Sistemet Active Directory HYRJE NE GROUP POLICY

Data 28 Maj, 2009

Group Policy jane koleksion konfigurimesh te perdoruesve dhe te kompjuterave qe specifikojne menyren se si programet, burimet e rrjetit, dhe sistemet e operimit punojne per perdoruesit dhe kompjuterat ne nje organizate. Group policy mund te konfigurohen per kompjuterat, domainet, sitet, dhe njesite organizative OU. Per shembull, duke perdorur group policy ne mund te percaktojme programet qe do tu ofrohen perdoruesve, programet qe shfaqen ne desktopin e perdoruesve, opsionet e menuse tart. Group policy nuk i aplikohen grupeve, pavarsisht nga fakti se anetaresimi i grupeve mund te ndikoje tek Group Policy. Per shembull, nese nje llogari perdoruesi apo kompjuteri i perket nje grupi te cilit i mohohet aplikimi i group policy mbi kete grup. !e kete rast llogaria nuk do te kete ndikim nga group policy. "y concept njihet si filtrim i GPO nepermjet grupeve te sigurise. Per te krijuar konfigurime specifike per perdoruesit, ne krijojme GPO#Group policy objects, qe jane koleksione te konfigurimeve te Group Policy. $do kompjuter qe operon me %indo&s erver '(() ka nje GPO lokale dhe mund te jete subject i GPO#ve jo lokale gjithashtu. GPO-te lokale !je GPO lokale ruhet ne cdo kompjuter pavaresisht nese kompjuteri eshte pjese e nje mjedisi me *ctive +irectory. !je GPO lokale ndikon vetem tek kompjuteri tek cili ndodhet. GPO#te lokale mund te mbishkruhen nga GPO jo lokale. GPO#te lokale ndodhen ne direktorine , ystem)',Group Policy. GPO-te jo lokale GPO#te jolokale krijohen ne *ctive +irectory dhe duhet ti linkohen nje site, domain ose nje OU#je ne menyre qe te aplikohen tek kompjuterat apo tek perdoruesit. Per te perdorur GPO jo lokale, ne duhet te kemi nje sistem operimi %indo&s '((( ose '(() domain controller te instaluar. Pasi instalojme *ctive +irectory krijohen dy GPO jo lokale +efault +omain Policy "jo GPO i linkohet domainit dhe ndikon tek te gjithe perdoruesit dhe kompjuterat ne domain nepermjet trashegimise se group pilicy. +efault +omain $ontrollers Policy "jo GPO i linkohet OU#ve te domain controllerit.

GPO#te jo lokale ruhen ne direktorine , ysvol,+omain !ame,Policies,GPO GU.+,*+/, ku GPO GU.+ eshte GPO unique identifier. !e mund te percaktojme se kush grup mund te administroje 0krijoje, modifikoje apo fshije1 GPO duke percaktuar te drejtat per cdo GPO ne tabin ecurity te dritares se Properties te cdo GPO#je. GPO#te mund ti aplikohen vetem klienteve me %indo&s 2P Professional, %indo&s '(((, %indo&s erver '((), dhe nuk suportohen per %indo&s 34, &indo&s 35, %indo&s /illennium 6dition 0%indo&s /61, ose %indo&s !7. !je GPO qe i linkohet ose bashkelidhet nje site, ndikon tek te gjithe kompjuterat e ketij site pasi informacioni replikohet tek te gjithe domain controllerat qe ndodhen ne site pavaresisht nga domaini qe permban kompjuterat. 8aqe 9 nga ':

Sistemet Active Directory

Data 28 Maj, 2009

GPO#te ekzistojne si njesi te ruajtura ne nje domain te vetem dhe duhet te le;ohen nga domaini kur klientet qe ndikohen nga kjo GPO le;on ne GPO qe . eshte linkuar. Group Policy Object Editor Per te mena;huar Group policy ne perdorim Group Policy Object 6ditor. !je pamje e Group Policy Object 6ditor mund te shikojme ne figuren e meposhtme-

8igura 9. Group Policy Object 6ditor Konfigurimet e Group Policy "onfigurimet e Group Policy permbahen ne GPO dhe percaktojne konfigurimet e perdoruesit. "a dy tipe te konfigurimeve ne Group Policy- konfigurimi i kompjuterit, dhe konfigurimi i perdoruesit. Opsionet Computer Configuration dhe User Configuration Opsioni $omputer $onfiguration permban konfigurimet qe GPO ia aplikon kompjuterave pavaresisht se kush logohet ne to. "onfigurimet ne kete rast aplikohen kur sistemi i operimit inicializohet.

