Windows/Server Client/Διαμόρφωση

Σε κάθε σχολική μονάδα ο ενεργός κατάλογος (active directory) αναπτύσσεται σε ανεξάρτητο δέντρο (domain tree) και δάσος (domain forest) σε σχέση με τα υπόλοιπα σχολεία. Η διαδικασία δημιουργίας της υποδομής Active Directory περιγράφεται στη συνέχεια.

Περιεχόμενα

1 Δόμηση domain
2 Πολιτικές ομάδας (group policies)

Δόμηση domain

Τα αντικείμενα του Active Directory Domain (υπολογιστές και λογαριασμοί χρηστών) εντάσσονται σε Οργανωτικές Μονάδες (Organizational Units – OUs), με σκοπό την ευκολότερη ρύθμιση των παραμέτρων λειτουργίας τους και επομένως την αυξημένη λειτουργικότητα, ασφάλεια και απόδοση. Οι ρυθμίσεις λειτουργίας εφαρμόζονται με Πολιτικές Ομάδας (Group Policies). Στο γειτονικό διάγραμμα απεικονίζεται η προτεινόμενη δόμηση του Active Directory σε οργανωτικές μονάδες (OU’s). Στη συνέχεια αναλύεται κάθε τμήμα του, ώστε να γίνει κατανοητός ο τρόπος με τον οποίο μπορεί να αξιοποιηθεί η εν λόγω δομή. Η προτεινόμενη δομή μπορεί να προσαρμοστεί ανάλογα με τις ανάγκες διαχείρισης και τις λειτουργικές απαιτήσεις του κάθε σχολείου.

Το domain school.local περιέχει μόνο το OU “Lab”, που περιλαμβάνει τους υπολογιστές και τους λογαριασμούς του σχολικού εργαστηρίου. Μπορεί μελλοντικά να ενσωματώσει επιπλέον OUs (π.χ. δεύτερο εργαστήριο, υπολογιστές και χρήστες γραφείων σχολείου) αν είναι επιθυμητή η επέκταση του domain σε όλο το σχολείο.

Κάτω από το OU “Computers” αποθηκεύονται μόνο οι υπολογιστές που ανήκουν στο σχολικό εργαστήριο και εφαρμόζονται μόνο τα τμήματα των group policies που αφορούν υπολογιστές (όπως και στα OU’s που βρίσκονται πιο χαμηλά στο δέντρο). Κάτω από το OU “Servers” αποθηκεύονται όλα τα υπολογιστικά συστήματα που παρέχουν κάποιο είδος υπηρεσίας στο εργαστήριο (π.χ. proxy server). Στην παρούσα μορφή των εργαστηρίων αυτό το OU δεν έχει μέλη, καθώς ο domain controller εξ’ ορισμού ανήκει σε ομώνυμο OU που βρίσκεται εκτός του δέντρου. Το OU “Workstations” περιέχει όλους τους σταθμούς εργασίας του σχολικού εργαστηρίου.

Κάτω από το OU “Accounts” αποθηκεύονται μόνο οι λογαριασμοί χρηστών του σχολικού εργαστηρίου και εφαρμόζονται μόνο τα τμήματα των group policies που αφορούν χρήστες (όπως και στα OU’s που βρίσκονται πιο χαμηλά στο δέντρο).

Σε ότι αφορά τους λογαριασμούς χρηστών υπάρχει ένα OU με τίτλο “Administrative accounts” με χρήστες με διαχειριστικά δικαιώματα, που μπορούν να χρησιμοποιηθούν από τον υπεύθυνο εργαστηρίου, τους τεχνικούς της ΤΣ ή οποιονδήποτε άλλο απαιτήσει τέτοιας μορφής πρόσβαση στο μέλλον. Στο OU “Template accounts” αποθηκεύονται πρότυποι λογαριασμοί, που μπορούν να χρησιμοποιηθούν για τη γρήγορη δημιουργία λογαριασμών που ανήκουν σε οποιαδήποτε άλλη κατηγορία (π.χ. μαθητών).

