Rozdział 3
Rozwiązania natychmiastowena stronie:
A
ączenie zasad grupowych (Group Policy) ze strukturą Active Directory
Konfigurowanie przystawki Zarządzanie zasadami grupowymi (Group Policy Management)
Tworzenie obiektu zasad grupowych (Group Policy Object)
Edycja obiektu zasad grupowych
Nadawanie użytkownikowi prawa do logowania się lokalnie (log -on locally) na kontrolerze
domeny
Zarządzanie zasadami grupowymi
Dodawanie lub przeglądanie obiektu zasad grupowych
Ustanawianie dziedziczenia i zastępowania (override) zasad grupowych
Wyłączanie części obiektu zasad grupowych (GPO)
Dołączanie obiektu zasad grupowych (GPO) do wielu lokacji (sites), domen i jednostek
organizacyjnych (OUs)
Administrowanie zasadami korzystającymi z Rejestru (registry-based policies)
Przygotowywanie skryptów
Ustawianie odpowiednich uprawnień dla poszczególnych członków grup zabezpieczeń (security
group filtering)
Dopasowanie zasad (policies) do danego komputera za pomocą przetwarzania sprzężenia
zwrotnego (loopback processing)
Konfigurowanie zasad inspekcji (audit policy)
W skrócie
Możliwości zasad grupowych (Group Policy)
i korzyści z ich stosowania
Zasady grupowe w systemie Windows 2000 służą do określania ustawień poszczególnych
użytkowników i komputerów, członków odpowiednich grup. W rozdziale 2. opisano krótko
przystawkę (snap-in) konsoli MMC (Microsoft Management Console) Edytor Zasad Grupowych
(Group Policy Editor), służącą do tworzenia konfiguracji właściwych dla danego komputera lub
ustanawiania zasad grupowych (Group Policy) dla poszczególnych grup użytkowników i
komputerów. Zasady grupowe (Group Policy) są zawarte w obiektach zasad grupowych (Group
Policy Objects  GPOs). Obiekty te kontrolują zasady grupowe (Group Policies) dotyczące
obiektów Active Directory, takich jak lokacje (sites), domeny czy jednostki organizacyjne (OUs), z
którymi są związane.
Za pomocą Edytora Zasad Grupowych (Group Policy Editor) można określić ustawienia dla
następujących elementów:
" Zasady Oprogramowania (Software Policies)  w ich skład wchodzą ustawienia Rejestru
dotyczących zasad grupowych (Group Policy) dla składników systemu Windows 2000 i
aplikacji,
" Skrypty (Scripts)  obejmują uruchamianie i zamykanie systemu oraz logowanie i
wylogowywanie,
" Opcje Zarządzania Oprogramowaniem (Software Management Options)  określają, które
aplikacje są dostępne dla użytkowników. Dotyczy to zarówno aplikacji opublikowanych,
(published applications) jak również takich, które są przypisane konkretnym komputerom,
" Dokumenty i Ustawienia Użytkownika (User Documents and Settings)  stosowane do
instalowania plików na komputerach, które są dostępne na danym komputerze lub tylko dla
konkretnych użytkowników oraz służą do określenia folderów specjalnych, takich jak Moje
dokumenty (My documents),
" Ustawienia Zabezpieczeń (Security Settings)  stosowane są do określania środowiska pracy
użytkownika lub grupy. System wyegzekwuje (enforce) zasady zdefiniowane za pomocą tych
ustawień.
Stosowanie zasad grupowych (Group Policy) daje następujące korzyści:
" integracja z usługami Active Directory i korzystanie z narzędzi (facilities) systemowych
Active Directory,
" możliwość scentralizowanego lub zdecentralizowanego zarządzania opcjami zasad (policy
options),
" elastyczność oraz możliwości i stosowania wielu różnych scenariuszy implementacji zarówno
dla małych przedsiębiorstw, jak i wielkich firm,
" proste, zintegrowane narzędzia do zarządzania zasadami,
" Edytor Zasad Grupowych (Group Policy Editor), przystawkę (snap-in) konsoli MMC, która
jest rozszerzeniem innych narzędzi administracyjnych Active Directory, takich jak przystawki
Menedżer Active Directory (Active Directory Manager), Menedżer Active Directory Lokacje i
Usługi (Active Directory Site and Services Manager) oraz Zarządzanie Komputerem
(Computer Management),
" możliwość przekazania przez administratora kontroli nad GPO.
Można zróżnicować zasady grupowe, ustalając odpowiednio członkostwo w grupach zabezpieczeń
i nadając odpowiednie uprawnienia na liście kontroli dostępu (Access Control List  ACL).
Edytor Listy Kontroli Dostępu (ACL Editor) został krótko opisany w rozdziale 2., natomiast w
niniejszym rozdziale edytor ten będzie omówiony dokładniej.
Nadanie uprawnień ACL umożliwia szybkie przetwarzanie GPO i pozwala na zastosowanie zasad
grupowych (Group Policy) do grup zabezpieczeń (security groups). Stosując listy kontroli dostępu
i grupy zabezpieczeń, można modyfikować zakres GPO.
Zasady grupowe (Group Policy) a usługi Active
Directory
Zasady systemowe (system policies) są ustawieniami zapisanymi w Rejestrze, które określają
zachowanie różnych składników systemu komputerowego. W systemie Windows NT 4 ustawienia
dotyczące użytkowników i komputerów, dokonane za pomocą Edytora Zasad Systemowych
(System Policy Editor), zapisane są w bazie danych Rejestru systemu Windows NT. Za pomocą
Edytora Zasad Systemowych (System Policy Editor) można utworzyć zasady systemowe (System
Policy) do kontrolowania środowiska pracy użytkownika i jego działań oraz narzucenia
konfiguracji systemu. W systemie Windows 2000 wprowadzono Edytor Zasad Grupowych (Group
Policy Editor), narzędzie, które rozszerza zakres funkcjonalny Edytora Zasad Systemowych
(System Policy Editor) i daje większe możliwości konfigurowania ustawień dla poszczególnych
elementów w grupach użytkowników i komputerów. Zasady grupowe określają różne składniki
środowiska użytkownika, którymi mają zarządzać administratorzy systemu. Są to ustawienia
dotyczące oprogramowania (Software Settings), opcje instalowania aplikacji, skryptów, ustawień
dotyczących użytkowników, opcje dokumentów i ustawienia zabezpieczeń.
Po określeniu ustawień zasad grupowych są one zapisywane w GPO, który z kolei jest związany z
wybranym obiektem Active Directory (lokacja, domena lub jednostka administracyjna).
Domyślnie zasady grupowe stosuje się do wszystkich komputerów i użytkowników w wybranym
kontenerze Active Directory. Jednak można filtrować (filter) zasady grupowe (Group Policy)
oparte na członkostwie użytkowników lub komputerów w grupach zabezpieczeń systemu
Windows 2000. Do filtrowania (filter) wpływów (effects) zasad grupowych (Group Policy)
korzysta się ze standardowego Edytora Listy Kontroli Dostępu (ACL Editor). Można również za
pomocą uprawnień znajdujących się na liście kontroli dostępu przekazać (delegować) korzystanie
z Edytora Zasad Grupowych (Group Policy Editor).
Na rysunku 3.1 przedstawiono relację pomiędzy zasadami grupowymi (Group Policy) a usługami
Active Directory
Rysunek 3.1. Zasady grupowe (Group Policy) zastosowane do lokacji (sites), domen i jednostek
organizacyjnych (OUs)
Rozpatrując sytuację z rysunku 3.1, należy wziąć pod uwagę kilka czynników:
" lokacje (sites) są zdefiniowane przez adresy podsieci (subnet addresses) i mogą przekraczać
granice domeny, chociaż zaleca się, by nie wykraczały poza nie
" obiekty zasad grupowych (GPOs) są konfigurowane dla konkretnej domeny,
" z jedną lokacją (site), domeną lub jednostką organizacyjną (OU) może być związanych wiele
obiektów zasad grupowych,
" wiele lokacji (sites), domen lub jednostek organizacyjnych może korzystać z jednego obiektu
(GPO),
" dowolna lokacja (site), domena lub jednostka organizacyjna może być związana z dowolnym
obiektem zasad (GPO), nawet jeśli przekracza granicę domeny, chociaż przetwarzanie może
być bardzo wolne,
" wpływ obiektów (GPOs) może być filtrowany (filter) za pomocą ustawień na liście kontroli
dostępu i przydzielania członków do grup zabezpieczeń.
Ustawienia dotyczące komputerów i użytkowników
Podstawę przestrzeni nazw Edytora Zasad Grupowych (Group Policy Editor) stanowią dwie
gałęzie macierzyste Ustawienia Komputera (Computer Settings) i Ustawienia Użytkownika (User
Settings). Są to foldery nadrzędne używane przy konfigurowaniu specyficznych środowisk pracy
komputera i wprowadzaniu zasad grupowych dla komputerów i użytkowników danej sieci.
Ustawienia Komputera (Computer Settings) zawierają zasady określające działanie systemu
operacyjnego, wygląd pulpitu, przypisane aplikacje, opcje instalowania plików, ustawienia
zabezpieczeń oraz skrypty do uruchamiania i zamykania systemu. Zasady grupowe dotyczące
komputera zaczynają działać w chwili inicjalizacji systemu operacyjnego.
Ustawienia Użytkownika (User Settings) zawierają informacje dotyczące określonego
użytkownika, takie jak działanie systemu operacyjnego, ustawienia pulpitu, ustawienia aplikacji,
aplikacje przypisane i opublikowane, opcje instalowania plików, ustawienia zabezpieczeń i
skrypty logowania i wylogowywania użytkownika. Zasady grupowe dotyczące użytkowników
zaczynają działać w chwili, gdy dany użytkownik loguje się na komputerze.
Można podać zasady grupowe (Group Policy), które będą dotyczyły wszystkich użytkowników
określonego komputerów. Jest to przydatne w takich systemach komputerowych, np. szkolnych, w
których należy skonfigurować komputer w określony sposób, ograniczając odpowiednio dostęp do
zasobów, niezależnie od tego, który użytkownik loguje się do danego komputera (podobnie jak w
przypadku profilów obowiązkowych w systemie Windows NT 4). Aby skonfigurować ustawienia
użytkownika dla konkretnego komputera, należy skorzystać z gałęzi Zasady Oprogramowania
(Software Policies) foldera Ustawienia Komputera.
Zarządzanie oprogramowaniem
Do instalowania, przypisywania, publikowania, aktualizacji, naprawiania i usuwania
oprogramowania dla grup użytkowników i komputerów można stosować gałąz
Ustawienia
Oprogramowania (Software Settings) Edytora Zasad Grupowych (Group Policy Editor). Aplikacje
są przypisane do grup użytkowników, aby użytkownicy, korzystający z danej aplikacji, mieli ją
automatycznie na swoich pulpitach. Przypisując daną aplikację do grupy użytkowników, w
rzeczywistości ogłasza się ją (advertising) na pulpitach wszystkich użytkowników z tej grupy.
Oznacza to, że skrót (shortcut) do aplikacji pojawi się w menu Start, a w Rejestrze znajdą się
informacje o lokalizacji pakietu aplikacji oraz lokalizacji plików z
ródłowych instalacji. Aplikacja
zostanie zainstalowana, kiedy użytkownik uaktywni ją po raz pierwszy.
Podane pliki są umieszczane na pulpicie albo w trakcie uruchamiania komputera, jeśli zostały
określone w Ustawieniach Komputera (Computer Settings), albo gdy użytkownik zaloguje się na
komputerze, jeśli zostały określone w Ustawieniach Użytkownika (User Settings). Pliki podane w
Ustawieniach Komputera są dostępne dla wszystkich użytkowników danego komputera. Pliki
podane w Ustawieniach Użytkownika są dostępne tylko dla konkretnego użytkownika, niezależnie
na którym komputerze się zaloguje.
Można również opublikować (publish) aplikację dla grupy użytkowników. Jeśli aplikacja zostanie
opublikowana, na pulpitach użytkowników nie pojawią się skróty do tej aplikacji i nie będzie
żadnych wpisów do Rejestru lokalnego. W celu zainstalowania aplikacji opublikowanej (published
application) użytkownicy mogą wykorzystać narzędzie Dodaj/Usuń programy (Add/Remove
programs), które zawiera listę aplikacji opublikowanych, dostępnych dla tych użytkowników.