8aqe ' nga ':

Sistemet Active Directory

Data 28 Maj, 2009

Opsioni User $onfiguration permban konfigurimet qe GPO ia aplikon perdoruesit, pavaresisht se ne cilin kompjuter ky perdorues logohet. "onfigurimet ne kete rast aplikohen kur perdoruesi logohet ne kompjuter. Administrati e !emplates *dministrative 7emplates permban konfigurime te Group policy te bazuar ne regjistra. "a me shume se 44( opsione qe jane te disponueshme per tu konfiguruar per perdoruesit. !e dirtaren e propertive te secilit prej opsioneve qe ndodhen tek *dministrative 7emplate ka nje tab 6;plain qe jep nje pershkrim per veprimet qe opsioni kryen nese aktivizohet. $do opsion qe ndodhet tek administrative template mund te konfigurohet ne tre menyra !ot $onfiguret 6nable +isabled <egjistrat nuk jane modifikuar ne kete rast <egjistrat do te reflektojne veprimin qe ka opsioni i aktivizuar <egjistrat do te reflektojne qe konfigurimi i opsionit nuk eshte zgjedhur

!e sistemin %indo&s erver '(() nje administrative template eshte nje skedar me prapashtesen .adm. Perdorimi i grupe e te sigurise per te filtruar GPO +eri tani ne dime qe mund te bashkelidhim GPO tek sitet, domainet, ose OU#te. +ime gjithashtu qe ne nuk mund te aplikojme direkt GPO tek grupet edhe nese do na duhej. Por ka nje menyre per aplikimin e GPO#ve tek grupe sigurie specifike. Politikat ne nje GPO jo lokale aplikohen tek perdoruesit qe kane te drejta <ead dhe *pply Group Policy per GPO te konfiguruar *llo&. +uke vendosur te drejta specifike per nje grup sigurie ne mund te filtrojme GPO ne menyre te tille qe te ndikoje tek kompjuterat dhe perdoruesit qe ne specifikojme.

8aqe ) nga ':

Sistemet Active Directory STRATEGJITE E PLANIFIKIMIT TE GROUP POLICY

Data 28 Maj, 2009

Perpara se te implementojme group policy ne duhet te krijojme nje plan per mena;himin e tyre. +uhet te planifikojme konfigurimet qe do te bejme, dhe kontrollin administrative te tyre. Planifikimi i strategjive te Group Policy ndahet ne tre pjese Planifikojme konfigurimet e nevojshme qe duam te aplikojme tek kompjuterat dhe tek perdoruesit ne secilin nivel 0site, domaine, OU1 Planifikimi i objekteve GPO 0sesa GPO do aplikojme psh cdo OU do kete nje GPO te sajen1 te nevojshme per kompjuterat dhe perdoruesit ne cdo nivel 0site, domaine, dhe OU1 Planifikimi i nje kontrolli administrativ i GPO