Το OU “Shared accounts” περιέχει τρία OUs. Στο “Classes” μπορούν να δημιουργηθούν κοινόχρηστοι λογαριασμοί για τους μαθητές ανάλογα με την τάξη ή το τμήμα στο οποίο ανήκουν (1st class, 2nd class κλπ). Στο “Lessons” είναι δυνατή με αντίστοιχο τρόπο η δημιουργία κοινόχρηστων λογαριασμών ανάλογα με το μάθημα για το οποίο γίνεται χρήση του εργαστηρίου (Physics, English κλπ).

Τα OUs “Teachers” και “Students” μπορούν να χρησιμοποιηθούν για τη δημιουργία προσωπικών λογαριασμών για καθηγητές () και μαθητές συγκεκριμένης τάξης (). Η αξιοποίησή του πολλαπλασιάζει τις παρεχόμενες δυνατότητες από το σχολικό εργαστήριο (π.χ. κάθε μαθητής μπορεί να έχει το δικό του χώρο αποθήκευσης αρχείων). Απαιτείται όμως να αφιερωθεί πολύ μεγαλύτερος χρόνος για τη διαχείριση του Active Directory από τον υπεύθυνο εργαστηρίου.

Είναι ευνόητο πως κάποιο μέρος του ανωτέρω δέντρου μπορεί να μην χρησιμοποιείται, ανάλογα με τη μέθοδο αξιοποίησης του Active Directory που θα επιλέξει ο υπεύθυνος εργαστηρίου. Η ύπαρξη ενός τέτοιου υποδέντρου δεν επηρεάζει με κάποιο τρόπο τη λειτουργικότητα ή την ασφάλεια των πληροφοριακών συστημάτων. Για την σωστή αξιοποίηση του εργαστηρίου κρίνεται καταρχήν αναγκαία η χρήση των OU’s “Workstations”, “Administrative accounts” & “Shared accounts”.

Από την κονσόλα διαχείρισης της υπηρεσίας Active Directory Users and Computers Start ▸ Programs ▸ Administrative Tools ▸ Active Directory Users and Computers μπορούμε να ξεκινήσουμε τη διαμόρφωση της επιθυμητής δομής OUs.

Αρχικά πηγαίνουμε στα Administrative Tools και επιλέγουμε το Active Directory Users and Computers.

Στη γειτονική εικόνα φαίνεται η αρχική κονσόλα διαχείρισης Active Directory Users and Computers, στην οποία επιλέγουμε το προς διαμόρφωση domain school.local.

Προσθέτουμε μια νέα οργανωτική μονάδα (OU) στον τομέα school.local με δεξί κλικ στο school.local ▸ New ▸ Organizational Unit

Προσθέτουμε την πρώτη οργανωτική μονάδα πχ με όνομα Lab. Αυτό επαναλαμβάνεται για όλες τις οργανωτικές μονάδες που περιγράψαμε προηγουμένως.

Τελικά, εμφανίζεται στο γραφικό περιβάλλον της κονσόλας το διάγραμμα όλων των οργανωτικών μονάδων.

Τα OUs δημιουργούνται εξ ορισμού με προστασία από κατά λάθος διαγραφή. Για τη διαγραφή τους πρέπει αρχικά να ενεργοποιηθούν τα View ▸ Advanced Features και έπειτα στις ιδιότητες του OU στην καρτέλα “Object” να απενεργοποιηθεί η ρύθμιση “Protect container from accidental deletion”.

Πολιτικές ομάδας (group policies)

Σύμφωνα με τη ανωτέρω προτεινόμενη δομή του Active Directory σε OU’s, είναι δυνατή η εφαρμογή πολιτικών ομάδας (Group Policies - GPOs), για την εφαρμογή ρυθμίσεων λειτουργίας των λογαριασμών χρηστών και υπολογιστών του τομέα. Ο τομέας με τη δημιουργία του περιλαμβάνει τις ακόλουθες δύο πολιτικές:

Default Domain Policy
Default Domain Controllers Policy

Οι πολιτικές που εμείς δημιουργούμε καλό είναι στην ονομασία τους να ξεκινούν με το λεκτικό SEPEHY, ώστε να διαχωρίζονται εύκολα από τις default πολιτικές, τις οποίες καλό είναι να μην τροποποιούμε. Στις επόμενες ενότητες αναφέρονται αναλυτικά οι ρυθμίσεις που προτείνεται να εφαρμοστούν:

στα Shared Accounts (SEPEHY Shared Accounts Policy)
στα Accounts (SEPEHY Accounts Policy)
στους λογαριασμούς Administrator και Guest (SEPEHY Rename Administrator Policy)
στα Workstations (SEPEHY Workstations Policy).