Wskazówka: Ogłaszanie aplikacji (advertising applications) spotkało się z różnymi opiniami,
ponieważ jest sprzeczne z przyjętą zasadą popierania dostosowywania środowiska pracy
użytkownika do jego potrzeb. Z tego względu publikowanie aplikacji (publishing applications)
może być uważane za lepsze rozwiązanie, ale wymaga nadania użytkownikom prawa dostępu
do narzędzia Dodaj/Usuń programy (Add/Remove programs). Podjęcie decyzji przez
administratora będzie częściowo zależne od doświadczenia użytkowników administrowanego
przez niego systemu.
Zarządzanie oprogramowaniem pozwala administratorowi nadawać użytkownikom prawo dostępu
do zasobów, które są im niezbędne do pracy i jednocześnie ograniczyć dostęp do najważniejszych
aplikacji (np. do Eksploratora Windows) tylko dla wybranych grup.
Ustawienia Zabezpieczeń
Rozszerzenie Ustawienia Zabezpieczeń (Security Settings), o którym wspomniano w rozdziale 2.,
jest używane do konfigurowania zabezpieczeń komputerów w granicach danego obiektu zasad
grupowych (GPO). Konfiguracja taka jest zwarta w tym konkretnym obiekcie i jest częścią
egzekwowania zasad grupowych. Rozszerzenie Ustawienia Zabezpieczeń interpretuje standardową
konfigurację zabezpieczeń i wykonuje na drugim planie wszystkie konieczne operacje. W razie
potrzeby można zmienić poszczególne ustawienia.
Skrypty
Rozszerzenie Skrypty (Scripts) pozwala na podanie informacji, które skrypty mają pracować przy
uruchamianiu lub zamykaniu komputera lub podczas logowania i wylogowywania się
użytkowników. Nazwy skryptów i ich wiersze poleceń, w postaci kluczy i wartości Rejestru,
zapisane są w pliku registry.pol.
Rozwiązania natychmiastowe
A
ączenie zasad grupowych (Group Policy)
ze strukturą Active Directory
Projektując strukturę Active Directory, należy brać pod uwagę sposób implementacji zasad
grupowych (Group Policy) w danym systemie komputerowym. Sposób działania zasad grupowych
zależy od zdefiniowanej struktury. Uwzględnienie zasad grupowych podczas projektowania Active
Directory upraszcza implementację i administrowanie zasadami grupowymi.
Zasady grupowe są stosowane dla obiektów (GPOs), które z kolei są związane z określonymi
kontenerami Active Directory. Zasady grupowe (Group Policy) są przetwarzane hierarchicznie w
następującej kolejności: lokacja (site)  domena  jednostka organizacyjna (OU). Kontener
Active Directory, znajdujący się najbliżej danego komputera lub użytkownika, zastępuje zasady
grupowe (Group Policy) ustanowione w nadrzędnym kontenerze Active Directory, o ile zasady te
nie są ustanowione jako obowiązkowe za pomocą parametru Nie zastępuj (No override), co
zostanie wyjaśnione w dalszej części niniejszego rozdziału.
Domyślnie ustawienia zasad grupowych kumulują się i są dziedziczone z kontenerów
macierzystych Active Directory  jest to działanie domyślne. Poza tym istnieją mechanizmy
pozwalające na wyegzekwowanie zasad grupowych lub zablokowanie ich dla użytkowników i
komputerów w lokacjach (sites), domenach lub jednostkach organizacyjnych (OUs). Natomiast, w
celu osiągnięcia największej wydajności i ułatwienia pracy, stosowanie tych mechanizmów
powinno być ograniczone do minimum. Aby mieć dodatkową kontrolę do filtrowania skutków
działania obiektów zasad grupowych (GPOs), można zastosować członkostwo komputerów lub
użytkowników w grupach zabezpieczeń. Osiąga się to przez zmianę ACL obiektu zasad
greupowych (GPO) tak, by dany obiekt miał wpływ tylko na członków określonej grupy
zabezpieczeń.
Stosowanie możliwości, które dają zasady grupowe (Group Policy) w różnych kombinacjach,
pozwala na zaspokojenie różnorodnych potrzeb i dowodzi elastyczności zasad grupowych (Group
Policy). W poniższych przykładach opisano, o czym trzeba pamiętać przy planowaniu zasad
grupowych.
Ostrzeżenie! Stosuj najprostszą kombinację możliwości, Które pozwolą utworzyc zasady
grupowe (Group Policy) i rozważnie zaplanuj ich stosowanie. W przeciwnym razie zasady
grupowe (Group Policy) będą trudne do zrozumienia i administrowania.
Konfigurowanie przystawki (snap-in)
Zarządzanie Zasadami Grupowymi (Group
Policy Management)
Zasady grupowe są związane z usługami Active Directory i przystawka (snap-in) Zasady grupowe
jest rozszerzeniem narzędzi do zarządzania Active Directory, korzystających z mechanizmu
rozszerzania przystawki konsoli MMC. Przystawki (snap-ins) Active Directory ustalają zakres
zarządzania zasadami grupowymi (Group Policy). Najczęściej spotykanym sposobem uzyskania
dostępu do zasad grupowych jest użycie przystawki (snap-in) Active Directory Użytkownicy i
Komputery (Active Directory Users and Computers), która służy do ustalenia zakresu zarządzania
domenami i jednostkami organizacyjnymi. Do ustawienia zasięgu zarządzania dla lokacji (site)
można użyć przystawki (snap-in) Active Directory Lokacje i Usługi (Active Directory Sites and
Services).
Obie przystawki usługi Active Directory znajdują się w menu Narzędzia administracyjne
(Administration tools), ale dla wygody można utworzyć jedną wspólną konsolę niestandardową,
zawierającą przystawki Active Directory Użytkownicy i Komputery, Active Directory Lokacje i
Usługi oraz Zasady grupowe (Group Policy). Jeśli konsola została już utworzona zgodnie z opisem
zamieszczonym w rozdziale 2., wystarczy ją po prostu załadować. W przeciwnym razie można ją
utworzyć zgodnie z poniższym opisem.
Konfigurowanie konsoli niestandardowej
Aby skonfigurować konsolę niestandardową, należy wykonać następujące czynności:
1. Z menu Start wybrać pozycję Uruchom (Run) i wpisać polecenie mmc.
2. Wybrać pozycję Konsola|Dodaj/Usuń przystawkę (Console\Add/Remove snap-in).
Pojawi się okno dialogowe Dodaj/Usuń przystawkę (Add/Remove snap-in).
3. Nacisnąć Dodaj (Add). Pojawi się okno dialogowe Dodawanie przystawki autonomicznej
(Add standalone snap-in).
4. Z listy Dostępne przystawki autonomiczne (Available standalone snap-ins) wybrać Active
Directory Użytkownicy i Komputery (Active Directory Users and Computers). Nacisnąć
Dodaj (Add).
5. Wybrać przystawkę Active Directory Lokacje i Usługi (Active Directory Sites and
Services) i nacisnąć przycisk Dodaj (Add).
6. Wybrać przystawkę Zasady Grupowe (Group Policy) i nacisnąć przycisk Dodaj (Add).
7. Na żądanie systemu należy upewnić się, że przystawka Zasady Grupowe (Group Policy)
ma wybraną opcję Komputer Lokalny (Local Computer), a następnie nacisnąć przycisk
Dodaj (Add).
8. Nacisnąć przycisk Zamknij (Zlose).
9. Wybrać zakładkę Rozszerzenia (Extensions). Upewnić się, że dla każdego rozszerzenia
podstawowego, dodanego do konsoli MMC, zaznaczono pole wyboru Dodaj wszystkie
rozszerzenia (Add all extensions). Nacisnąć przycisk OK.
10. Wybrać pozycję menu Konsola\Zapisz (Console\Save) i zapisać konsolę. Aby zachować
zgodność z opisem tworzenia konsoli z rozdziału 2. i móc korzystać z tej konsoli w
dalszej części niniejszego rozdziału, trzeba zapisać konsolę jako GroupAD. Konsola ta
powinna wyglądać podobnie do tej, zamieszczonej na rysunku 3.2.
Wskazówka: Domyślnie nowa konsola zapisywana jest w folderze Narzędzia administracyjne
(Administrative tools). Za pomocą menu Start\Programy\Narzędzia administracyjne
(Start\Programs\Administrative tools) można łatwo uzyskać dostęp do danej konsoli.
Rysunek 3.2. Konsola Zasady Grupowe i Active Directory (Group Policy and Active Directory)
Dostęp do zasad grupowych domeny lub
jednostki organizacyjnej
W tej części rozdziału korzysta się z konsoli Zasady Grupowe i Active Directory (Group Policy
and Active Directory) utworzonej w poprzedniej części i zapisanej pod nazwą GroupAG. Można
również użyć przystawki Active Directory Użytkownicy i Komputery (Active Directory Users and
Computers), która jest dostępna w menu Narzędzia administracyjne (Administrative tools). Aby
uzyskać dostęp do zasad grupowych (Group Policy) domeny lub jednostki organizacyjnej (OU),
należy postępować zgodnie z poniższym opisem:
1. Otworzyć konsolę GroupAD: Z menu Start|Programy|Narzędzia administracyjne
(Start\Programs\Administrative tools) wybrać pozycję GroupAD.
2. Rozwinąć drzewo, klikając znak + przy pozycji Active Directory Użytkownicy i
Komputery (Active Directory Users and Computers).
3. Rozwinąć domenę główną (root domain).
4. Kliknąć domenę lub jednostkę organizacyjną (OU) prawym przyciskiem myszki i z menu
wybrać pozycję Właściwości (Properties).
5. W oknie dialogowym Właściwości (Properties) wybrać zakładkę Zasady Grupowe
(Group Policy). Pojawi się strona Zasady Grupowe Właściwości (Group Policy
Properties) (rysunek 3.3), która służy do zarządzania obiektami zasad grupowych (GPOs)
związanymi z wybranym kontenerem. Strona ta umożliwia dodawanie, usuwanie,
wyłączanie, wybór opcji Nie zastępuj (No override) i zmianę kolejności skojarzonych
obiektów (GPO). Umożliwia również edycję obiektów zasad grupy (GPOs). Strona
Zasady Grupowe Właściwości jest szeroko stosowana do zarządzania zasadami
grupowymi, a więc do ustanawiania zabezpieczeń jednostek organizacyjnych i domen.
Strona ta będzie kilkakrotnie przywoływana w niniejszym rozdziale.
Rysunek 3.3. Strona Zasady Grupowe Właściwości (Group Policy Properties) służąca do
zarządzania obiektami zasad grupowych (GPOs)
Uwaga: Kontenery Komputery (Computers) oraz Użytkownicy (Users) nie są jednostkami
organizacyjnymi (OUs) i nie stosuje się do nich bezpośrednio zasad grupowych (Group Policy).
Dla użytkowników i komputerów z tych kontenerów stosuje się zasady (policies) z obiektów
zasad grupy (GPOs), które dotyczą tylko obiektów domen i lokacji (sites). Kontener kontrolera
domeny (na rysunku 3.3 jest to coriolis.com) jest jednostką organizacyjną (OU) i zasady
grupowe mogą być stosowane do niego bezpośrednio. Komputery, użytkownicy i grupy mogą
być umieszczane w jednostkach organizacyjnych specjalnie w tym celu utworzonych i wówczas
zasady grupowe mogą być stosowane do tych jednostek organizacyjnych.
Tworzenie obiektu zasad grupowych (Group
Policy Object)
Zasady grupowe zawarte są w Obiektach Zasad Grupowych (Group Policy Object  GPOs), które
z kolei są związane z wybranymi obiektami Active Directory, takimi jak lokacje (sites), domeny
lub jednostki organizacyjne (OUs). Poniżej opisano tworzenie obiektu zasad grupy (GPO) dla
poddomeny lub jednostki organizacyjnej (OU) w domenie głównej (root domain).
