, sugestie? A może zauważyliście literówkę albo błąd? Dajcie koniecznie znać w komentarzach. Dziękujemy Wam za poświęcony czas!