Η διαχείριση των πολιτικών πραγματοποιείται ξεκινώντας την κονσόλα Group Policy Management από το Administrative Tools ▸ Group Policy Management , όπου επιλέγουμε το προς διαμόρφωση domain school.local.

Όλες οι πολιτικές ομάδας δημιουργούνται και αποθηκεύονται στο "Group Policy Objects" μέσα στο school.local με δεξί click στο Group Policy Objects ▸ New και εισάγοντας το όνομα της εκάστοτε πολιτικής. Μία πολιτική εφαρμόζεται σε ένα OU με τη δημιουργία ενός συνδέσμου (Link) της πολιτικής μέσα στο OU.

Η σύνδεση μιας πολιτικής με ένα OU πραγματοποιείται με δεξί click στο OU ▸ Link an existing GPO... . Mία πολιτική μπορεί να εφαρμοστεί σε πολλά OUs, έχοντας ένα σύνδεσμο σε καθένα από αυτά. Επίσης σε ένα OU μπορούν να εφαρμοστούν πολλές πολιτικές εάν δημιουργηθούν πολλοί σύνδεσμοι στο OU.

Οι ρυθμίσεις μιας πολιτικής τροποποιούνται με δεξί click στην πολιτική ▸ Edit... . Μία πολιτική μπορεί να περιέχει ρυθμίσεις τόσο για λογαριασμούς χρηστών όσο και για υπολογιστές. Εάν περιέχει ρυθμίσεις μόνο για υπολογιστές μπορούμε να απενεργοποιήσουμε το τμήμα ρυθμίσεων των λογαριασμών χρηστών και επομένως να εξοικονομήσουμε το χρόνο της επεξεργασίας τους από το Domain Controller, με δεξί click στην πολιτική ▸ GPO Status ▸ User Configuration Settings Disabled . Αντίστροφα εάν περιέχει μόνο ρυθμίσεις λογαριασμών χρηστών μπορούμε να απενεργοποιήσουμε το τμήμα των ρυθμίσεων υπολογιστών με δεξί click στην πολιτική ▸ GPO Status ▸ Computer Configuration Settings Disabled .

Πολιτική "SEPEHY Shared Accounts Policy"

Εφαρμόζεται στο OU Shared Accounts.