Aby utworzyć obiekt zasad grupy (GPO), należy:
1. Otworzyć konsolę MMC GroupAD w sposób opisany powyżej.
2. Rozwinąć przystawkę Active Directory Użytkownicy i Komputery (Active Directory
Users and Computers), a następnie rozwinąć domenę główną (root domain).
3. Kontynuować rozwijanie drzewa, dopóki nie zostanie odnaleziona jednostka
organizacyjna (OU) lub domena, dla której chceym utworzyć zasady grupowe (Group
Policy).
4. Kliknąć ten obiekt, a następnie z menu wybrać pozycję Właściwości (Properties).
5. Na stronie Właściwości (Properties) wybrać zakładkę Zasady Grupowe (Group Policy).
Tak, jak w poprzedniej procedurze, należy przejść do strony Zasady Grupowe
Właściwości (Group Policy Properties) wybranego obiektu Active Directory.
6. Nacisnąć przycisk Nowy (New).
7. Wpisać nazwę obiektu zasad grupy (GPO). Powinno pojawić się okno dialogowe Zasady
Grupowe Właściwości (Group Policy Properties), które przedstawiono na rysunku 3.4.
Nacisnąć przycisk Zamknij (Close).
8. Dodać kilka obiektów zasad grupowych (GPOs), aby otrzymać listę takich obiektów.
Konsekwencje, jakie pociąga za sobą określona kolejność obiektów na liście, są
omówione w dalszej części niniejszego rozdziału.
9. Teraz można zredagować utworzony właśnie obiekt zasad grupowych (GPO).
Naciśnięcie przycisku Edytuj (Edit) uruchomi przystawkę (snap-in) Zasady Grupowe
(Group Policy) dla danego obiektu zasad grupy (jego opis znajduje się w następnym
akapicie). Funkcje zasad grupowych pochodzą z rozszerzeń przystawki (snap-in
extensions). Domyślnie wszystkie rozszerzenia są aktywne. Można ograniczyć
rozszerzenia, które są umieszczane w każdej przystawce (snap-in), za pomocą gałęzi
System\Zasady Grupowe (System\Group Policy) w folderze Szablony Administracyjne
(Administrative Templates). Korzystając z zakładki Wyjaśnianie (Explain), można
dowiedzieć się więcej na temat stosowania tych zasad (policies).
10. Jeśli posiada się więcej obiektów zasad grupowych (GPOs), skojarzonych z danym
folderem Active Directory, należy sprawdzić ich kolejność. Obiekt zasad grupy, który jest
najwyżej na liście, ma najwyższy priorytet, ponieważ jest przetwarzany jako ostatni.
Dany obiekt zasad grupy ma swoje miejsce w hierarchii obiektów i  do uzyskania oraz
modyfikacji informacji ogólnych o tym obiekcie  można skorzystać z jego menu
kontekstowego. Informacjami tymi są ustawienia poufnych list kontroli dostępu
(Discretionary Access Control List  DACL) oraz inne lokacje (sites), domeny lub
jednostki organizacyjne, z którymi połączony jest dany obiekt zasad grupowych (GPO).
Obiekt ten może być bardziej precyzyjny, jeśli użytkownicy lub komputery będą
członkami grupy zabezpieczeń (security group), w wyniku czego moża otrzymać
odpowiednie ustawienia na listach kontroli dostępu (ACL). Sytuacja ta została opisana w
dalszej części niniejszego rozdziału, w punkcie  Filtrowanie ustawień w grupach
zabezpieczeń .
11. Teraz można wypróbować możliwości edycji obiektu zasad grup (GPO) według sposobu
opisanego poniżej lub zamknąć przystawkę MMC.
Rysunek 3.4. Dodawanie obiektu zasad grupowych (Group Policy Object)
Edycja obiektu zasad grupowych
Przed dokonaniem edycji obiektu zasad grupowych (GPO) należy upewnić się, czy nie jest on
związany z innymi obiektami w drzewie domen, na które zmiany mogłyby mieć niepożądany
wpływ. Kolejna procedura opisuje, w jaki sposób edytować dany obiekt zasad grupowych i
zmienić ustawienia hasła w gałęzi Założenia Komputera (Computer Policies):
1. Jeśli nie jest to kontynuacja poprzedniej procedury, należy powtórzyć opisane powyżej
czynności 1  5, a następnie nacisnąć przycisk Edycja (Edit).
2. Rozwinąć gałąz
Konfiguracja Komputera (Computer Configuration).
3. Rozwinąć gałąz
Konfiguracja Użytkownika (User Configuration). Ekran powinien
wyglądać, jak na rysunku 3.5.
4. W gałęzi Konfiguracja Komputera rozwinąć gałąz
Ustawienia Systemu Windows
(Windows Settings).
5. Rozwinąć gałąz
Ustawienia Zabezpieczeń (Security Settings), a następnie rozwinąć
Zasady Kont (Account Policies). Wybrać Zasady Haseł (Password Policy).
6. Prawym klawiszem myszki kliknąć opcję Maksymalny okres ważności hasła (Maximum
password age), a następnie kliknąć Zabezpieczenia (Security).
7. Zaznaczyć pole wyboru Definiuj następujące ustawienia zasad (Define this policy
setting).
8. Ustawić parametr Maksymalny okres ważności hasła (Maximum password age), jak
przedstawiono na rysunku 3.6.
9. Naciśnąć OK.
10. Aby przyjąć sugerowane ustawienia Minimalny okres ważności hasła (Minimum
password age), należy nacisnąć OK i zamknąć Edytor Zasad Grupowych (Group Policy
Editor). Zamknąć konsolę GroupAD.
Rysunek 3.5. Edytor Założeń Grupowych (Group Policy Editor)
Rysunek 3.6. Zastosowanie Edytora Zasad Grupowych (Group Policy Editor) do ustanawiania
zasad hasła (Password Policy)
Nadawanie użytkownikowi prawa do
logowania się lokalnie (log on locally) na
kontrolerze domeny
W rozdziale 2. przystawka (snap-in) MMC Szablony Zabezpieczeń (Security Templates) używana
była do tworzenia szablonu dla grupy  autorzy (authors), który zawiera prawo Logowanie lokalne
(Log on locally). Jednakże  w większości zasad zabezpieczeń (security policies)  jest to raczej
prawo komputerów niż użytkowników. Szablon ma zastosowanie do obiektu lub obiektów zasad
grupy (GPOs) kontrolujących zasady (policies) jednostki organizacyjnej (OU), w której ta grupa
jest umieszczona.
W przypadku kontrolera domeny (DC) sprawa wygląda jednak trochę inaczej. Prawo Logowanie
lokalne musi mieć zastosowanie do obiektu zasad grupy (GPO) Domyślni Kontrolerrzy Domeny
(Default Domain Controllers), który jest obiektem zasad grupy najwyższego poziomu (highest
level GPO) w danej domenie. Prawo to można nadać zwykłemu użytkownikowi lub grupie z
dowolnej części domeny.
Oczywiście nadawanie zwykłemu użytkownikowi lub grupie użytkowników prawa Logowanie
lokalne w kontrolerze domeny nie jest dobrą zasadą. Zwykle tacy użytkownicy zostaliby dodani
do grupy, takiej jak obsługujący serwer (server operators), po czym przestaliby być zwykłymi
użytkownikami. Jednakże do wypróbowania takich procedur na pojedynczym komputerze trzeba
mieć możliwość logowania się jako zwykły użytkownik, aby testy były wykonywane w
odpowiednim kontekście. Jeśli w danej domenie nie ma zwykłych użytkowników, należy
utworzyć takie konto przed rozpoczęciem kolejnej procedury. Jednocześnie nie ma znaczenia, w
jakiej jednostce organizacyjnej (OU) znajdzie się to konto. Kolejno należy:
1. Uruchomić konsolę GroupAG i przejść do strony Zasady Grupowe Właściwości (Group
Policy Properties) obiektu Kontrolerzy Domeny (Domain Controllers).
2. Zaznaczyć obiekt zasad grupy (GPO) Zasady Domyślnych Kontrolerów Domeny (Default
Domain Controllers Policy) i naciśnąć przycisk Edycja (edit).
3. Rozwinąć gałęzie Konfiguracja Komputera (Computer Configuration), Ustawienia
Systemu Windows (Windows Settings), Ustawienia Zabezpieczeń (Security Settings) i
następnie Zasady Lokalne (Local Policies).
4. Kliknąć Przypisywanie Praw Użytkownika (User Rights Assignment).
5. Kliknąć dwukrotnie Logowanie Lokalne (Log on Locally).
6. W razie potrzeby trzeba zaznaczyć pole wyboru Definiuj następujące ustawienia zasad
(Define these policy settings).
7. Nacisnąć Dodaj (Add), Przeglądaj (Browse) i wybrać użytkownika.
8. Nacisnąć Dodaj (Add). Powinno pojawić się okno podobne do przedstawionego na
rysunku 3.7.
9. Naciskć OK, aby zamknąć każde okno dialogowe. Następnie zamknąć przystawkę (snap-
in) Zasady Grupowe (Group Policy).
10. Nacisnąć OK, aby zamknąć stronę Zasady Grupowe Właściwości (Group Policy
Properties).
11. Na konsoli GroupAD rozwinąć gałąz
Zasady Komputera Lokalnego (Local Computer
Policy) i powtórz czynności 3  9. Dzięki temu użytkownik uzyska prawo do logowania
lokalnego, oprócz domyślnych praw kontrolera domeny.
Rysunek 3.7. Dodawanie użytkownikowi prawa Logowanie Lokalne (Log on Locally)
Zarządzanie zasadami grupowymi
Do zarządzania zasadami grupowymi (Group Policy) konieczny jest dostęp do menu
kontekstowego (context menu) lokacji (site), domeny lub jednostki organizacyjnej (OU). Można to
zrobić za pomocą strony Zasady Grupowe Ełaściwości (Group Policy Properties). Większość
funkcji dostępnych na tej stronie zostanie opisanych szczegółowo w dalszej części niniejszego
rozdział, ale stosowne będzie zamieszczenie tu skrótu.
Na stronie Zasady Grupowe Właściwości przedstawiono wszystkie obiekty zasad grupowych
(GPOs), które zostały skojarzone lub połączone (linked) z bieżącą lokacją (site), domeną lub
jednostką organizacyjną (OU). A
ącza (links) są obiektami i jako takie mają menu kontekstowe
(context menu), które pojawi się po kliknięciu obiektu prawym klawiszem myszki. Kliknięcie
prawym klawiszem na białym miejscu spowoduje wyświetlenie menu kontekstowego (context
menu) do tworzenia nowego łącza (link), dodawania łącza lub odświeżania listy.
Lista jest uporządkowana w ten sposób, że obiekt zasad grupowych (GPO) o najwyższym
priorytecie znajduje się najwyżej. Uporządkowanie obiektów zasad grupowych (GPOs) można
zmienić wybierając Obiekt Zasad Grupy, a następnie naciskając przyciski Góra (Op) lub Dół
(Down).
W celu skojarzenia (połączenia) nowego obiektu, naciśnij przycisk Dodaj (Add).
Aby edytować obiekt zasad grupy (GPO), znajdujący się na liście, wybierz goi naciśnij przycisk
Edytuj (Edit) lub kliknij ten obiekt dwukrotnie. W ten sposób zostanie uruchomiona przystawka
(snap-in) Zasady Grupowe, za pomocą której można modyfikować dany obiekt zasad grupowych.
Edytowanie obiektu zasad grupy opisano w poprzednim akapicie.
Aby trwale usunąć z listy obiekt zasad grupowych (GPO), zaznacz go i naciśnij przycisk Usuń
(Delete). Wybierz opcję Usuń trwale łącze i obiekt zasad grupy (Remove the link and delete the
Group Policy Object permanently), a następnie naciśnij przycisk OK. Przy usuwaniu obiektu
należy zachować ostrożność, ponieważ dany obiekt zasad grupy (GPO) może być skojarzony z
inną lokacją (site), domeną lub jednostką organizacyjną (OU). Jeśli chcesz jedynie usunąć obiekt
zasad grupy z listy dla zaznaczonego obiektu, wybierz opcję Usuń łącze z listy (Remove the link
from the list).
