Kolejność przetwarzania i wdrażania zasad
Damian Stelmach
Obiekty Zasad Grupy można tworzyć lokalnie, jak również z poziomu serwera dla lokacji, poszczególnych domen, jak również jednostek organizacyjnych. Pojawia się zatem pytanie, w jaki sposób oraz w jakiej kolejności przetwarzane są zasady?
Wyobraźmy sobie sytuacje, że dla całej domeny (a właściwie użytkowników tej domeny) zabroniliśmy dostępu do panelu sterowania. Konkretnej jednostce organizacyjnej z kolei, zezwoliliśmy na obsługę panelu. Jak zatem będzie przedstawiała się kwestia dostępu dla użytkowników należących do tej jednostki organizacyjnej?
Otóż będą oni mogli korzystać z panelu – dlaczego? Dlatego, że w pierwszej kolejności przetwarzane są zasady przypisywane dla jednostek organizacyjnych i to one mają pierwszeństwo. Nawet jeśli zabronimy czegoś dla całej domeny, a zezwolimy dla jednostki to te ustawienia będą miały priorytet. Kolejność przetwarzania zasad przedstawia poniższy diagram.
Kolejna ważna kwestia to wdrażanie zasad. Po tym jak dokonamy modyfikacji w obiektach zasad powinna nastąpić ich aktualizacja, zarówno na serwerze, jak również na kliencie. Zasady aktualizowane są automatycznie, co pewien czas, jednak po każdej modyfikacji obiektów warto wykonać taką aktualizację ręcznie. Służy do tego polecenie gpupdate /force wprowadzane w konsoli systemowej.
Polecenie gpupdate /force wykonać można na serwerze oraz na kliencie. Wówczas mamy pewność, że wszystkie zamiany, których dokonaliśmy zostaną wprowadzone od razu. Jeśli chodzi o samych klientów to aktualizacja zasad odbywa się również podczas ponownego logowania do systemu oraz po upływie określonego czasu. Czas ten wynosi między 90, a 120 minut.
Utworzona zasada z linkiem to dopiero początek. Zasadę trzeba teraz “uzbroić” w odpowiednie ustawienia. Aby uruchomić okno edycji zasady klikamy PPM, albo w zasadę, albo w link i wybieramy Edytuj (ang. Edit)
Uruchomione zostanie okno edycji zasad, zawierające ustawienia konfiguracyjne użytkowników i komputerów. Ustawienia dla komputerów dotyczą urządzeń bez względu na to jaki użytkownik się zaloguje, natomiast ustawienia użytkownika dotyczą użytkowników bez względu na to do jakiego komputera się zalogują. Dotyczy to oczywiście tylko jednostek organizacyjnych, dla których przygotowywane są zasady.
Skonfigurowane zasady domyślnie działać będą dla wszystkich użytkowników (lub komputerów – w zależności od wybranej konfiguracji) w danej jednostce organizacyjnej. Można to oczywiście zmienić, usuwając z listy Użytkowników Uwierzytelnionych (ang. Authenticated Users). Wówczas dodając do tej listy określonych użytkowników czy też grupy (oczywiście muszą być oni przypisanie do jednostki, na którą nałożyliśmy zasadę), możemy samodzielnie decydować, dla których z nich obowiązywały będą zasady.
Polecamy: Mega Sekurak Hacking Party
Kolejna edycja największej imprezy hakerskiej w Polsce, czyli Mega Sekurak Hacking Party odbędzie się już 20 maja 2024r. Z tej okazji mamy dla Was kod: pasjamshp - wpiszcie go w koszyku, dzięki czemu otrzymacie 40% zniżki na bilet standard. Więcej szczegółów znajdziecie tutaj.
Książka: Wprowadzenie do bezpieczeństwa IT
Niedawno wystartował dodruk świetnej, rozchwytywanej książki pt. "Wprowadzenie do bezpieczeństwa IT, Tom I" (około 940 stron). Mamy dla Was kod: pasja (wpisz go w koszyku), dzięki któremu otrzymacie 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla naszych Widzów! Jest to pierwszy tom serii o ITsec, który wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!
Pomóż dzieciom
Polska Akcja Humanitarna od wielu lat dożywia dzieci. Prosimy, poświęć teraz dosłownie chwilę i pomóż klikając w oznaczony strzałką zielony brzuszek Pajacyka. Dziękujemy!
Komentarze
Czy macie jakieś pytania, sugestie, uwagi? A może zauważyliście literówkę albo błąd? Dajcie koniecznie znać: kontakt@pasja-informatyki.pl. Dziękujemy za poświęcony czas - to dzięki Wam serwis staje się coraz lepszy!