Policy Path (User)	Full Policy Name	Setting
Administrative Templates\Control Panel	Prohibit access to the Control Panel	Enabled
Administrative Templates\Control Panel\Printers	Prevent deletion of printers	Enabled
Administrative Templates\Control Panel\Programs	Hide "Set Program Access and Computer Defaults" page	Enabled
Administrative Templates\Desktop	Prohibit User from manually redirecting Profile Folders	Enabled
Administrative Templates\Desktop	Remove Properties from the Computer icon context menu	Enabled
Administrative Templates\Desktop	Remove Properties from the Documents icon context menu	Enabled
Administrative Templates\Desktop	Remove Properties from the Recycle Bin context menu	Enabled
Administrative Templates\Network\Network Connections	Prohibit access to properties of a LAN connection	Enabled
Administrative Templates\Network\Network Connections	Prohibit access to the New Connection Wizard	Enabled
Administrative Templates\Start Menu and Taskbar	Add Logoff to the Start Menu	Enabled
Administrative Templates\Start Menu and Taskbar	Lock the Taskbar	Enabled
Administrative Templates\Start Menu and Taskbar	Prevent changes to Taskbar and Start Menu Settings	Enabled
Administrative Templates\Start Menu and Taskbar	Remove access to the context menus for the taskbar	Enabled
Administrative Templates\Start Menu and Taskbar	Remove Drag-and-drop context menus on the Start Menu	Enabled
Administrative Templates\Start Menu and Taskbar	Remove links and access to Windows Update	Enabled
Administrative Templates\Start Menu and Taskbar	Remove Music icon from Start Menu	Enabled
Administrative Templates\Start Menu and Taskbar	Remove Network Connections from Start Menu	Enabled
Administrative Templates\Start Menu and Taskbar	Remove Pictures icon from Start Menu	Enabled
Administrative Templates\Start Menu and Taskbar	Remove programs on Settings menu	Enabled
Administrative Templates\Start Menu and Taskbar	Remove user's folders from the Start Menu	Enabled
Administrative Templates\Start Menu and Taskbar	Turn off notification area cleanup	Enabled
Administrative Templates\Start Menu and Taskbar	Turn off personalized menus	Enabled
Administrative Templates\Start Menu and Taskbar	Turn off user tracking	Enabled
Administrative Templates\System	Don't display the Getting Started welcome screen at logon	Enabled
Administrative Templates\System	Prevent access to registry editing tools	Enabled
Administrative Templates\System	Prevent access to the command prompt	Enabled
Administrative Templates\System\Ctrl+Alt+Del Options	Remove Change Password	Enabled
Administrative Templates\System\Ctrl+Alt+Del Options	Remove Lock Computer	Enabled
Administrative Templates\System\Ctrl+Alt+Del Options	Remove Task Manager	Enabled
Administrative Templates\System\User Profiles	Limit profile size	Enabled (default)
Administrative Templates\Windows Components\Internet Explorer	Configure Outlook Express	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable AutoComplete for forms	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing accessibility settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing Advanced page settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing Automatic Configuration settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing Calendar and Contact settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing certificate settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing color settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing connection settings...	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing default browser check	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing font settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing home page settings	Enabled (about:blank)
Administrative Templates\Windows Components\Internet Explorer	Disable changing language settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing link color settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing Messaging settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing Profile Assistant settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing proxy settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing ratings settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable changing Temporary Internet files settings	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable external branding of Internet Explorer	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable Internet Connection wizard	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable the Reset Web Settings feature	Enabled
Administrative Templates\Windows Components\Internet Explorer	Do not allow users to enable or disable add-ons	Enabled
Administrative Templates\Windows Components\Internet Explorer	Identity Manager: Prevent users from using Identities	Enabled
Administrative Templates\Windows Components\Internet Explorer	Search: Disable Search Customization	Enabled
Administrative Templates\Windows Components\Internet Explorer	Turn on the auto-complete feature for user names and passwords on forms	Disabled
Administrative Templates\Windows Components\Internet Explorer\Browser menus	Help menu: Remove 'For Netscape Users' menu option	Enabled
Administrative Templates\Windows Components\Internet Explorer\Browser menus	Help menu: Remove 'Send Feedback' menu option	Enabled
Administrative Templates\Windows Components\Internet Explorer\Browser menus	Help menu: Remove 'Tip of the Day' menu option	Enabled
Administrative Templates\Windows Components\Internet Explorer\Browser menus	Help menu: Remove 'Tour' menu option	Enabled
Administrative Templates\Windows Components\Internet Explorer\Browser menus	Tools menu: Disable Internet Options... menu option	Enabled
Administrative Templates\Windows Components\Internet Explorer\Delete Browsing History	Disable configuring history	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the Advanced page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the Connections page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the Content page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the General page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the Privacy page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the Programs page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the Security page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Toolbars	Disable customizing browser toolbar buttons	Enabled
Administrative Templates\Windows Components\Internet Explorer\Toolbars	Disable customizing browser toolbars	Enabled
Administrative Templates\Windows Components\Microsoft Management Console	Restrict users to the explicitly permitted list of snap-ins	Enabled
Administrative Templates\Windows Components\NetMeeting	Disable Directory services	Enabled
Administrative Templates\Windows Components\NetMeeting	Prevent adding Directory servers	Enabled
Administrative Templates\Windows Components\NetMeeting	Prevent automatic acceptance of Calls	Enabled
Administrative Templates\Windows Components\NetMeeting	Prevent changing Call placement method	Enabled
Administrative Templates\Windows Components\NetMeeting	Prevent viewing Web directory	Enabled
Administrative Templates\Windows Components\Task Scheduler	Hide Advanced Properties Checkbox in Add Scheduled Task Wizard	Enabled
Administrative Templates\Windows Components\Task Scheduler	Hide Property Pages	Enabled
Administrative Templates\Windows Components\Task Scheduler	Prevent Task Run or End	Enabled
Administrative Templates\Windows Components\Task Scheduler	Prohibit Browse	Enabled
Administrative Templates\Windows Components\Task Scheduler	Prohibit Drag-and-Drop	Enabled
Administrative Templates\Windows Components\Task Scheduler	Prohibit New Task Creation	Enabled
Administrative Templates\Windows Components\Task Scheduler	Prohibit Task Deletion	Enabled
Administrative Templates\Windows Components\Windows Explorer	Hides the Manage item on the Windows Explorer context menu	Enabled
Administrative Templates\Windows Components\Windows Explorer	Remove “Map Network Drive” and “Disconnect Network Drive”	Enabled
Administrative Templates\Windows Components\Windows Explorer	Removes the Folder Options menu item from the Tools menu	Enabled
Administrative Templates\Windows Components\Windows Explorer	Remove CD Burning features	Enabled
Administrative Templates\Windows Components\Windows Explorer	Remove Hardware tab	Enabled
Administrative Templates\Windows Components\Windows Explorer	Remove Security tab	Enabled
Administrative Templates\Windows Components\Windows Media Player	Prevent CD and DVD Media Information Retrieval	Enabled
Administrative Templates\Windows Components\Windows Media Player	Prevent Music File Media Information Retrieval	Enabled
Administrative Templates\Windows Components\Windows Media Player	Prevent Radio Station Preset Retrieval	Enabled
Administrative Templates\Windows Components\Windows Media Player\Networking	Hide Network Tab	Enabled
Administrative Templates\Windows Components\Windows Media Player\User Interface	Hide Privacy Tab	Enabled
Administrative Templates\Windows Components\Windows Media Player\User Interface	Hide Security Tab	Enabled

