Windows/Server Client/Διαμόρφωση
Σε κάθε σχολική μονάδα ο ενεργός κατάλογος (active directory) αναπτύσσεται σε ανεξάρτητο δέντρο (domain tree) και δάσος (domain forest) σε σχέση με τα υπόλοιπα σχολεία. Η διαδικασία δημιουργίας της υποδομής Active Directory περιγράφεται στη συνέχεια.
Περιεχόμενα
Δόμηση domain
Τα αντικείμενα του Active Directory Domain (υπολογιστές και λογαριασμοί χρηστών) εντάσσονται σε Οργανωτικές Μονάδες (Organizational Units – OUs), με σκοπό την ευκολότερη ρύθμιση των παραμέτρων λειτουργίας τους και επομένως την αυξημένη λειτουργικότητα, ασφάλεια και απόδοση. Οι ρυθμίσεις λειτουργίας εφαρμόζονται με Πολιτικές Ομάδας (Group Policies). Στο γειτονικό διάγραμμα απεικονίζεται η προτεινόμενη δόμηση του Active Directory σε οργανωτικές μονάδες (OU’s). Στη συνέχεια αναλύεται κάθε τμήμα του, ώστε να γίνει κατανοητός ο τρόπος με τον οποίο μπορεί να αξιοποιηθεί η εν λόγω δομή. Η προτεινόμενη δομή μπορεί να προσαρμοστεί ανάλογα με τις ανάγκες διαχείρισης και τις λειτουργικές απαιτήσεις του κάθε σχολείου.
Το domain school.local περιέχει μόνο το OU “Lab”, που περιλαμβάνει τους υπολογιστές και τους λογαριασμούς του σχολικού εργαστηρίου. Μπορεί μελλοντικά να ενσωματώσει επιπλέον OUs (π.χ. δεύτερο εργαστήριο, υπολογιστές και χρήστες γραφείων σχολείου) αν είναι επιθυμητή η επέκταση του domain σε όλο το σχολείο.
Κάτω από το OU “Computers” αποθηκεύονται μόνο οι υπολογιστές που ανήκουν στο σχολικό εργαστήριο και εφαρμόζονται μόνο τα τμήματα των group policies που αφορούν υπολογιστές (όπως και στα OU’s που βρίσκονται πιο χαμηλά στο δέντρο). Κάτω από το OU “Servers” αποθηκεύονται όλα τα υπολογιστικά συστήματα που παρέχουν κάποιο είδος υπηρεσίας στο εργαστήριο (π.χ. proxy server). Στην παρούσα μορφή των εργαστηρίων αυτό το OU δεν έχει μέλη, καθώς ο domain controller εξ’ ορισμού ανήκει σε ομώνυμο OU που βρίσκεται εκτός του δέντρου. Το OU “Workstations” περιέχει όλους τους σταθμούς εργασίας του σχολικού εργαστηρίου.
Κάτω από το OU “Accounts” αποθηκεύονται μόνο οι λογαριασμοί χρηστών του σχολικού εργαστηρίου και εφαρμόζονται μόνο τα τμήματα των group policies που αφορούν χρήστες (όπως και στα OU’s που βρίσκονται πιο χαμηλά στο δέντρο).
Σε ότι αφορά τους λογαριασμούς χρηστών υπάρχει ένα OU με τίτλο “Administrative accounts” με χρήστες με διαχειριστικά δικαιώματα, που μπορούν να χρησιμοποιηθούν από τον υπεύθυνο εργαστηρίου, τους τεχνικούς της ΤΣ ή οποιονδήποτε άλλο απαιτήσει τέτοιας μορφής πρόσβαση στο μέλλον. Στο OU “Template accounts” αποθηκεύονται πρότυποι λογαριασμοί, που μπορούν να χρησιμοποιηθούν για τη γρήγορη δημιουργία λογαριασμών που ανήκουν σε οποιαδήποτε άλλη κατηγορία (π.χ. μαθητών).