Chcąc określić, jakie inne lokacje (sites), domeny lub jednostki administracyjne są skojarzone z
danym obiektem zasad grupy (GPO), kliknij opcję Właściwości (Properties), wybierz zakładkę
A
ącza (Links), a następnie naciśnij przycisk Znajdz
(Find now).
Można również wyłączyć część obiektu zasad grupy (GPO) Użytkownik (User) lub Komputer
(Computer). Opcje wyłączania podanych części znajdują się w zakładce Ogólne (General) okna
Obiekt Zasad Grupy Właściwości (GPO Properties).
Zaznaczenie pola wyboru Zablokuj dziedziczenie zasad (Blok policy inheritance) anuluje
ustawienia wszystkich obiektów zasad grupy (GPOs) znajdujących się wyżej w hierarchii
obiektów. Jednakże nie są blokowane żadne obiekty zasad grupowych (GPOs), które mają
ustawioną opcję Nie zastępuj (No override)  one zawsze są stosowane. Opcję Nie zastępuj (No
override) można ustawić, klikając dwukrotnie wybrany obiekt zasad grupy (GPO) znajdujący się
w kolumnie Nie zastępuj (No override) lub klikając dwukrotnie dany obiekt zasad grupy (GPO) i
wybierając opcję Nie zastępuj (No override).
Dodawanie lub przeglądanie obiektu zasad
grupowych
Poprzednio, aby dodać nowy obiekt zasad grupowych (GPO), trzeba było nacisnąć przycisk Nowy
(New), dlatego mogło pojawić się pytanie, do czego służy przycisk Dodaj (Add). Po naciśnięciu
przycisku Dodaj pojawi się okno dialogowe Dodawanie łącza obiektu zasad grup (Add a Group
Policy Object Link), które przedstawia obiekty zasad grupowych (GPOs) aktualnie skojarzone z
domenami, jednostkami organizacyjnymi (OUs) i lokacjami (sites) lub wszystkie obiekty zasad
grupowych (GPOs), bez względu na ich aktualne skojarzenia (łącza). To okno dialogowe,
przedstawione na rysunku 3.8, może służyć do dodawania i przeglądania obiektów zasad grupy
(GPOs) i często jest nazywane oknem dialogowym Dodawanie/Przeglądanie (Add/Browse).
Rysunek 3.8. Okno dialogowe Dodawanie A
ącza Obiektu Zasad Grupy (Add a Group Policy
Object Link)
Okno to ma kilka funkcji:
" w zakładce Domeny\Jednostki organizacyjne (Domains\OUs) przedstawione są jednostki
organizacyjne niższego rzędu (sub-OUs) i obiekty zasad grupowych (GPOs) wybranej
domeny lub jednostki organizacyjnej (OU). Aby poruszać się w hierarchii, należy kliknąć
dwukrotnie jednostkę organizacyjną niższego rzędu (sub-OU) lub skorzystać z opcji
Zobacz (Look) pola rozwijalnego (drop-down box),
" aby dodać obiekt zasad grupy (GPO) do wybranej aktualnie domeny lub jednostki
organizacyjnej (OU), należy kliknąć dwukrotnie obiekt zasad grupy lub zaznaczyć go i
nacisnąć przycisk OK,
" aby utworzyć nowy obiekt zasad grupy (GPO), należy wybrać zakładkę Wszystkie (All) i
kliknąć prawym klawiszem myszki w wolnym miejscu lub użyć przycisku z paska
narzędzi Tworzenie nowego Obiektu Zasad Grupy (Create new GPO). Przycisk ten jest
aktywny tylko w zakładce Wszystkie (All). Do utworzenia nowego obiektu zasad
grupowych i połączenia go z konkretną lokacją (site), domeną lub jednostką
organizacyjną (OU) służy przycisk Nowy (New) na stronie Zasady Grupowe Właściwości
(Group Policy Property),
" wszystkie obiekty zasad grupowych (GPOs) skojarzonych z wybraną lokacją (site)
wyświetlono na stronie zakładki Lokacje (Sites). Lista rozwijalna służy do wybrania innej
lokacji (site). Nie ma hierarchii lokacji,
" zakładka Wszystkie (All) przedstawia listę wszystkich obiektów zasad grupy (GPOs)
zapisanych w wybranej domenie. Jest ona przydatna, gdy trzeba wybrać obiekt zasad
grupowych (GPO) na podstawie jego nazwy, a nie na podstawie jego miejsca w drzewie
domeny. Jest to także jedyne miejsce, w którym można utworzyć obiekt zasad
grupowych, który nie ma połączenia z lokacją (site), domeną czy jednostką organizacyjną
(OU). Aby to zrobić, kliknij prawym klawiszem myszki w wolnym miejscu i wybierz
opcję Nowy (New). Nadaj nazwę nowemu obiektowi zasad grupowych i naciśnij Enter.
Następnie naciśnij Anuluj (Cancel)  nie naciskaj OK. Naciśnięcie przycisku OK. łączy
nowy obiekt zasad grupy (GPO) z aktualną lokacją (site), domeną lub jednostką
administracyjną. Naciśnięcie przycisku Anuluj (Cancel) tworzy niepołączony obiekt
zasad grupowych.
Wskazówka: Kliknięcie prawym klawiszem myszki w wolnym miejscu, aby uzyskać dostęp do
odpowiedniego menu kontekstowego (incontext menu), jest metodą prawie powszechnie
stosowaną w konsolach MMC. Jest ona zwykle szybsza i prostsza niż poszukiwanie na pasku
narzędzi przycisku, który może nie istnieć.
Ustanawianie dziedziczenia i zastępowania
(override) zasad grupowych
W rozdziałach 1. i 2. krótko omówiono dziedziczenie i wyjaśniono, że jednostka organizacyjna
(OU) może dziedziczyć właściwości jednostki organizacyjnej znajdującej się wyżej w strukturze
drzewa  lub, dokładniej, obiektów zasad grupowych (GPOs), skojarzonych z daną jednostką
organizacyjną. Jednak takie dziedziczenie pomiędzy jednostkami organizacyjnymi (OUs) może
być zablokowane. Są również dostępne narzędzia dla administratora, które służą do wymuszania
dziedziczenia wybranych zasad (policies). Funkcje Zablokuj dziedziczenie zasad (Block policy
inheritance) i Nie zastępuj (No override) pozwalają uzyskać kontrolę nad domyślnymi regułami
dziedziczenia.Aby wypróbować te funkcje, najpierw utwórz w swojej domenie dwie jednostki
organizacyjne: nadrzędną (parent) jednostkę organizacyjną pod nazwą Nadrzędna (Parent) i
podrzędną w stosunku do tej jednostki organizacyjnej, pod nazwą Podrzędna (Child). Tworzenie
jednostek organizacyjnych zostało opisane w rozdziale 2. Można również skorzystać z istniejących
w danej domenie jednostek organizacyjnych, znajdujących się w relacji Nadrzędna/Podrzędna.
Rozwiązania pokrewne zobacz na stronie
Możliwości rozbudowy
W poniższym ćwiczeniu utworzone zostaną dwa obiekty zasad grupowych (GPOs) dołączone do
nadrzędnej jednostki organizacyjnej o nazwie Nadrzędna (Parent), które zawierają Zasady
Użytkownika (User Policies). Jeden zostanie nazwany Obowiązkowy (Mandatory), drugi 
Domyślny (Default). Dzięki funkcji Nie zastępuj (No override), zasady z obiektu Obowiązkowy
(Mandatory) zastąpią zasady w obiekcie Domyślny . W następnej części rozdziału, dzięki funkcji
Zablokuj dziedziczenie zasad (Block policy inheritance), jednostka organizacyjna Podrzędna
(Child) nie odziedziczy właściwości jednostki Nadrzędnej.
1. Po utworzeniu w twojej domenie jednostek organizacyjnych Nadrzędna (Parent) i
Podrzędna (Child), dodaj konto zwykłego użytkownika do jednostki organizacyjnej
Podrzędna i nadaj temu użytkownikowi prawo Logowanie Lokalne (Log on Locally) w
sposób opisany wcześniej.
2. Przejdz
do strony Zasady Grupowe Właściwości (Group Policy Properties) jednostki
organizacyjnej Nadrzędna (Parent), jak opisano to wcześniej w niniejszym rozdziale
(zob. rysunek 3.3).
3. Utwórz nowy obiekt zasad grupowych (GPO) o nazwie Obowiązkowy (Mandatory).
4. Utwórz nowy obiekt o nazwie Domyślny (Default).
Wskazówka: Utworzenie obiektów zasad grupowych (GPOs) w takiej kolejności powoduje, że
obiekt zasad grupowych (GPO) Obowiązkowy (Mandatory) jest pierwszy na liście. Jeśli tak nie
jest  użyj przycisku Do góry (Up). Nie jest to bezwzględnie konieczne, obiekty zasad
grupowych (GPOs), które są narzucane, zawsze mają pierwszeństwo przed tymi, które nie są
narzucane.
5. Wybierz opcję Nie zastępuj (No override) obiektu zasad grupy (GPO) Obowiązkowy
(Mandatory), klikając tę kolumnę dwukrotnie. Strona Właściwości (Properties) powinna
wyglądać tak, jak na rysunku 3.9.
6. Edytuj obiekt zasad grupowych (GPO) Obowiązkowy. Rozwiń gałęzie Konfiguracja
Użytkownika (User Configuration), Szablony Administracyjnej (Administrative
Templates) i System. Kliknij Logowanie/Wylogowywanie (Log on/Log off).
7. W prawej części okna kliknij dwukrotnie zasadę (policy) WyłączMmenedżera Zadań
(Disable Task Manager) i wybierz opcję Włączony (Enabled).
8. Naciśnij OK. Zwróć uwagę, że ustawiona jest opcja Włączony . Ekran powinien wyglądać
podobnie do zamieszczonego na rysunku 3.10.
Rysunek 3.9. Ustawienie Nie zastępuj (No override)
Rysunek 3.10. Menedżer Zadań (Task Manager) wyłączony w obiekcie zasad grupowych (GPO)
Obowiązkowy (Mandatory)
9. Zamknij okno Zasady Grupowe (Group Policy). Powinno pojawić się okno Nadrzędne
Właściwości (Parent Properties), podobne do przedstawionego na rysunku 3.9.
10. Edytuj obiekt zasad grupowych (GPO) Domyślny (Default).
11. Rozwiń gałąz
Konfiguracja Użytkownika\Szablony Administracyjne\Pulpit (User
Configuration\Administrative templates\Desktop).
12. Kliknij gałąz
Active Desktop, kliknij dwukrotnie Wyłącz Active Desktop (Disable Active
Desktop) i wybierz Włączony (Enabled).
13. Naciśnij OK. Zwróć uwagę, że ustawiona jest opcja Włączony (Enabled).
14. Zamknij przystawkę Zasady Grupowe.
15. Aby zamknąć stronę Nadrzędny Właściwości (Parent Properties) naciśnij OK. Zamknij
konsolę.
16. Zaloguj się do jednostki organizacyjnej (OU) Podrzędna (Child), korzystając z
utworzonego wcześniej konta użytkownika. Zwróć uwagę, że nie możesz uruchomić
Menedżera Zadań (Task Manager), jak i włączyć funkcji Active Desktop. Potwierdz
to,
klikając prawym klawiszem myszki na pulpicie i wybierając opcję Właściwości
(Properties). Zaloguj się z powrotem jako Administrator.
Postępując zgodnie z powyższą procedurą, można zagwarantować, że ustawienia zasad danego
obiektu zasad grupowych (GPO) kontenera Active Directory wyższego poziomu są narzucane
kontenerom niższego poziomu. Z funkcji tej należy korzystać wyłącznie wtedy, gdy wymagają
tego okoliczności. Nadużywanie funkcji Nie zastępuj (No override) może komplikować zasady
rozwiązywania problemów.