Πολιτική "SEPEHY Accounts Policy"

Εφαρμόζεται στο OU Accounts.

Policy Path (User)	Full Policy Name	Setting
Policies\Windows Settings\Folder Redirection\Documents	Redirect to the following location	\\10.10.10.10\Users\%USERNAME%\Documents
Policies\Windows Settings\Folder Redirection\Desktop	Redirect to the following location	\\10.10.10.10\Users\%USERNAME%\Desktop

Πολιτική "SEPEHY Rename Administrator Policy"

Εφαρμόζεται στον τομέα school.local.

Policy Path (Computer)	Full Policy Name	Setting
Policies\Windows Settings\Security Settings\Local Policies\Security Options\	Accounts: Rename administrator account	yper
Policies\Windows Settings\Security Settings\Local Policies\Security Options\	Accounts: Rename guest account	gdisabled

Πολιτική "SEPEHY Workstations Policy"

Εφαρμόζεται στο OU Workstations.

Policy Path (Computer)	Full Policy Name	Setting
Administrative Templates\Network\Network Connections	Prohibit installation and configuration of Network Bridge on your DNS domain network	Enabled
Administrative Templates\Network\Network Connections	Prohibit use of Internet Connection Firewall on your DNS domain network	Enabled
Administrative Templates\Network\Network Connections	Prohibit use of Internet Connection Sharing on your DNS domain network	Enabled
Administrative Templates\Network\Network Connections\Windows Firewall\Domain Profile	Windows Firewall: Protect all network connections	Disabled
Administrative Templates\Network\Offline Files	Allow or Disallow use of the Offline Files feature	Disabled
Administrative Templates\System\Logon	Don't display the Getting Started welcome screen at logon	Enabled
Administrative Templates\System\Remote Assistance	Offer Remote Assistance	Enabled (Domain Admins)
Administrative Templates\System\Remote Assistance	Solicited Remote Assistance	Enabled (default)
Administrative Templates\System\System Restore	Turn off System Restore	Enabled
Administrative Templates\System\User Profiles	Slow network connection timeout for user profiles	Enabled (default)
Administrative Templates\System\Windows Time Service\Time Providers	Enable Windows NTP Client	Enabled
Administrative Templates\Windows Components\Autoplay Policies	Turn off Autoplay	Enabled (CD-ROM and removable media drives)
Administrative Templates\Windows Components\Internet Explorer	Disable Periodic Check for Internet Explorer software updates	Enabled
Administrative Templates\Windows Components\Internet Explorer	Disable showing the splash screen	Enabled
Administrative Templates\Windows Components\Internet Explorer	Do not allow users to enable or disable add-ons	Enabled
Administrative Templates\Windows Components\Internet Explorer	Make proxy settings per-machine (rather than per-user)	Enabled
Administrative Templates\Windows Components\Internet Explorer	Security Zones: Do not allow users to add/delete sites	Enabled
Administrative Templates\Windows Components\Internet Explorer	Security Zones: Do not allow users to change policies	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the Advanced page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the Connections page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the Content page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the General page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the Privacy page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the Programs page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel	Disable the Security page	Enabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page	Allow active content from CDs to run on user machines	Disabled
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page	Allow software to run or install even if the signature is invalid	Disabled
Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connection	Allow users to connect remotely using Remote Desktop Services	Enabled
Administrative Templates\Windows Components\Security Center	Turn on Security Center (Domain PCs only)	Enabled
Administrative Templates\Windows Components\Windows Error Reporting	Display Error Notification	Enabled
Administrative Templates\Windows Components\Windows Installer	Allow admin to install from Terminal Services session	Enabled
Administrative Templates\Windows Components\Windows Media Player	Do Not Show First Use Dialog Boxes	Enabled
Administrative Templates\Windows Components\Windows Media Player	Prevent Desktop Shortcut Creation	Enabled
Administrative Templates\Windows Components\Windows Messenger	Do not allow Windows Messenger to be run	Enabled
Administrative Templates\Windows Components\Windows Update	Allow Automatic Updates immediate installation	Enabled
Administrative Templates\Windows Components\Windows Update	Configure Automatic Updates	Enabled (4)

