4.3 Az Active Directory (AD)
7.2.11 A csoportházirend kezelése felügyeleti konzol
Több tartományos, telephelyes, komolyabb rendszer konfigurálása is tör-ténhet a felügyeleti konzolon keresztül. Ehhez csak a megfelelő tárolókban kell a csoportházirend-objektumokat szerkeszteni, kezelni. Ezek a tárolók a követ-kezők:
Tartományok (Domains): a tartományokhoz és a szervezeti egységekhez rendelt csoportházirend-objektum hivatkozások jelennek meg a struktúrában.
Kezdetben itt (minden tartomány gyökerében) található az alapértelmezett tartományi házirendre (Default Domain Policy) mutató hivatkozás is.
Csoportházirend-objektumok (Group Policy Objects): ez a tároló minden tartomány alatt megtalálható és benne az adott tartományban érvényes cso-portházirend-objektum helyezkedik el.
WMI-szűrők (WMI Filters): az előző tárolóhoz hasonlóan ez is megtalálható minden tartomány alatt. Itt a számítógépek jellemzőire vonatkozó szűrők és lekérdezési parancsfájlok találhatók, melyek segítségével a számítógépek kü-lönböző paraméterei kérhetők le a Windows WMI felületén keresztül.
Helyek (Sites): a létrehozott telephelyek és a hozzájuk rendelt csoportházi-rendek találhatók meg ebben a tárolóban.
Csoportházirend modellezése (Group Policy Modeling): az eredő házirend modell megjelenítése különböző számítógépekre és felhasználókra húzva szi-mulálja az esetleges beállítások hatásait.
Csoportházirend eredménye (Group Policy Results): az együttes vagy ere-dő házirend kiszámítása adott számítógépre illetve felhasználóra, szervezeti egységre vagy biztonsági csoportra.54
7.3 ÖSSZEFOGLALÁS, KÉRDÉSEK
7.3.1 Összefoglalás
A tanúsítványok használata manapság megkerülhetetlen. Egy modern rendszerben használatuk nélkülözhetetlen. A zökkenőmentes használat előirá-nyozza egy publikus kulcsokon alapuló infrastruktúra (PKI Infrastruktúra) felállí-tását a helyi hálózatban. A tananyagban tárgyalásra kerültek a PKI elemei, illet-ve a hozzá kapcsolódó olyan fogalmak, mint a tanúsítvány, a hitelesítés-szolgáltató, a digitális aláírás vagy a tanúsítvány visszavonási lista.
A hitelesítésszolgáltató telepítésénél, ha a hálózatban van AD, akkor min-dig a vállalat típusú kiszolgálót kell telepíteni, méghozzá legfelsőszintű, vagy gyökér hitelesítésszolgáltatóként, legalábbis akkor, ha ez az első vagy egyetlen hitelesítésszolgáltató a hálózatban.
A tanúsítványsablonok szerkesztésével és duplikációjával nagyon meg le-het könnyíteni a későbbi tanúsítványigényléseket, melyek ezek után nagyon egyszerűen, pár lépésben elérhetővé válnak.
A csoportházirend szolgáltatás az egyik legnagyobb címtárszolgáltatás, amióta az AD létezik. A csoportházirend segítségével szabályozható a felhaszná-lói környezet, felhasznáfelhaszná-lói jogokat és korlátozásokat lehet a felhasználóknak adni. Ugyanígy lehet a tartomány számítógépeinek beállításait központosítottan vezérelni.
A csoportházirendek az ún. csoportházirend objektumokban tárolódnak, me-lyek egy része az AD-ban, másik része a Sysvol mappában tárolódik. A replikációról az elosztott fájlrendszer replikáció (DFSR) szolgáltatás gondoskodik.
A csoportházirend-objektumokat telephelyhez, tartományhoz vagy szerve-zeti egységhez lehet hozzárendelni. Alapértelmezetten a felhasználókra az alapértelmezett tartományi házirend lesz érvényes, hacsak nem egy új szerve-zeti egységben lesznek létrehozva, amelyhez hozzá van rendelve egy másik házirend. Ilyenkor a házirendek eredője lesz a végeredmény. A házirendek ere-dőjének kiszámításánál a rendszer a következő jellemzőket veszi figyelembe:
csoportházirend-objektumok öröklődése, a hierarchiában közelebb eső
54 Kis Balázs – Szalay Márton: Windows Server 2008 rendszergazdáknak, Bicske, Szak Kiadó, 2008
rend az erősebb, rendszergazda által beállított prioritás, öröklés blokkolása, öröklődés kikényszerítése.
A csoportházirend érvényrejutásának folyamata során a csoportházirend számítógép és felhasználó része külön-külön jut érvényre. A számítógép rész az operációs rendszer betöltődése után, míg a felhasználói rész a felhasználó beje-lentkezése után.
A csoportházirendek szerkesztésénél szintén két különböző ágban lehet szerkeszteni a beállításokat, a főbb csoportok azonban ugyanazok mind a fel-használói rész, mind a számítógép rész esetén. Ezek pedig rendre: beállítások, házirendek, szoftverbeállítások, Windows beállításai, felügyeleti sablonok.
7.3.2 Önellenőrző kérdések
1. Mi a tanúsítvány és mire jó? Hozzon rá 3-4 példát!
2. Mit jelent a PKI?
3. Mire kell odafigyelni a tanúsítványsablonok szerkesztésénél?
4. Hogyan lehet kiszolgálótanúsítványt igényelni?
5. Mire jó a csoportházirend szolgáltatás?
6. Hol tárolódnak a csoportházirend objektumok?
7. Mi a szerepe a szervezeti egységeknek a csoportházirendek esetén?
8. Milyen szabályok vonatkoznak a csoportházirend-objektumok együttes alkalmazásánál, az egyesített házirend kiszámolására?
9. Ismertesse a csoportházirend érvényrejutási folyamatát!
10. Milyen műveletek végezhetőek el egy csoportházirend-objektummal?
11. Sorolja fel a csoportházirend-objektumok beállításainak főbb kategóriá-it!
8 HOZZÁFÉRÉS-VEZÉRLÉS ÉS BIZTONSÁG
8.1 CÉLKITŰZÉSEK ÉS KOMPETENCIÁK
A leckében a hozzáférés-vezérlés alapismereteinek ismertetése után a rendszer által történő hitelesítés formái kerülnek felsorolásra. Tárgyalásra ke-rülnek azok az erőforrások, melyekhez hozzáférési engedélyeket lehet rendelni Windows tartományi környezetben.
Az ACL és ACE fogalmak magyarázata után az NTFS fájl és mappaengedé-lyeinek ismertetése következik. Itt mind a szokásos, mind a speciális engedélyek ismertetésre kerülnek. Tárgyalásra kerül erőforrások tulajdonosa és tulajdonjo-ga, valamint az utóbbi átvételének engedélye. Ismertetésre kerül az engedélyek öröklésének szabályai, valamint az engedélyek hozzárendelése kapcsán a cso-portok szerepe.
A továbbiakban kiderül, hogy a többféle forrásból származó engedélyek együttes hatása eredményezi a hatályos, vagy érvényes engedélyeket, amelyek bizonyos szabályok mentén számítódnak ki. Ismertetésre kerülnek továbbá a mappa és nyomtató megosztások engedélyei és működésük.
A tananyag elsajátítása után a hallgató képes lesz a megfelelő objektum engedélyek beállítására, a hozzáférés megtagadásból származó hibák felderíté-sére és javítására. Képes lesz hálózaton keresztül nyomatót és mappát megosz-tani.