Wskazówka: Użycie funkcji Nie zastępuj (no override) jest jedyną metodą delegowania
administrowania bez narażania bezpieczeństwa systemu. Jeśli w obiektach zasad grupowych
(GPOs) dołączonych do lokacji (sites), domen lub jednostek organizacyjnych wyższego
poziomu ustawiono zasady (policies) uwzględniające zabezpieczenia (security sensitive) i
włączono opcję Nie zastępuj (No override), wówczas można bezpiecznie przekazać
kontrolowanie jednostek organizacyjnych niższego poziomu, nadając odpowiednim osobom
uprawnienia prawo odczytu i zapisu (read-write). Administratorzy pomocniczy do obiektów
zasad grupowych (GPOs) będą oczywiście mieli tylko uprawnienie odczytu (read). Np. do
obiektów zasad grupowych domyślne zasady domeny (default domain policy), które mogą
określać dla całej domeny zasady dotyczące logowania, prawo dostępu, ustawienia protokołów
zabezpieczeń i zasady inspekcji (audit policy), powinni mieć wyłącznie administratorzy sieci
(członkowie grupy domain administrators), którzy powinni zagwarantować, że zasady,
obowiązujące w całej domenie i ustanowione w danym obiekcie zasad grupy, nie zostaną
zastąpione na niższych poziomach.
Blokowanie dziedziczenia zasad
Teraz zostanie użyta funkcja Zablokuj dziedziczenie zasad (Block policy inheritance) po to, by
obiekt zasad grupowych (GPO) Podrzędny (Child) nie dziedziczył zasad obiektu Nadrzędny
(Parent). Po zablokowaniu dziedziczenia, użytkowników danej jednostki organizacyjnej (OU)
będą dotyczyć tylko narzucone (funkcja no override) zasady Zasady Użytkownika (User Policies).
Jest to łatwiejsze niż unieważnienie poszczególnych zasad obiektu zasad grupy (GPO) dla danej
jednostki organizacyjnej (OU).
1. Przejdz
do strony Zasady Grupowe Właściwości (Group Policy Properties) jednostki
organizacyjnej Podrzędna (Child).
2. Zaznacz pole wyboru Zablokuj Dziedziczenie Zasad, jak przedstawiono to na rysunku
3.11.
Rysunek 3.11. Blokowanie dziedziczenia zasad (policies)
Aby sprawdzić, że dziedziczone ustawienia są teraz zablokowane, należy zalogować się,
korzystając z konta zwykłego użytkownika, które zostało utworzone w jednostce organizacyjnej
(OU) Podrzędna . Zwróć uwagę, że zakładka Web znajduje się teraz na stronie Ustawienia Ekranu
Właściwości (Display Setting Properties), ale Menedżer Zadań (Task Manager) jest nadal
wyłączony, ponieważ ta zasada (policy) ma ustawioną opcję Nie zastępuj (No override).
Jak pokazano poprzednio, można nie dopuścić, by ustawienia zasad grupowych (Group Policy)
nadrzędnych kontenerów Active Directory oddziaływały na użytkowników i komputery w
kontenerach niższego poziomu. Tak samo, jak w przypadku funkcji Nie zastępuj, blokowanie
dziedziczenia powinno być stosowane tylko wtedy, kiedy bezwzględnie wymaga tego sytuacja,
ponieważ w pozostałych okolicznościach może to komplikować zasady rozwiązywania
problemów.
Wyłączanie części obiektu zasad grupy
(GPO)
Ponieważ obiekty zasad grupy (GPOs) Domyślny (Default) i Obowiązkowy (Mandatory) dotyczyły
wyłącznie konfiguracji użytkownika (User Configuration), część obiektu zasad grupy (GPO)
Konfiguracja Komputera (Computer Configuration) może być wyłączona. Skraca to czas
uruchamiania systemu, ponieważ nie jest konieczne sprawdzanie obiektów zasad grupowych
(GPOs) danego komputera pod kątem istnienia zasad (policies).
Aby wyłączyć część obiektu zasad grupowych (GPO) Konfiguracja Komputera, należy:
1. Upewnić się, czy zostało dokonane zalogowanie na konto administratora.
2. Przejśćdo strony Zasady Grupowe Właściwości (Group Policy Property) jednostki
administracyjnej o nazwie Nadrzędna (Parent).
3. Wybrać obiekt zasad grupy (GPO) Obowiązkowy (Mandatory) i nacisnąć przycisk
Właściwości (Properties).
4. Zaznaczyć pole wyboru Wyłącz ustawienia konfiguracji komputera (Disable computer
configuration settings). W oknie dialogowym Potwierdz
Wyłączenie (Confirm Disable)
naciśnij Tak (Yes). Okno dialogowe dla obiektu zasad grupy (GPO) Obowiązkowy
Właściwości powinno wyglądać podobnie do przedstawionego na rysunku 3.12. Naciśnij
OK.
5. Wykonać powyższe czynności dla obiektu zasad grupowych (GPO) Domyślne (Default).
Uwaga: Można nie usuwać części obiektu zasad grupy (GPO) Konfiguracja komputera
(computer configuration). Konfigurując ustawienia dotyczące użytkownika dla poszczególnych
komputerów, można zastąpić zasady właściwe dla użytkowników (user-specific policies)
zasadami właściwymi dla komputera (computer-specific policies). Jest to przydatne do
skonfigurowania specjalnego pulpitu bez konieczności liczenia się z użytkownikami, którzy
logują się na danym komputerze. Aby skonfigurować ustawienia użytkownika dla danego
komputera, uruchom konsolę Edytor Zasad Grupowych (Group Policy Editor) i przejdz
do gałęzi
Ustawienia Komputera\Zasady Oprogramowania (Computer Settings\Software policies).
Rysunek 3.12. Wyłączanie ustawień Konfiguracja Komputera (Computer Configuration) danego
obiektu zasad grupowych (GPO)
Dołączanie obiektu zasad grupowych (GPO)
do wielu lokacji (sites), domen i jednostek
organizacyjnych (OUs)
Za pomocą dziedziczenia można zagwarantować, że jednostka organizacyjna (OU) zawsze będzie
miała ten sam zestaw zasad (policies), co inna. Jednakże czasami jednostki organizacyjne mogą
znajdować się w różnych gałęziach drzewa domeny i dołączenie ich do tego samego obiektu zasad
grupowych (GPO) jest właściwym sposobem, gwarantującym, że zawsze dzielą te same zasady
(policies). Również zasady grupowe (Group Policy) nie są dziedziczone poza granicami domeny, a
czasami zachodzi potrzeba dołączenia dwóch jednostek organizacyjnych z różnych domen, dwóch
lokacji lub domen do jednego obiektu zasad grupy (zob. rysunek 3.1). Należy zwrócić uwagę, że
połączenia (links) przekraczające granice mogą znacznie spowolnić przetwarzanie.
Poniższa procedura podaje sposób dołączenia jednego obiektu zasad grupy (GPO) do dwóch
jednostek organizacyjnych (OUs). Ta sama procedura może służyć do dołączania dwóch lub
więcej lokacji (sites) lub domen lub do innej kombinacji lokacji (sites), domen i jednostek
organizacyjnych.
1. Na tym samym poziomie, na którym znajduje się jednostka organizacyjna Podrzędna
(Child), utwórz jednostkę organizacyjną pod nazwą Second_child. Do tej jednostki
organizacyjnej dodaj użytkownika i nadaj mu prawo Logowanie Lokalne (Log on
Locally).
2. Otwórz stronę Zasady Grupowe Właściwości (Group Policy Properties) jednostki
organizacyjnej Second_Child.
3. Utwórz nowy obiekt zasad grupy (GPO) pod nazwą Child_Link.
4. Zaznacz obiekt zasad grupy (GPO) Child-Link i naciśnij przycisk Edytuj (Edit).
5. Rozwiń gałąz
Konfiguracja Użytkownika\Szablony Administracyjne\Panel Sterowania
(User Configuration\Administrative Templates\Control Panel), a potem naciśnij Wyświetl
(Display).
6. Uaktywnij zasadę (policy) Wyłącz Aplet Ekran w Panelu Sterowania (Disable Display in
Control Panel). Ekran powinien wyglądać podobnie do przedstawionego na rysunku 3.13.
7. Zamknij przystawkę (snap-in) Zasady Grupowe (Group Policy).
8. Aby zamknąć stronę Second_Child Właściwości (Second_Shild Properties) naciśnij OK.
9. Otwórz stronę Zasady Grupowe Właściwości (Group Policy Properties) jednostki
organizacyjnej (OU) Podrzędna (Child).
10. Naciśnij przycisk Dodaj (Add) lub kliknij prawym klawiszem myszki w wolnym miejscu
ekranu przedstawiającego łącza (links) obiektu zasad grupowych (GPO) i z menu wybierz
opcję Dodaj (Add).
11. Naciśnij strzałkę w dół w polu Szukaj w (Look in), wybierz jednostkę organizacyjną
Nadrzędna (Parent) i kliknij dwukrotnie jednostkę organizacyjną Second_Child.
12. Wybierz obiekt zasad grupy (GPO) Child_Link.
13. Naciśnij OK. Strona Child Właściwości (Child Properties) powinna wyglądać podobnie
do umieszczonej na rysunku 3.14.
14. Teraz jeden obiekt zasad grupy (GPO) jest dołączony do dwóch jednostek
organizacyjnych (OUs). Zmiany dokonane w obiekcie zasad grupy (GPO) w jednej z
jednostek organizacyjnych uwzględniane są w obydwu jednostkach organizacyjnych.
Sprawdz
to, zmieniając kilka zasad (policies) w obiekcie zasad grupy Child_Link i
logując się (korzystając z kont zwykłych użytkowników utworzonych w jednostkach
organizacyjnych Child i Second_Child).
Rysunek 3.13. Ustawianie zasad dla obiektu zasad grupowych (GPO) Child_Link
Rysunek 3.14. Udostępniony obiekt zasad grupy (GPO) dodany do jednostki organizacyjnej (OU)
Oprócz dołączania jednego obiektu zasad grupy do kilku obiektów Active Directory można
również przypisać kilka obiektów zasad grupy (GPOs) do konkretnego kontenera Active
Directory. Jednak liczba przypisanych obiektów zasad grupy może wpłynąć na czas przetwarzania
procedury logowania. W trakcie logowania przetwarzany jest każdy obiekt zasad grupy (GPO) 
do którego użytkownik lub komputer mają prawo dostępu Zastosuj zasady grupy (Apply group
policy)  skojarzony z kontenerem, tak więc im większa liczba skojarzonych obiektów zasad
grupy (GPOs), tym dłużej trwa przetwarzanie.
Jedynym sposobem zmniejszenia liczby obiektów zasad grupy dotyczących użytkowników jest
zastosowanie grup zabezpieczeń do filtrowania (filtering) obiektów zasad grupowych . Stosując
zasady grupowe z wielu obiektów zasad grupowych (GPOs) do danego kontenera Active Directory
i korzystając z filtrowania zasad grupowych (Group Policy filtering)  co ukrywa pewne zasady
(policies) przed niektórymi użytkownikami  poprawia się znacznie wydajność, ponieważ
przetwarzanych jest mniej obiektów zasad grupy (GPOs). Filtrowanie (filtering) omówiono
dokładniej w dalszej części niniejszego rozdziału.
Administrowanie zasadami korzystającymi z
Rejestru (Registry-based policies)
Interfejs użytkownika zasad korzystających z Rejestru (Registry-based policies) jest kontrolowany
za pomocą plików Szablony Administracyjne (Administrative Templates) ADM. Pliki te opisują
interfejs użytkownika, który jest wyświetlany w gałęzi Szablony Administracyjne (Administrative
Templates) przystawki (snap-in) Zasady Grupowe (Group Policy). Chociaż pliki te mają format
zgodny z plikami ADM, używanymi przez Edytor Zasad Systemowych (System Policy Editor),
poledit.exe, systemu Windows NT 4, szablony pochodzące z poprzednich wersji systemu
Windows nie powinny być importowane do systemu Windows 2000, ponieważ nie będą
pracowały poprawnie i mogą uszkodzić Rejestr.
Zanim omówione zostaną praktyczne aspekty administrowania zabezpieczeniami systemu
Windows 2000 za pomocą Rejestru, opisany będzie sposób, w jaki te informacje są zapisywane.