Αντίγραφα ασφαλείας και επαναφορά πολιτικών ομάδας

Η δημιουργία πολιτικών με μεγάλο αριθμό ρυθμίσεων είναι μια αρκετά χρονοβόρα διαδικασία. Είναι επομένως σημαντικό να λαμβάνουμε αντίγραφα (backup) των πολιτικών σε περίπτωση που τις σβήσουμε από λάθος ή στην περίπτωση που θέλουμε να αναιρέσουμε άμεσα μεγάλο αριθμό ανεπιθύμητων αλλαγών.

Μία άλλη σημαντική λειτουργία είναι η εισαγωγή ρυθμίσεων (Import Settings) από πολιτικές που έχουν δημιουργηθεί σε διαφορετικούς τομείς (domains) ή δέντρα τομέων (forests). Αντίθετα η διαδικασία restore αφορά μόνο σε πολιτικές που έχουν δημιουργηθεί στο ίδιο domain και forest με το δικό μας.

Μπορούμε να λάβουμε αντίγραφα των πολιτικών μας από την κονσόλα Group Policy Management με δεξί click στο Group Policy Objects ▸ Backup all... , όπου επιλέγουμε φάκελο αποθήκευσης. Για να λάβουμε αντίγραφο από μία μόνο πολιτική ακολουθούμε την ίδια διαδικασία, κάνοντας δεξί click μόνο στην πολιτική που μας ενδιαφέρει.

Επαναφέρουμε μια δική μας πολιτική από την κονσόλα Group Policy Management με δεξί click στο Group Policy Objects ▸ Manage Backups , όπου ανοίγουμε το διάλογο διαχείρισης των υπαρχόντων αντιγράφων. Ορίζουμε το φάκελο που βρίσκονται τα αντίγραφα, επιλέγουμε το επιθυμητό αντίγραφο και πατάμε Restore. Κατόπιν ενεργοποιούμε την πολιτική δημιουργώντας Links προς τα OUs στα οποία αυτή θα εφαρμοστεί.

Για διευκόλυνση ενεργοποίησης των προτεινόμενων πολιτικών προσφέρονται αντίγραφα ασφαλείας των SEPEHY Shared Accounts Policy και SEPEHY Workstations Policy, τα οποία μπορείτε να εισάγετε στο domains σας μέσω της εισαγωγής ρυθμίσεων. Αποσυμπιέζουμε τα αρχεία πολιτικών ομάδας σε κάποιο φάκελο. Από την κονσόλα Group Policy Management δημιουργούμε τις προτεινόμενες πολιτικές. Κατόπιν με δεξί click στην κάθε πολιτική ▸ Import Settings... , όπου επιλέγουμε το φάκελο που βρίσκονται τα αντίγραφα και κατόπιν τη συγκεκριμένη πολιτική με τις ρυθμίσεις που μας ενδιαφέρουν.