Το OU “Shared accounts” περιέχει τρία OUs. Στο “Classes” μπορούν να δημιουργηθούν κοινόχρηστοι λογαριασμοί για τους μαθητές ανάλογα με την τάξη ή το τμήμα στο οποίο ανήκουν (1st class, 2nd class κλπ). Στο “Lessons” είναι δυνατή με αντίστοιχο τρόπο η δημιουργία κοινόχρηστων λογαριασμών ανάλογα με το μάθημα για το οποίο γίνεται χρήση του εργαστηρίου (Physics, English κλπ).
Τα OUs “Teachers” και “Students” μπορούν να χρησιμοποιηθούν για τη δημιουργία προσωπικών λογαριασμών για καθηγητές () και μαθητές συγκεκριμένης τάξης (). Η αξιοποίησή του πολλαπλασιάζει τις παρεχόμενες δυνατότητες από το σχολικό εργαστήριο (π.χ. κάθε μαθητής μπορεί να έχει το δικό του χώρο αποθήκευσης αρχείων). Απαιτείται όμως να αφιερωθεί πολύ μεγαλύτερος χρόνος για τη διαχείριση του Active Directory από τον υπεύθυνο εργαστηρίου.
Είναι ευνόητο πως κάποιο μέρος του ανωτέρω δέντρου μπορεί να μην χρησιμοποιείται, ανάλογα με τη μέθοδο αξιοποίησης του Active Directory που θα επιλέξει ο υπεύθυνος εργαστηρίου. Η ύπαρξη ενός τέτοιου υποδέντρου δεν επηρεάζει με κάποιο τρόπο τη λειτουργικότητα ή την ασφάλεια των πληροφοριακών συστημάτων. Για την σωστή αξιοποίηση του εργαστηρίου κρίνεται καταρχήν αναγκαία η χρήση των OU’s “Workstations”, “Administrative accounts” & “Shared accounts”.
Από την κονσόλα διαχείρισης της υπηρεσίας Active Directory Users and Computers Start ▸ Programs ▸ Administrative Tools ▸ Active Directory Users and Computers μπορούμε να ξεκινήσουμε τη διαμόρφωση της επιθυμητής δομής OUs.
- Στη γειτονική εικόνα φαίνεται η αρχική κονσόλα διαχείρισης Active Directory Users and Computers, στην οποία επιλέγουμε το προς διαμόρφωση domain school.local.
- Προσθέτουμε μια νέα οργανωτική μονάδα (OU) στον τομέα school.local με δεξί κλικ στο school.local ▸ New ▸ Organizational Unit
- Προσθέτουμε την πρώτη οργανωτική μονάδα πχ με όνομα
Lab. Αυτό επαναλαμβάνεται για όλες τις οργανωτικές μονάδες που περιγράψαμε προηγουμένως.
- Τελικά, εμφανίζεται στο γραφικό περιβάλλον της κονσόλας το διάγραμμα όλων των οργανωτικών μονάδων.
Πολιτικές ομάδας (group policies)
Σύμφωνα με τη ανωτέρω προτεινόμενη δομή του Active Directory σε OU’s, είναι δυνατή η εφαρμογή πολιτικών ομάδας (Group Policies - GPOs), για την εφαρμογή ρυθμίσεων λειτουργίας των λογαριασμών χρηστών και υπολογιστών του τομέα. Ο τομέας με τη δημιουργία του περιλαμβάνει τις ακόλουθες δύο πολιτικές:
- Default Domain Policy
- Default Domain Controllers Policy
Οι πολιτικές που εμείς δημιουργούμε καλό είναι στην ονομασία τους να ξεκινούν με το λεκτικό SEPEHY, ώστε να διαχωρίζονται εύκολα από τις default πολιτικές, τις οποίες καλό είναι να μην τροποποιούμε. Στις επόμενες ενότητες αναφέρονται αναλυτικά οι ρυθμίσεις που προτείνεται να εφαρμοστούν:
- στα Shared Accounts (SEPEHY Shared Accounts Policy)
- στα Accounts (SEPEHY Accounts Policy)
- στους λογαριασμούς Administrator και Guest (SEPEHY Rename Administrator Policy)
- στα Workstations (SEPEHY Workstations Policy).