Szablon Zasad Grupowych (folder Group Policy Template  GPT), zawiera kilka podfolderów:
" Adm  zawiera pliki ADM szablonu zasad grupy (GPT),
" Skrypty (Scripts)  zawiera wszystkie skrypty i pliki związane z nimi szablonu zasad
grupy (GPT),
" Użytkownik (User)  zawiera plik registry.pol, w którym zapisane są ustawienia
Rejestru dotyczące użytkowników. Kiedy użytkownik loguje się na komputerze, plik ten
jest ładowany i stosowany do klucza Rejestru HKEY_CURRENT_USER. Folder
Użytkownik (User) zawiera podfolder Apps, w którym zapisane są pliki Anonse
(Advertisements), z których korzysta Instalator Systemu Windows (Windows Installer)
oraz podfolder Pliki (Files), w którym zapisane są pliki do zainstalowania.
" Komputer (Machine)  zawiera plik registry.pol, w którym zapisane są ustawienia
Rejestru, które mają dotyczyć komputerów. Podczas inicjalizacji komputera, plik ten jest
ładowany i stosowany do klucza Rejestru HKEY_LOCAL_MACHINE. Folder Komputer
zawiera podfolder Apps i podfolder Pliki, w tym przypadku dla aplikacji anonsowanych
dla komputera (per-computer). Zawiera także podfolder, który zawiera plik Edytora
Zabezpieczeń (Security Editor) GPTTmpl.inf.
Foldery Użytkownik i Komputer są tworzone w trakcie instalowania systemu. Inne foldery
tworzone są w razie potrzeby, kiedy ustalone zostaną zasady (policy).
Plik registry.pol zawiera niestandardowe ustawienia Rejestru. W systemie Windows 2000 są pliki
tekstowe, podczas gdy w systemie Windows NT 4 były to pliki binarne. W folderze Szablon Zasad
Grupy (Group Policy Templates) tworzone są dwa pliki registry.pol  jeden, dotyczący ustawień
komputera (computer settings) i zapisany w podfolderze Komputer oraz drugi, zapisany w
podfolderze Użytkownik. Pliki registry.pol są tworzone lub poprawiane w następujący sposób:
1. Kiedy uruchamiany jest Edytor Zasad Grupowych, tworzone jest tymczasowe drzewo
Rejestru, składające się z dwóch gałęzi: Użytkownik (User) i Komputer (Machine).
2. Podczas przechodzenia przez gałąz
Zasady Oprogramowania (Software Policies) Edytora
Zasad Grupowych, wyświetlane są pliki ADM i gałęzie rozszerzeń przystawek (snap-in
extension nodes). Pliki ADM z gałęzi Edytor Zasad Grupowych (Group Policy Editor) są
ładowane dynamicznie,gdy wybrana jest konkretna gałąz
, a wówczas plik ADM jest
umieszczany w buforze.
3. Kiedy w prawej części okna konsoli MMC wybrana zostanie pewna zasada (policy),
tymczasowy Rejestr jest badany, aby określić, czy wybranej zasadzie (policy) przypisano
już wartości Rejestru. Jeśli tak jest, to wartości te są wyświetlane w oknie dialogowym
Zasada.
4. Jeśli wybranej zasadzie nie przypisano wartości Rejestru, korzysta się z domyślnych
wartości z pliku ADM lub ze skojarzonego rozszerzenia przystawki MMC (MMC snap-in
extension).
5. Po zmodyfikowaniu zasad podane wartości Rejestru wpisywane są do odpowiednich
części Rejestru tymczasowego.
6. Po zamknięciu Edytora Zasad Grupowych (Group Policy Editor) gałęzie Rejestru
tymczasowego są eksportowane do plików registry.pol w odpowiednich folderach
Szablon Zasad Grupowych (Group Policy Template).
7. Przy następnym uruchamianiu Edytora Zasad Grupowych (Group Policy Editor) dla tego
samego obiektu zasad grupowych (GPO), informacje Rejestru z odpowiednich plików
registry.pol są importowane do Rejestru tymczasowego.
Uwaga: Jeśli dwóch administratorów na różnych kontrolerach domeny (DC) uruchomiłoby
Edytor Zasad Grupowych (Group Policy Editor) dla tego samego obiektu zasad grupowych
(GPO), każdy z nich mógłby modyfikować zasady (policies), które mogłyby być zastępowane
przez poprawki drugiego administratora. W takim przypadku skuteczne byłyby modyfikacje
zapisane jako ostanie. Jedynym sposobem uniknięcia takiej sytuacji jest ścisłe ograniczenie
liczby administratorów domeny. Liczba użytkowników, którym nadaje się prawo zapisu (write)
dla każdego obiektu zasad grupowych (GPO), nie powinna przekraczać niezbędnego minimum.
Dodawanie szablonów administracyjnych
Chociaż ważne jest, aby wiedzieć, jak zlokalizować pliki registry.pol i co one zawierają, to w
rzeczywistości do administrowania Rejestrem używa się szablonów administracyjnych
(Administrative templates), tzn. plików ADM, znanych również jako Szablony zasad (Policy
templates). Plik ADM zawiera hierarchiczną strukturę kategorii i podkategorii, które określają, w
jaki sposób zorganizowane są opcje interfejsu użytkownika Zasady Grupowe (Group Policy). Aby
dodać szablon administracyjny (Administrative template), należy:
1. Uruchomić przystawkę Zasady Grupowe. Można skorzystać z utworzonej wcześniej
konsoli GroupAD lub po prostu dodaj przystawkę Zasady Grupowe (Group Policy) do
autonomicznej konsoli MMC.
2. Rozwinąć gałąz
Konfiguracja Użytkownika (User Configuration) lub Konfiguracja
Komputera (Computer Configuration). Plik ADM określa, w której lokalizacji zasada jest
wyświetlana, nie ma więc znaczenia, która z lokalizacji zostanie wybrana.
3. Rozwinąć gałąz
Szablony Administracyjne (Administrative Templates).
4. Kliknac prawym klawiszem myszki gałąz
Szablony Administracyjne (Administrative
Templates) i z menu wybrać opcję Dodaj/Usuń szablony (Add/Remove templates).
Pojawi się lista szablonów danej jednostki administracyjnej, które są aktualnie czynne.
5. Nacisnąć przycisk Dodaj (Add). Pojawi się lista plików ADM dostępnych w katalogu
%systemroot%\inf komputera, w którym Zasady Grupowe (Group Policy) są
uruchomione. Można wybrać pliki ADM z innego komputera, ale najpierw trzeba
upewnić się, że komputer ten pracuje pod kontrolą systemu Windows 2000. Raz wybrany
plik ADM zostanie skopiowany do obiektu zasad grupy (GPO).
Poprawianie zasad korzystających z Rejestru
(Registry-based policies) za pomocą szablonów
administracyjnych
Teraz do zmiany zasad (policies) jednostki administracyjnej Nadrzędna (Parent) zostanie użyty
szablon administracyjny (administrative template) i sprawdzimy, że będzie dziedziczyć je
jednostka administracyjna Podrzędna (Child). Aby wykonać procedurę opisaną poniżej, należy
zakończyć procedurę ustanawiania dziedziczenia (opisaną wcześniej w niniejszym rozdziale) lub
użyć jednostki organizacyjnej (OU), podrzędnej jednostki organizacyjnej i dołączonych do nich
obiektów zasad grupy (GPOs), zdefiniowanych w podobny sposób w kontrolerze domeny.
1. Otwórz stronę Zasady Grupowe Właściwości (Group Policy Properties) jednostki
organizacyjnej Nadrzędna (Parent) lub dowolnej jednostki organizacyjnej, wybranej z
danego komputera.
2. Edytuj obiekt zasad grupowych (GPO) Obowiązkowy (Mandatory) lub wybierz własny.
3. Rozwiń gałąz
Konfiguracja Użytkownika\Szablony Administracyjne (User
Configuration\Administrative Templates) i wybierz pozycję Menu, Start i Pasek zadań
(Menu, Start and Taskbar).
4. Kliknij dwukrotnie pozycję Usuń menu Uruchom z menu Start (Remove Run menu from
Start Menu). Pojawi się okno dialogowe Właściwości tej zasady (policy), jak
przedstawiono na rysunku 3.15.
5. Wybierz Włączony (Enabled).
Wskazówka: Zwróć uwagę na przyciski Następna zasada (Next policy) i Poprzednia zasada
(Previous policy). Można je użyć do poruszania przez listę zasad bez zamykania i powtórnego
otwierania okna dialogowego Właściwości (Properties).
6. W oknie dialogowym naciśnij przycisk OK. Zwróć uwagę na zmianę stanu w kolumnie
ustawień. Zmiana jest natychmiastowa. Jeśli jesteś w środowisku zreplikowanego
kontrolera domeny, działanie to uaktywnia replikację.
7. Zaloguj się do jednostki organizacyjnej Podrzędna (Child), korzystając z utworzonego
wcześniej konta użytkownika. Zwróć uwagę, że na skutek dziedziczenia z jednostki
administracyjnej Nadrzędna (Parent), usunięte zostało menu Uruchom (Run).
Rysunek 3.15. Okno dialogowe do poprawiania szablonu administracyjnego
Obsługa klientów Windows NT i 9x
Edytor Zasad Grupowych (Group Policy Editor) systemu Windows 2000 nie umożliwia obsługi
klientów Windows NT 4 ani komputerów pracujących pod kontrolą systemów Windows 95 i
Windows 98. Obsługa klientów Windows NT 4 jest zapewniona przez obsługiwanie szablonów
administracyjnych (administrative templates), takich jak w systemie Windows NT i stosowanie
plików Edytora Zasad Systemowych (System Policy Editor) systemu Windows NT 4, poledit.exe.
Podczas instalowania systemu Windows 2000 Server można zainstalować dodatkowe składniki,
tzw. Dodatkowe narzędzia administracyjne systemu Windows 2000 (Windows 2000 optional
administrative tools). Pakiet ten zawiera wszystkie informacje konieczne do zainstalowania
dodatkowych programów do administrowania i jest częścią systemu Windows 2000 Server.
Klienci pracujący pod kontrolą systemów Windows 95 lub Windows 98 muszą korzystać z
Edytora Zasad Systemowych (System Policy Editor) systemu Windows NT 4, poledit.exe.
Zarówno w przypadku stacji roboczych Windows NT, jak i komputerów pracujących pod kontrolą
systemu Windows 95 oraz Windows 98, utworzone w ten sposób pliki z rozszerzeniem pol muszą
zostać skopiowane do udziału Netlogon domeny (...\system32\repl\import\scripts).
Przygotowywanie skryptów
Skrypty są to pliki wsadowe (BAT), pliki poleceń (CMD) lub pliki wykonywalne (EXE)
uruchamiane, gdy komputer jest włączany i zamykany, albo gdy użytkownik loguje się lub
wylogowuje na dowolnej stacji roboczej w sieci.
W systemie Windows 2000 obsługiwane są: Windows Scripting Host (WSH), Visual Basic
Scripting Edition (VBScript) i JavaScript (JScript), nadal także obsługiwane są skrypty poleceń i
pliki wykonywalne systemu MS-DOS. Skrypty mogą być używane do ustanawiania kryteriów
bezpieczeństwa dla wszystkich rodzajów klientów podłączonych do systemu Windows 2000
Server. Można także za ich pomocą ustawiać zmienne środowiskowe (environment variables) i
połączeń stałych do udziałów sieciowych (network shares). Kolejna procedura służy do dodawania
skryptu logowania metaback.js i uruchomienia go przy logowaniu. Skrypt ten wykonuje kopię
zapasową metabazy (metabase) i jest częścią zestawu Software Development Kit (SDK). Inne
skrypty można pobrać, korzystając z witryny Microsoftu www.microsoft.com i znajdujących się
tam łączy (links):
1. Otwórz stronę Zasady Grupowe Właściwości (Group Policy Properties) domeny głównej
(root domain).
2. Edytuj obiekt zasad grupowych o nazwie Domyślne Zasady Domeny (Default Domain
Policy).
3. Rozwiń gałąz
Konfiguracja Użytkownika\Ustawienia Systemu Windows (User
Configuration\Windows Settings) i wybierz pozycje Skrypty (Scripts) (Log on/Log off).
4. W prawej części okna kliknij dwukrotnie pozycje Logowanie (Logon).
5. Na stronie Logowanie Właściwości (Logon Properties)  rysunek 3.16 przedstawiona
jest lista skryptów uruchamianych przy logowaniu się użytkowników, których dotyczą.