+okumentimi i Group Policy eshte nje proces shume i rendesishem pasi ky dokumentim do te jete shume i nevojshem per administratoret qe kontrollojne dhe administrojne GPO#te ne momentin qe mund te duhet te modifikohet nje konfigurim. Planifikimi i konfigurime e te Group Policy "a rreth =(( opsione konfigurimesh te ndryshme ne Group Policy te %indo&s erver '((). /enyra me e mire per tu familjarizuar me gjithe keto konfigurime eshte duke perdorur editorin Group Policy Object 6ditor. >gjedhja e konfigurimeve duhet te bazohet ne ate cfare ato na ofrojne dhe se sa konfigurimet do te na e lehtesojne administrimin e kompjuterave dhe perdoruesve. Planifikimi " GPO- e Per cdo ite, domain, OU, ne duhet te percaktojme se si konfigurimet e Group Policy do te vendosen brenda objektit GPO. Praktika me e mire do te ishte qe konfigurimet te beheshin tek perdoruesit dhe kompjuterat tek te cilet ne duam ti aplikojme keto konfigurime perkatese. !e mund ti vendosim konfigurimet e Group Policy ne menyren e meposhtme GPO me nje konfigurim ?e permban vetem nje tip konfigurimi te Group Policy# per shembull, nje GPO qe perfshin vetem konfigurime per sigurine. "y model do te ishte menyra me e mire per ato organizata ku pergjegjesite administrative jane te bazuara ne detyra dhe u delegohen disa individeve. !e kete menyre cdo GPO do kete konfigurime per nje drejtim specifik dhe do administrohet nga individi qe eshte pergjegjes per kete drejtim. GPO me shume konfigurime Permbajne shume tipe te konfigurimeve te Group Policy# per shembull, nje GPO qe perfshin edhe konfigurime te sigurise edhe te skripteve. "y model eshte nje praktike e mire per ato organizata ku pergjegjesia administrative eshte e centralizuar dhe nje administrator konfiguron te gjitha tipet e Group Policy GPO me konfigurim te dedikuar "y rast permban konfigurime te Group Policy per kompjuterat dhe per perdoruesit. "y model rrit shume numrin e GPO#ve qe aplikohen gjate logimit dhe si rrjedhoje rrit kohen e logimit por ndihmon shume ne analizim te problemeve kur keto te fundit ndodhin. Per shembull, nese dyshohet nje problem tek nje kompjuter me konfigurim GPO, nje administrator mund te logohet si perdorues qe nuk ka nje konfigurim 8aqe : nga ':

Sistemet Active Directory

Data 28 Maj, 2009

GPO#je te aplikuar ne menyre qe te heqi mundesine qe problemi te jete ndonje konfigurim i perdoruesit. !e figuren '. tregohen keto tipe konfigurimesh te GPO.

8igura '. 7ipet e konfigurimeve te GPO #i$enjimi i GPO ne menyre te decentrali$uar !e nje sistem te decentralizuar qellimi eshte qe te perfshihen konfigurime specifike ne sa me pak GPO. "ur kerkohet nje ndryshim, vetem nje GPO duhet te ndryshoje ne menyre qe te realizohet ndryshimi i kerkuar. *dministrimi thjeshtohet por kjo gje ndodh ne disfavor te kohes se logimit qe zgjatet si rezultat i procesimit te shume GPO#ve. Per te realizuar nje sistem te decentralizuar, ne mund te krijojme nje GPO baze qe i aplikohet te gjithe domainit qe permabn konfigurime per te gjithe perdoruesit dhe kompjuterat ne domain. Per shembull, GPO baze mund te permbaje konfigurime sigurie sic jane kufizimet per llogarite dhe pass&ordet dhe GPO te tjera shtese mund te krijohen per te plotesuar kerkesa per secilen nga OU#te qe mund te jene specifike per secilen OU. "y model eshte i mire ne mjedise ku grupe te ndryshme ne organizate kane te njejtat probleme te sigurise dhe kur ndryshimet e Group Policy jane te shpeshta. #i$enjimi i GPO ne menyre te centrali$uar !e nje sistem te centralizuar qellimi eshte qe te perdoren sa me pak GPO 0ne menyre ideale vetem nje1. 7e gjitha konfigurimet e sigurise qe kerkohen per nje site, domain ose OU duhet te implementohen ne nje GPO te vetme. !ese ite, domaini ose OU#ja kane grupe perdoruesish dhe kompjuterash me kerkesa te ndryshme persa i perket politikave te sigurise, zakonisht konsiderohet 8aqe 4 nga ':

Sistemet Active Directory

Data 28 Maj, 2009

ndarja e OU#se ne dy pjese dhe aplikimi i GPO tek secila nen OU dhe jo tek OU#ja kryesore. !je ndryshim tek nje dizajn i dille i GPO#ve kerkon me shume administrim se sa nje dizajn i decentralizuar sepse konfigurimet duhet te ndryshohen ne shume GPO, por favori eshte qe koha e logimit eshte me e shkurter. "y model eshte nje praktike e mire per ato mjedise ku perdoruesit dhe kompjuterat mund te vendosen ne nje numer i vogel OU#ve per vendosjen e politikave.