Η διαχείριση των πολιτικών πραγματοποιείται ξεκινώντας την κονσόλα Group Policy Management από το Administrative Tools ▸ Group Policy Management , όπου επιλέγουμε το προς διαμόρφωση domain school.local.
Όλες οι πολιτικές ομάδας δημιουργούνται και αποθηκεύονται στο "Group Policy Objects" μέσα στο school.local με δεξί click στο Group Policy Objects ▸ New και εισάγοντας το όνομα της εκάστοτε πολιτικής. Μία πολιτική εφαρμόζεται σε ένα OU με τη δημιουργία ενός συνδέσμου (Link) της πολιτικής μέσα στο OU.
Η σύνδεση μιας πολιτικής με ένα OU πραγματοποιείται με δεξί click στο OU ▸ Link an existing GPO... . Mία πολιτική μπορεί να εφαρμοστεί σε πολλά OUs, έχοντας ένα σύνδεσμο σε καθένα από αυτά. Επίσης σε ένα OU μπορούν να εφαρμοστούν πολλές πολιτικές εάν δημιουργηθούν πολλοί σύνδεσμοι στο OU.
Οι ρυθμίσεις μιας πολιτικής τροποποιούνται με δεξί click στην πολιτική ▸ Edit... . Μία πολιτική μπορεί να περιέχει ρυθμίσεις τόσο για λογαριασμούς χρηστών όσο και για υπολογιστές. Εάν περιέχει ρυθμίσεις μόνο για υπολογιστές μπορούμε να απενεργοποιήσουμε το τμήμα ρυθμίσεων των λογαριασμών χρηστών και επομένως να εξοικονομήσουμε το χρόνο της επεξεργασίας τους από το Domain Controller, με δεξί click στην πολιτική ▸ GPO Status ▸ User Configuration Settings Disabled . Αντίστροφα εάν περιέχει μόνο ρυθμίσεις λογαριασμών χρηστών μπορούμε να απενεργοποιήσουμε το τμήμα των ρυθμίσεων υπολογιστών με δεξί click στην πολιτική ▸ GPO Status ▸ Computer Configuration Settings Disabled .
Εφαρμόζεται στο OU Shared Accounts.
Policy Path (User) | Full Policy Name | Setting |
---|---|---|
Administrative Templates\Control Panel | Prohibit access to the Control Panel | Enabled |
Administrative Templates\Control Panel\Printers | Prevent deletion of printers | Enabled |
Administrative Templates\Control Panel\Programs | Hide "Set Program Access and Computer Defaults" page | Enabled |
Administrative Templates\Desktop | Prohibit User from manually redirecting Profile Folders | Enabled |
Administrative Templates\Desktop | Remove Properties from the Computer icon context menu | Enabled |
Administrative Templates\Desktop | Remove Properties from the Documents icon context menu | Enabled |
Administrative Templates\Desktop | Remove Properties from the Recycle Bin context menu | Enabled |
Administrative Templates\Network\Network Connections | Prohibit access to properties of a LAN connection | Enabled |
Administrative Templates\Network\Network Connections | Prohibit access to the New Connection Wizard | Enabled |
Administrative Templates\Start Menu and Taskbar | Add Logoff to the Start Menu | Enabled |
Administrative Templates\Start Menu and Taskbar | Lock the Taskbar | Enabled |
Administrative Templates\Start Menu and Taskbar | Prevent changes to Taskbar and Start Menu Settings | Enabled |
Administrative Templates\Start Menu and Taskbar | Remove access to the context menus for the taskbar | Enabled |
Administrative Templates\Start Menu and Taskbar | Remove Drag-and-drop context menus on the Start Menu | Enabled |
Administrative Templates\Start Menu and Taskbar | Remove links and access to Windows Update | Enabled |
Administrative Templates\Start Menu and Taskbar | Remove Music icon from Start Menu | Enabled |
Administrative Templates\Start Menu and Taskbar | Remove Network Connections from Start Menu | Enabled |
Administrative Templates\Start Menu and Taskbar | Remove Pictures icon from Start Menu | Enabled |
Administrative Templates\Start Menu and Taskbar | Remove programs on Settings menu | Enabled |
Administrative Templates\Start Menu and Taskbar | Remove user's folders from the Start Menu | Enabled |
Administrative Templates\Start Menu and Taskbar | Turn off notification area cleanup | Enabled |
Administrative Templates\Start Menu and Taskbar | Turn off personalized menus | Enabled |
Administrative Templates\Start Menu and Taskbar | Turn off user tracking | Enabled |
Administrative Templates\System | Don't display the Getting Started welcome screen at logon | Enabled |
Administrative Templates\System | Prevent access to registry editing tools | Enabled |
Administrative Templates\System | Prevent access to the command prompt | Enabled |
Administrative Templates\System\Ctrl+Alt+Del Options | Remove Change Password | Enabled |
Administrative Templates\System\Ctrl+Alt+Del Options | Remove Lock Computer | Enabled |
Administrative Templates\System\Ctrl+Alt+Del Options | Remove Task Manager | Enabled |