Jest to lista uporządkowana; skrypt znajdujący się na pierwszym miejscu jest również
uruchamiany jako pierwszy. Kolejność skryptów można zmienić za pomocą przycisków
Góra (Up) i Dół (Down). Strona prawdopodobnie okaże się pusta, o ile wcześniej nie
dodano żadnych skryptów.
6. Uruchom program Eksplorator Windows (Windows Explorer) i znajdz
plik
..\inetpub\iissamples\sdk\admin\metaback.js. Skopiuj plik, a potem zamknij Eksploratora.
Rysunek 3.16. Strona Logowanie Właściwości (Logon Properties)
7. Na stronie Logowanie Właściwości naciśnij przycisk Pokaż Pliki (Show Files) i wklej
skrypt metaback.js do okna Logowanie (Logon). Zamknij okno Logowanie (Logon).
8. Naciśnij przycisk Dodaj, znajdujący się na stronie Logowanie Właściwości.
9. Naciśnij przycisk Przeglądaj (Browse). Kliknij dwukrotnie plik metaback.js.
10. Nie trzeba podawać żadnych parametrów skryptu, więc naciśnij OK. Kolejny raz naciśnij
przycisk OK, aby zamknąć stronę Logowanie Właściwości (Logon Properties).
11. Wyloguj się i zaloguj ponownie jako administrator. Skrypt powinien zostać uruchomiony
w trakcie logowania.
Wskazówka: Jeśli zalogujesz się jako zwykły użytkownik, skrypt nie zostanie uruchomiony, ale
zamiast tego pojawi się w oknie ze wskazaniem, gdzie wystąpił błąd. Jest to prawidłowe
działanie. Zwykły użytkownik nie ma wystarczających uprawnień do wykonywania kopii
zapasowej metabazy (metabase). Także, jak zaznaczono poprzednio, zwykły użytkownik nie
powinien logować się na kontrolerze domeny. Jeśli jest stacja robocza-klient, zaloguj się jako
zwykły użytkownik na tej stacji roboczej. W tym przypadku nie będzie w ogóle dostępu do
skryptu metaback.js, ponieważ jest on uruchamiany tylko w sytuacji logowania się na
kontrolerze domeny.
Przygotowywanie skryptów wylogowywania (log off
script) lub skryptów do uruchamiania-zamykania
komputera (startup-shutdown scripts)
Przedstawioną właśnie procedurę można także zastosować do przygotowywania skryptów
uruchamianych podczas wylogowywania się użytkownika lub w trakcie uruchamiania czy też
zamykania komputera.
Domyślnie skrypty zasad grupowych (Group Policy), uruchamiane w oknie poleceń (pliki z
rozszerzeniem bat lub cmd), działają jako ukryte (hidden). Starsze skrypty, zdefiniowane w
obiekcie użytkownika, domyślnie są widoczne podczas przetwarzania, chociaż za pomocą zasad
grupowych można je ukryć.
Ustawianie odpowiednich uprawnień dla
poszczególnych członków grup
zabezpieczeń (security group filtering)
Korzystając z grup zabezpieczeń systemu Windows 2000 oraz za pomocą Edytora Listy Kontroli
Dostępu (ACL Editor), który służy do filtrowania wpływu obiektu zasad grupowych (GPO) na
członków grup, można dokładnie ustalić, na które komputery i których użytkowników oddziałuje
konkretny obiekt zasad grupowych. Zgodnie z opisem zamieszczonym w rozdziale 2. Edytor Listy
Kontroli Dostępu (ACL Editor) można uruchomić wybierając stronę Właściwości (Properties)
obiektu zasad grupowych i zakładkę Bezpieczeństwo (Security). Edytor listy kontroli dostępu
(ACL Editor) może być również użyty do określenia, którzy użytkownicy mogą modyfikować
obiekt zasad grupy.
Administratorzy mogą określić, które grupy użytkowników i komputerów mają uprawnienia
Stosowanie Zasad Grupy (Apply Group Policy  AGP) i Wpis Kontroli Dostępu (Access Control
Entry  ACE) do danego obiektu zasad grupowych (GPO). Grupy, które mają uprawnienia do
Stosowanie Zasad Grupy (Apply Group Polic) i odczytu (read access) danego obiektu zasad grupy,
otrzymują zasady grupowe (Group Policies) w nim zawarte. Domyślnie członkowie grupy
zatwierdzeni użytkownicy (authenticated users) mają uprawnienia Stosowanie Zasad Grupy
(Apply Group Policy) i do odczytu listy kontroli dostępu (read ACL). Oznacza to, że użytkownicy
z tej grupy nie mogą modyfikować informacji zawartych w obiekcie zasad grupowych (GPO).
Jeśli w tym obiekcie zostaną umieszczone istotne dane, których nie powinni odczytać
użytkownicy, na których dany obiekt zasad grupy ma wpływ, to można zmienić domyślne
uprawnienia dotyczące listy kontroli dostępu (ACL) i nadać uprawnienia do odczytu tylko tym
użytkownikom, którym jest to niezbędne. Domyślnie administratorzy domeny mają uprawnienia
pełnej kontroli (full control), ale nie maja uprawniania Stosowanie Zasad Grupy (Apply Group
Policy) dotyczącego list kontroli dostępu. Oznacza to, że domyślnie zasady danego obiektu zasad
grupowych (GPO) nie mają zastosowania w odniesieniu do administratorów domeny, ale mogą
oni modyfikować obiekty zasad grupowych (GPOs).
Administratorzy sieci (członkowie grupy domain administrators) mogą również użyć Edytora
Listy Kontroli Dostępu (ACL Editor) do określenia grup administracyjnych, których członkowie
mogą modyfikować zasady (policies) w obiektach zasad grupowych (GPOs). Administrator sieci
może zdefiniować grupy administratorów, np. administratorów publikowania (publishing
administrators), z prawami określonymi w jednostce administracyjnej Wydawcy (Publishers) i
nadać im prawo odczytu  zapisu (read  write access) do wybranych obiektów zasad grupy
(GPO). Pozwala to administratorowi sieci na przekazanie kontroli nad zasadami tych obiektów
zasad grupy (GPOs). Nadanie prawa odczytu  zapisu, dotyczącego obiektu zasad grupy, pozwala
administratorom na kontrolowanie wszystkich jego elementów.
Edytor Listy Kontroli Dostępu (ACL Editor) można uruchomić także za pomocą menedżera
przystawki Lokacje i Usługi Active Directory (Active Directory Sites and Services) konsoli MMC,
klikając prawym klawiszem myszki obiekt lokacji (site object) i włączając opcję Właściwości
(Properties), a następnie wybierając zakładkę Bezpieczeństwo (Security).
Przed rozpoczęciem kolejnej procedury należy utworzyć w jednostce administracyjnej Nadrzędna
(Parent) Globalną Grupę Zabezpieczeń (Global Security Group) pod nazwą Zarządzanie
(Management). Można oczywiście użyć dowolnej grupy z dowolnej jednostki organizacyjnej i
odpowiednio dostosować poniższą procedurę:
1. Otwórz stronę Zasady Grupowe Właściwości (Group Policy Properties) jednostki
organizacyjnej o nazwie Nadrzędna (Parent) lub innej jednostki organizacyjnej, wybranej
na danym komputerze.
2. Kliknij prawym klawiszem myszki obiekt zasad grupowych (GPO) o nazwie
Obowiązkowy (Mandatory) lub inny wybrany przez siebie obiekt zasad grupowych
(GPO). Kliknij opcję Właściwości, a następnie wybierz zakładkę Bezpieczeństwo.
Uwaga: Chociaż nie jest to częścią niniejszej procedury, w tym miejscu można zbadać opcje
Zaawansowane, naciskając przycisk Zaawansowane (Advanced). Należy zwrócić uwagę, że
można za ich pomocą zastosować uprawnienia dotyczące obiektu zasad grupy (GPO),
skonfigurowane dla dowolnej grupy, dla obiektów podrzędnych i wielu innych obiektów
wybranych z listy rozwijalnej Zastosuj do (Apply onto), która pojawi się po naciśnięciu przycisku
Widok/Edycja (View/Edit). Powinno się również zwrócić uwagę, że można skonfigurować
inspekcję (auditing) dla dowolnej grupy  lun" użytkownika oraz inspekcję korzystania z
uprawnień dla danego obiektu zasad grupy (GPO).
3. Naciśnij przycisk Dodaj (Add).
4. Wybierz z listy grupę Zarządzanie (Management) lub inną grupę, którą używasz.
5. Naciśnij Dodaj (Add), a następnie naciśnij OK.
6. Zaznacz grupę Zarządzanie (Management) lub tą, którą używasz i zobacz uprawnienia.
Domyślnie tylko uprawnienie odczytu (read) ACE jest ustanowione jako Zezwalaj
(allow). Oznacza to, że do członków grupy Zarządzanie (Management) nie stosuje się
tego obiektu zasad grupy (GPO), chyba że są członkami innej grupy, która ma nadane
uprawnienie Stosowanie Zasad Grupy (Apply Group Policy). Jednak grupa Zarządzanie
(Management) domyślnie jest członkiem grupy Zatwierdzeni Użytkownicy (Authenicated
Users), która ma nadane uprawnienie Stosowanie zasad grupy. Teraz do wszystkich
członków grupy Zatwierdzeni Użytkownicy (Authenicated Users) stosuje się dany obiekt
zasad grupowych (GPO), bez względu na to, że dodano do listy grupę Zarządzanie.
7. Oprócz uprawnienia Stosowanie Zasad Grupy (Apply Group Policy) dla grupy
Zarządzanie (Management) zaznacz pole wyboru Zezwalaj (Allow) i wyczyść to pole
wyboru dla grupy Zatwierdzeni Użytkownicy (Authenicated Users). Dany obiekt zasad
grupy (GPO) jest skonfigurowany tak, by dotyczył tylko członków grupy Zarządzanie
(Management). Na rysunku 3.17 przedstawiono zrzuty ekranów dla tych operacji.
Zamknij konsolę naciskając dwukrotnie OK.
OTRZEŻENIE! Przy korzystaniu z opcji Odmów (Deny) należy zachować szczególną
ostrożność. Dla każdej grupy wybór tej opcji ma pierwszeństwo, nawet jeśli użytkownik lub
komputer, dzięki członkostwu w innej grupie, ma ustawione Zezwalaj (Allow).
Wskazówka: Te same opcje można zastosować w przypadku skryptów logowania
przygotowanych zgodnie z poprzednią procedurą. Można skrypt skonfigurować w ten sposób,
by był uruchamiany tylko dla członków konkretnej grupy lub dla wszystkich, za wyjątkiem
członków określonej grupy.
Filtrowanie grup zabezpieczeń (security group filtering) ma dwie funkcje. Pierwszą jest zmiana
grupy, na którą oddziałuje dany obiekt zasad grupy (GPO). Druga  to przekazanie
modyfikowania zawartości obiektu zasad grupowych poprzez nadanie uprawnienia Pełnej Kontroli
(Full Control) ograniczonej grupie administratorów. Działanie to jest zalecane, ponieważ
zmniejsza szansę na równoczesne dokonywanie zmian przez kilku administratorów.
Należy zwrócić uwagę, że najwyższy stopień bezpieczeństwa ustawień zasad (policy settings
security) osiągnięto za pomocą filtrowania grup zabezpieczeń (security group filtering).
Domyślnie ustawienia listy kontroli dostępu (ACL) zasad grupowych (Group Policy) aktualizują
daną zasadę (policy) tylko wtedy, gdy ustawienia są nowe lub zmienione. Filtrowanie grup
zabezpieczeń (security group filtering) gwarantuje, że wybrane ustawienia stosowane są przy
każdym logowaniu do Active Directory. Jednak wybór tej opcji anuluje optymalizację wydajności
osiągniętą przez pomijanie stosowania ustawień zasad (policy settings), gdy nie zostały zmienione.