8igura ). +izenjimi i centralizuar dhe decentralizuar i GPO#ve Planifikimi i kontrollit administrati te GPO- e "ur ne planifikojme te konfigurojme Group Policy dhe objektet GPO qe do te perdoren ne organizaten qe ne administrojme, ne duhet te planifikojme se kush do te beje mena;himin e tyre. "ontrollet administrative mund te delegohen ne te tre rastet e dizenjimit te kontrollit administrativ qe jane rasti i centralizuar, i decentralizuar, dhe i bazuar ne pune 0task#based1. #i$enjimi i kontrollit administrati te centrali$uar !e nje dizajn te centralizuar, administrimi i Group Policy delegohet vetem ne nivelet me te larta te administratoreve te OU#ve. !e shembullin qe tregohet ne figuren e meposhtme, administratoret e OU#ve te nivelit me te larte kane aftesite ne mena;hojne te gjitha GPO#te ne domain. !derkohe qe administratoret e nivelit te dyte nuk kane aftesi te mena;honje GPO#te. !ese duam qe administratoreve te nivelit te dyte tu japim te drejta atehere mjafton tua delegojme keto te drejta dhe me pas administratoret e nivelit te dyte do ti kene keto te drejta per te menazhuar GPO.

8aqe = nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8igura :. !je dizajn i centralizuar i kontrollit administrativ #i$enjimi i kontrollit administrati te decentrali$uar !e dizenjimet e tipit te centralizuar, administrimi i Group Policy delegohet nga niveli me i larte tek niveli me i ulet i administratoreve te OU#ve. !e shembullin e treguar ne figuren e meposhtme, administratoret e nivelit me te larte kane te drejte te administrojne GPO#te qe ndodhen ne nivelin me te larte. *dministratoret e nivelit te dyre te OU#ve kane mundesi te administrojne GPO#te ne nivelin e dyte. "jo gje arrihet duke i dhene akses te plote administratoreve te OU#ve te nivelit me te larte tek GPO#te e nivelit me te larte dhe duke i dhene akses te plote administratoreve te OU#ve ne nivelin e dyte tek GPO#te e nivelit te dyte. "y dizajn eshte i pershtatshem per ato organizata ke duhet te delegojne administrimin e GPO#ve.

8aqe @ nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8igura 4. !je dizajn i decentralizuar i kontrollit administrativ #i$enjimi i kontrollit administrati i ba$uar ne pune %e duhet te kryhen !e kete rast administrimi i group policy u delegohet administratoreve qe jane pergjegjes per pune specifike sic eshte per shembull siguria e aplikacioneve. !e kete rast, GPO#te dizenjohet ne menyre te tille qe te permbajne vetem nje bashkesi konfigurimesh te group policy. !e shembullin e treguar ne figuren e meposhtme, administratoret kane aftesi te mena;hojne GPO#te pergjegjese per aplikacionet tek te gjitha OU#te. "jo gje realizohet duke i dhene te drejta te plota administratoreve te sigurise tek GPO#te e sigurise dhe te drejta te plota administratoreve te aplikacioneve tek GPO#te e aplikacioneve. "y dizajn perdoret ne ato organizata qe kane nje ndarje te pergjegjesive sipas detyrave te administratoreve.

8igura =. !je dizajn i bazuar ne pune specifike i kontrollit administrativ 8aqe 5 nga ':

Sistemet Active Directory IMPLEMENTIMI I GPO

Data 28 Maj, 2009

<radha e puneve qe duhet te ndjekim ne menyre qe te implementojme GPO eshte9. '. ). :. 4. =. @. 5. "rijimi i objekteve GPO "rijimi i nje //$#je per GPO#ne +elegimi i kontrollit administrative te GPO#se .mplementimi i konfigurimeve te politikave per GPO#ne ABaktivizimi i konfigurimeve te group policy qe nuk perdoren Percaktimet e perjashtimeve qe do te kete GPO#ja 8iltrimi i GPO nepermjet grupeve te sigurise Cinkimi 0Cidhja1 e GPO#se tek nje site, domain, ose OU

8aqe 3 nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe 9( nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe 99 nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe 9' nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe 9) nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe 9: nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe 94 nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe 9= nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe 9@ nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe 95 nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe 93 nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe '( nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe '9 nga ':

Sistemet Active Directory

Data 28 Maj, 2009

Ushtrime

8aqe '' nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe ') nga ':

Sistemet Active Directory

Data 28 Maj, 2009

8aqe ': nga ':