Administrative Templates\System\User Profiles | Limit profile size | Enabled (default) |
Administrative Templates\Windows Components\Internet Explorer | Configure Outlook Express | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable AutoComplete for forms | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing accessibility settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing Advanced page settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing Automatic Configuration settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing Calendar and Contact settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing certificate settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing color settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing connection settings... | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing default browser check | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing font settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing home page settings | Enabled (about:blank) |
Administrative Templates\Windows Components\Internet Explorer | Disable changing language settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing link color settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing Messaging settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing Profile Assistant settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing proxy settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing ratings settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable changing Temporary Internet files settings | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable external branding of Internet Explorer | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable Internet Connection wizard | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable the Reset Web Settings feature | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Do not allow users to enable or disable add-ons | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Identity Manager: Prevent users from using Identities | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Search: Disable Search Customization | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Turn on the auto-complete feature for user names and passwords on forms | Disabled |
Administrative Templates\Windows Components\Internet Explorer\Browser menus | Help menu: Remove 'For Netscape Users' menu option | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Browser menus | Help menu: Remove 'Send Feedback' menu option | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Browser menus | Help menu: Remove 'Tip of the Day' menu option | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Browser menus | Help menu: Remove 'Tour' menu option | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Browser menus | Tools menu: Disable Internet Options... menu option | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Delete Browsing History | Disable configuring history | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the Advanced page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the Connections page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the Content page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the General page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the Privacy page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the Programs page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the Security page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Toolbars | Disable customizing browser toolbar buttons | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Toolbars | Disable customizing browser toolbars | Enabled |
Administrative Templates\Windows Components\Microsoft Management Console | Restrict users to the explicitly permitted list of snap-ins | Enabled |
Administrative Templates\Windows Components\NetMeeting | Disable Directory services | Enabled |
Administrative Templates\Windows Components\NetMeeting | Prevent adding Directory servers | Enabled |
Administrative Templates\Windows Components\NetMeeting | Prevent automatic acceptance of Calls | Enabled |
Administrative Templates\Windows Components\NetMeeting | Prevent changing Call placement method | Enabled |
Administrative Templates\Windows Components\NetMeeting | Prevent viewing Web directory | Enabled |