Rysunek 3.17. Ustawienia dla grup Administrowanie (Management) i Zatwierdzeni Użytkownicy
(Authenticated Users)
Dopasowanie zasad (policies) do danego
komputera za pomocą przetwarzania
sprzężenia zwrotnego (loopback processing)
Czasami zachodzi potrzeba zastosowania dla użytkowników zasad grupowych (Group Policy) na
podstawie lokalizacji obiektu komputera w strukturze Active Directory, zamiast na podstawie
lokalizacji obiektu użytkownika. Innymi słowy, wszyscy użytkownicy logujący się na określonym
komputerze podlegają takim samym ograniczeniom zasad (policies). Funkcja zasad grupowych
(Group Policy) Sprzężenie zwrotne (Loopback) daje administratorowi możliwość stosowania zasad
grupowych dostosowanych do komputera (computer-based Group Policy).
Funkcję tę najlepiej zilustruje przykład. W domenie przedstawionej na rysunku 3.18 do członków
grupy Obroty (Sales) z jednostki administracyjnej Nadrzędna (Parent), podczas logowania się do
ich stacji roboczych stosuje się obiekty zasad grupowych Obowiązkowy (Mandatory) i Domyślny
(Default). Jednak, jeśli członek grupy Obroty (Sales) loguje się na komputerze, który jest
członkiem jednostki administracyjnej Komputery o ograniczonym dostępie (Restricted
Computers), to wtedy stosowane są zasady (policies) z obiektu zasad grupy (GPO) Sprzężenie
zwrotne (Loopback). Ten obiekt zasad grupy nie musi nazywać się Loopback  nazwa ta została
wybrana dla przejrzystości.
Poniżej opisano dwa sposoby zastosowania zasad grupowych Sprzężenie zwrotne (Loopback):
" Tryb scalania (Merge mode)  w trakcie logowania lista obiektów zasad grupowych
(GPOs) danego użytkownika jest tworzona w sposób zwykły, a następnie lista obiektów
zasad grupowych (GPOs) komputera jest dodawana na końcu listy obiektów zasad
grupowych (GPOs) użytkownika. Powoduje to, że obiekty zasad grupowych tego
komputera mają wyższy priorytet niż obiekty zasad grupowych danego użytkownika. W
przykładzie przedstawionym na rysunku 3.18 do członka grupy Zarządzanie
(Management) logującego się na komputerze z jednostki organizacyjnej Komputery o
ograniczonym dostępie (Restricted Computers)stosowałyby się zasady obiektu zasad
grupowych (GPO) Domyślne (Default), po czym następowałyby zasady (policies) obiektu
Obowiązkowy (Mandatory), a następnie zasady (policies) obiektu Sprzężenie zwrotne.
Należy zwrócić uwagę, że kolejność, w jakiej stosowane są zasady (policies) jest
odwrotna do ich priorytetu.
" Tryb zamiany (Replace Mode)  w trybie tym lista obiektu zasad grupowych (GPO)
użytkownika jest pomijana. W przedstawionym przykładzie stosowane będą tylko zasady
zawarte w obiekcie zasad grupy Sprzężenie zwrotne (Loopback).
Rysunek 3.18. Zasady określonego komputera kontrolowane za pomocą funkcji sprzężenia
zwrotnego (Loopback)
Następna procedura wymaga, by  oprócz kontrolera domeny  w sieci znajdowała się stacja
robocza. Na potrzeby tej procedury utworzono jednostkę administracyjną pod nazwą Komputery o
ograniczonym dostępie (Restricted Computers), do której dodano komputer WORKSTATION10.
W jednostce administracyjnej (OU) Nadrzędna (Parent) utworzono grupę Obroty (Sales), która ma
nadane prawo Logowanie lokalne (Log on Locally) na kontrolerze domeny. Do grupy Obroty
dodano konto użytkownika. Jeśli używasz innych nazw komputera, jednostki organizacyjnej (OU)
i grupy, a prawdopodobnie tak jest, należy nimi odpowiednio zastąpić nazwy podane w poniższej
procedurze.
1. Otworzyć stronę Zasady Grupowe Właściwości (Group Policy Properties) jednostki
organizacyjnej Komputery o ograniczonym dostępie (Restricted Computers).
2. Utworzyć obiekt zasad grupy (GPO) pod nazwą Sprzężenie zwrotne (Loopback).
Zaznaczyć ten obiekt zasad grupy i nacisnąć przycisk Edytuj (Edit).
3. Rozwinąć gałąz
Konfiguracja Komputera\Szablony Administracyjne\System (Computer
Configuration\Administrative Templates\System), a następnie kliknąć Zasady Grupowe.
4. W prawej części okna kliknąć dwukrotnie pozycję Tryb przetwarzania sprzężenia
zwrotnego zasad grupy użytkownika (User Group Policy loopback processing mode).
5. Załączyć zasady (policies) i upewnić się, że w rozwijalnej liście dialogowej Tryb (Mode)
wybrano pozycję Zamień (Replace). Ekran powinien wyglądać podobnie do tego z
rysunku 3.19.
6. Nacisnąć OK i sprawdzić, czy zasada (policy) została załączona.
7. Rozwinąć gałąz
Konfiguracja Użytkownika\Szablony Administracyjne (User
Configuration\Administrative Templates) i wybrać Menu, Start i Pasek zadań (Menu,
Start and Taskbar).
8. Kliknąć dwukrotnie pozycję Usuń folder użytkownika z menu Start (Remove user s folder
from Start Menu) i załączyć zasadę, wybierając opcję Włączona (Enabled) i naciskając
przycisk Zastosuj (Apply).
9. Aby przejść do następnej zasady (policy)  Wyłącz i usuń łącza do witryny Windows
Update (Disable and remove links to Windows update)  naciśnąć przycisk Następna
zasada (Next policy).
10. Użyć przycisku Następna zasada (Next policy), aby przechodzić do kolejnych zasad na
stronie, uaktywniając te, które przedstawiono na rysunku 3.20. W celu upewnienia się,
jakie jest działanie danej zasady, należy wybrać zakładkę Wyjaśnij (Explain). Po
przejściu przez wszystkie zasady nacisnąć OK.
Rysunek 3.19. Załączenie zasady sprzężenia zwrotnego (Loopback)
Rysunek 3.20. Zasady (policies) użytkownika Menu, Start i Pasek zadań (Menu, Start and
Taskbar) obiektu zasad grupy pod nazwą Sprzężenie zwrotne (Loopback)
Uwaga: Zakładka Wyjaśnij (Explain) pojawi się po dwukrotnym kliknięciu zasady i będzie
widoczna podczas przechodzenia do kolejnych zasad za pomocą przycisku Następna zasada
(Next policy). Na rysunku 3.20 nie przedstawiono zakładki Wyjaśnij (Explain) ani przycisku
Następna zasada (Next policy). Rysunek ten zamieszczono po to, aby pokazać, jakie zasady
użytkownika (user policies) należy ustawić.
11. Wybrać pozycję Pulpit (Desktop) i uaktywnić zasady (policies) na tej stronie, jak
przedstawiono to na rysunku 3.21. Kliknąć OK.
12. Rozwinąć gałąz
Panel Sterowania (Control Panel). Wybrać pozycję Dodaj/Usuń
programy (Add/Remove programs) i załączyć zasadę Ukryj stronę Dodaj/Usuń składniki
systemu Windows (Hide Add/Remove Windows Components Page). Nacisnąć OK.
13. Wybrać pozycję Ekran (Display) i załączyć zasadę Nie zezwalaj użytkownikowi na
uruchamianie panelu sterowania ekranu (Prohibit user from running display control
panel). Nacisnąć OK.
14. Zamknąć przystawkę (snap-in) Zasady Grupowe (Group Policy) oraz konsolę.
Teraz żadnego z użytkowników zalogowanych na komputerach w jednostce organizacyjnej (OU)
Komputerów o ograniczonym dostępie (restricted computers) nie dotyczą zasady, które normalnie
byłyby wobec nich stosowane, ale dotyczą ich zasady użytkownika (user policies), ustanowione w
obiekcie zasad grupy pod nazwą Sprzężenie zwrotne. Aby to przetestować, zaloguj się na stacji
roboczej WORKSTATION10 jako użytkownik z grupy Obroty (Sales), a następnie zaloguj się na
kontrolerze domeny jako ten sam użytkownik. Jednak nie jest to porównywanie podobieństw,
ponieważ kontrolerzy domen mają swój własny zestaw Zasad Komputera (Computer Policies).
Lepiej jest zalogować się jako dany użytkownik na innej stacji roboczej, która nie znajduje się w
jednostce organizacyjnej Komputery o ograniczonym dostępie lub usunąć stację roboczą
WORKSTATION10 z tej jednostki organizacyjnej, przenieść ją do innej, której nie dotyczą
ograniczenia sprzężenia zwrotnego (loopback restrictions) i zalogować się znów jako ten sam
użytkownik.
Rysunek 3.21. Zasady Użytkownika (User Policies) dotyczące Pulpitu (Desktop) obiektu zasad
grupy Sprzężenie zwrotne (Loopback)
Konfigurowanie zasad inspekcji (audit
policies)
Administratorzy regularnie przeprowadzają inspekcję zdarzeń, sprawdzając bezpieczeństwo sieci.
W szczególności dokonuje się inspekcji następujących zdarzeń:
" nieudane próby zalogowania, aby określić, czy ktoś korzystał z kont, z których nie ma
prawa korzystać,
" udane i nieudane próby dostępu do najważniejszych plików i folderów,
" wykorzystanie uprawnień i zmiany zasad (policies), jeśli delegowano administrowanie.
Można też archiwizować dziennik zabezpieczeń (security log), by śledzić trendy.
Wszystko to jest znane administratorom systemu Windows NT 4. Wymagania dotyczące inspekcji
nie uległy znaczącym zmianom wraz z pojawieniem się systemu Windows 2000. Ukazało się
więcej zdarzeń podlegających inspekcji, ale podstawowe zasady są identyczne, choć inny jest
interfejs ustanawiania zasad inspekcji (audit policy), które  jak prawie wszystko w systemie
Windows 2000  ustawia się za pomocą przystawki (snap-in) konsoli MMC.
Aby skonfigurować zasady inspekcji (audit policy) na kontrolerze domeny, należy:
1. Przejśćdo strony Właściwości Zasad Grupowych (Group Policy Properties) jednostki
organizacyjnej (OU) Kontrolerzy Domeny (Domain Controllers).
2. Edytować obiekt zasad grupy (GPO) Domyślne zasady kontrolerów domeny (Default
Domain Controllers Policy).
3. Rozwinąć gałęzie Konfiguracja Komputera (Computer Configuration), Ustawienia
Systemu Windows (Windows Settings), Ustawienia Zabezpieczeń (Security Settings),
Zasady Lokalne (Local Policies), a następnie wybrać pozycję Zasady Inspekcji (Audit
Policy).
4. Kliknąć dwukrotnie dowolną zasadę, aby ją uaktywnić tak, jak przedstawiono na rysunku
3.22.
5. Nacisnąć OK i wyjść ze strony zasad grupowych (Group Policy). Nacisnąć OK i zamknąć
konsolę.
Tak, jak w przypadku systemu Windows NT 4, inspekcja dostępu do obiektów jest ustanawiana
dla określonych plików i folderów za pomocą Eksploratora Windows (Windows Explorer), przy
założeniu, że systemem plików jest NTFS. Prawo do zarządzania inspekcją (auditing) i
dziennikiem zabezpieczeń (security log) jest nadane poprzez zasadę Przypisywanie Praw
Użytkownika (User Rights Assignment), która jest częścią tego samego rozszerzenia konsoli MMC
(MMC expansion), co Zasady inspekcji (Audit Policy); domyślnie tylko administratorzy mają to
prawo. Gdzie indziej można znalez
ć bardziej tajemnicze opcje zasad inspekcji (auditing policy
options), np.w Opcjach Zabezpieczeń (Security Options), w tym samym rozszerzeniu konsoli
MMC (MMC expansion) może być ustawiona opcja Monitoruj dostęp do globalnych obiektów
systemu (Audit the access of global system objects).
Należy zawsze pamiętać, że stosunkowo łatwo jest zaplanować i skonfigurować zasady inspekcji
(audit policy). Znalezienie czasu na sprawdzenie dziennika zabezpieczeń (security log) jest
trudniejsze.
Rysunek 3.22. Ustanawianie zasad inspekcji (Audit Policy)