Administrative Templates\Windows Components\Task Scheduler | Hide Advanced Properties Checkbox in Add Scheduled Task Wizard | Enabled |
Administrative Templates\Windows Components\Task Scheduler | Hide Property Pages | Enabled |
Administrative Templates\Windows Components\Task Scheduler | Prevent Task Run or End | Enabled |
Administrative Templates\Windows Components\Task Scheduler | Prohibit Browse | Enabled |
Administrative Templates\Windows Components\Task Scheduler | Prohibit Drag-and-Drop | Enabled |
Administrative Templates\Windows Components\Task Scheduler | Prohibit New Task Creation | Enabled |
Administrative Templates\Windows Components\Task Scheduler | Prohibit Task Deletion | Enabled |
Administrative Templates\Windows Components\Windows Explorer | Hides the Manage item on the Windows Explorer context menu | Enabled |
Administrative Templates\Windows Components\Windows Explorer | Remove “Map Network Drive” and “Disconnect Network Drive” | Enabled |
Administrative Templates\Windows Components\Windows Explorer | Removes the Folder Options menu item from the Tools menu | Enabled |
Administrative Templates\Windows Components\Windows Explorer | Remove CD Burning features | Enabled |
Administrative Templates\Windows Components\Windows Explorer | Remove Hardware tab | Enabled |
Administrative Templates\Windows Components\Windows Explorer | Remove Security tab | Enabled |
Administrative Templates\Windows Components\Windows Media Player | Prevent CD and DVD Media Information Retrieval | Enabled |
Administrative Templates\Windows Components\Windows Media Player | Prevent Music File Media Information Retrieval | Enabled |
Administrative Templates\Windows Components\Windows Media Player | Prevent Radio Station Preset Retrieval | Enabled |
Administrative Templates\Windows Components\Windows Media Player\Networking | Hide Network Tab | Enabled |
Administrative Templates\Windows Components\Windows Media Player\User Interface | Hide Privacy Tab | Enabled |
Administrative Templates\Windows Components\Windows Media Player\User Interface | Hide Security Tab | Enabled |
Πολιτική "SEPEHY Accounts Policy"
Εφαρμόζεται στο OU Accounts.
Policy Path (User) | Full Policy Name | Setting |
---|---|---|
Policies\Windows Settings\Folder Redirection\Documents | Redirect to the following location | \\10.10.10.10\Users\%USERNAME%\Documents |
Policies\Windows Settings\Folder Redirection\Desktop | Redirect to the following location | \\10.10.10.10\Users\%USERNAME%\Desktop |
Πολιτική "SEPEHY Rename Administrator Policy"
Εφαρμόζεται στον τομέα school.local.
Policy Path (Computer) | Full Policy Name | Setting |
---|---|---|
Policies\Windows Settings\Security Settings\Local Policies\Security Options\ | Accounts: Rename administrator account | yper |
Policies\Windows Settings\Security Settings\Local Policies\Security Options\ | Accounts: Rename guest account | gdisabled |
Πολιτική "SEPEHY Workstations Policy"
Εφαρμόζεται στο OU Workstations.
Policy Path (Computer) | Full Policy Name | Setting |
---|---|---|
Administrative Templates\Network\Network Connections | Prohibit installation and configuration of Network Bridge on your DNS domain network | Enabled |
Administrative Templates\Network\Network Connections | Prohibit use of Internet Connection Firewall on your DNS domain network | Enabled |
Administrative Templates\Network\Network Connections | Prohibit use of Internet Connection Sharing on your DNS domain network | Enabled |
Administrative Templates\Network\Network Connections\Windows Firewall\Domain Profile | Windows Firewall: Protect all network connections | Disabled |
Administrative Templates\Network\Offline Files | Allow or Disallow use of the Offline Files feature | Disabled |
Administrative Templates\System\Logon | Don't display the Getting Started welcome screen at logon | Enabled |
Administrative Templates\System\Remote Assistance | Offer Remote Assistance | Enabled (Domain Admins) |
Administrative Templates\System\Remote Assistance | Solicited Remote Assistance | Enabled (default) |
Administrative Templates\System\System Restore | Turn off System Restore | Enabled |
Administrative Templates\System\User Profiles | Slow network connection timeout for user profiles | Enabled (default) |
Administrative Templates\System\Windows Time Service\Time Providers | Enable Windows NTP Client | Enabled |
Administrative Templates\Windows Components\Autoplay Policies | Turn off Autoplay | Enabled (CD-ROM and removable media drives) |
Administrative Templates\Windows Components\Internet Explorer | Disable Periodic Check for Internet Explorer software updates | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Disable showing the splash screen | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Do not allow users to enable or disable add-ons | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Make proxy settings per-machine (rather than per-user) | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Security Zones: Do not allow users to add/delete sites | Enabled |
Administrative Templates\Windows Components\Internet Explorer | Security Zones: Do not allow users to change policies | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the Advanced page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the Connections page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the Content page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the General page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the Privacy page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the Programs page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel | Disable the Security page | Enabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page | Allow active content from CDs to run on user machines | Disabled |
Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page | Allow software to run or install even if the signature is invalid | Disabled |
Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connection | Allow users to connect remotely using Remote Desktop Services | Enabled |
Administrative Templates\Windows Components\Security Center | Turn on Security Center (Domain PCs only) | Enabled |
Administrative Templates\Windows Components\Windows Error Reporting | Display Error Notification | Enabled |
Administrative Templates\Windows Components\Windows Installer | Allow admin to install from Terminal Services session | Enabled |
Administrative Templates\Windows Components\Windows Media Player | Do Not Show First Use Dialog Boxes | Enabled |
Administrative Templates\Windows Components\Windows Media Player | Prevent Desktop Shortcut Creation | Enabled |
Administrative Templates\Windows Components\Windows Messenger | Do not allow Windows Messenger to be run | Enabled |
Administrative Templates\Windows Components\Windows Update | Allow Automatic Updates immediate installation | Enabled |
Administrative Templates\Windows Components\Windows Update | Configure Automatic Updates | Enabled (4) |
Αντίγραφα ασφαλείας και επαναφορά πολιτικών ομάδας
Η δημιουργία πολιτικών με μεγάλο αριθμό ρυθμίσεων είναι μια αρκετά χρονοβόρα διαδικασία. Είναι επομένως σημαντικό να λαμβάνουμε αντίγραφα (backup) των πολιτικών σε περίπτωση που τις σβήσουμε από λάθος ή στην περίπτωση που θέλουμε να αναιρέσουμε άμεσα μεγάλο αριθμό ανεπιθύμητων αλλαγών.
Μία άλλη σημαντική λειτουργία είναι η εισαγωγή ρυθμίσεων (Import Settings) από πολιτικές που έχουν δημιουργηθεί σε διαφορετικούς τομείς (domains) ή δέντρα τομέων (forests). Αντίθετα η διαδικασία restore αφορά μόνο σε πολιτικές που έχουν δημιουργηθεί στο ίδιο domain και forest με το δικό μας.
Μπορούμε να λάβουμε αντίγραφα των πολιτικών μας από την κονσόλα Group Policy Management με δεξί click στο Group Policy Objects ▸ Backup all... , όπου επιλέγουμε φάκελο αποθήκευσης. Για να λάβουμε αντίγραφο από μία μόνο πολιτική ακολουθούμε την ίδια διαδικασία, κάνοντας δεξί click μόνο στην πολιτική που μας ενδιαφέρει.
Επαναφέρουμε μια δική μας πολιτική από την κονσόλα Group Policy Management με δεξί click στο Group Policy Objects ▸ Manage Backups , όπου ανοίγουμε το διάλογο διαχείρισης των υπαρχόντων αντιγράφων. Ορίζουμε το φάκελο που βρίσκονται τα αντίγραφα, επιλέγουμε το επιθυμητό αντίγραφο και πατάμε Restore. Κατόπιν ενεργοποιούμε την πολιτική δημιουργώντας Links προς τα OUs στα οποία αυτή θα εφαρμοστεί.
Για διευκόλυνση ενεργοποίησης των προτεινόμενων πολιτικών προσφέρονται αντίγραφα ασφαλείας των SEPEHY Shared Accounts Policy και SEPEHY Workstations Policy, τα οποία μπορείτε να εισάγετε στο domains σας μέσω της εισαγωγής ρυθμίσεων. Αποσυμπιέζουμε τα αρχεία πολιτικών ομάδας σε κάποιο φάκελο. Από την κονσόλα Group Policy Management δημιουργούμε τις προτεινόμενες πολιτικές. Κατόπιν με δεξί click στην κάθε πολιτική ▸ Import Settings... , όπου επιλέγουμε το φάκελο που βρίσκονται τα αντίγραφα και κατόπιν τη συγκεκριμένη πολιτική με τις ρυθμίσεις που μας ενδιαφέρουν.