Leksion 10 Hyrje Ne Group Policy

8/13/2019 Leksion 10 Hyrje Ne Group Policy

1/24

Sistemet Active Directory Data 28 Maj, 2009

HYRJE NE GROUP POLICY

Group Policy jane koleksion konfigurimesh te perdoruesve dhe te kompjuterave qe specifikojnemenyren se si programet, burimet e rrjetit, dhe sistemet e operimit punojne per perdoruesit dhe

kompjuterat ne nje organizate. Group policy mund te konfigurohen per kompjuterat, domainet, sitet,

dhe njesite organizative OU. Per shembull, duke perdorur group policy ne mund te percaktojme

programet qe do tu ofrohen perdoruesve, programet qe shfaqen ne desktopin e perdoruesve,

opsionet e menuse tart.

Group policy nuk i aplikohen grupeve, pavarsisht nga fakti se anetaresimi i grupeve mund te

ndikoje tek Group Policy. Per shembull, nese nje llogari perdoruesi apo kompjuteri i perket nje

grupi te cilit i mohohet aplikimi i group policy mbi kete grup. !e kete rast llogaria nuk do te kete

ndikim nga group policy. "y concept njihet si filtrim i GPO nepermjet grupeve te sigurise.

Per te krijuar konfigurime specifike per perdoruesit, ne krijojme GPO#Group policy objects, qe janekoleksione te konfigurimeve te Group Policy. $do kompjuter qe operon me %indo&s erver '(()

ka nje GPO lokale dhe mund te jete subject i GPO#ve jo lokale gjithashtu.

GPO-te lokale

!je GPO lokale ruhet ne cdo kompjuter pavaresisht nese kompjuteri eshte pjese e nje mjedisi me

*ctive +irectory. !je GPO lokale ndikon vetem tek kompjuteri tek cili ndodhet. GPO#te lokale

mund te mbishkruhen nga GPO jo lokale. GPO#te lokale ndodhen ne direktorine ystem)'Group

Policy.

GPO-te jo lokale

GPO#te jolokale krijohen ne *ctive +irectory dhe duhet ti linkohen nje site, domain ose nje OU#je

ne menyre qe te aplikohen tek kompjuterat apo tek perdoruesit. Per te perdorur GPO jo lokale, ne

duhet te kemi nje sistem operimi %indo&s '((( ose '(() domain controller te instaluar.

Pasi instalojme *ctive +irectory krijohen dy GPO jo lokale-

+efault +omain Policy "jo GPO i linkohet domainit dhe ndikon tek te gjithe

perdoruesit dhe kompjuterat ne domain nepermjet trashegimise se group pilicy.

+efault +omain $ontrollers Policy "jo GPO i linkohet OU#ve te domain

controllerit.

GPO#te jo lokale ruhen ne direktorine ysvol+omain !amePoliciesGPO GU+*+/, ku GPO

GU+ eshte GPO unique identifier. !e mund te percaktojme se kush grup mund te administroje

0krijoje, modifikoje apo fshije1 GPO duke percaktuar te drejtat per cdo GPO ne tabin ecurity te

dritares se Properties te cdo GPO#je.

GPO#te mund ti aplikohen vetem klienteve me %indo&s 2P Professional, %indo&s '(((,

%indo&s erver '((), dhe nuk suportohen per %indo&s 34, &indo&s 35, %indo&s /illennium

6dition 0%indo&s /61, ose %indo&s !7.

!je GPO qe i linkohet ose bashkelidhet nje site, ndikon tek te gjithe kompjuterat e ketij site pasiinformacioni replikohet tek te gjithe domain controllerat qe ndodhen ne site pavaresisht nga

domaini qe permban kompjuterat.

8aqe 9 nga ':


2/24


GPO#te ekzistojne si njesi te ruajtura ne nje domain te vetem dhe duhet te le;ohen nga domaini kur

klientet qe ndikohen nga kjo GPO le;on ne GPO qe eshte linkuar.

Group Policy Object Editor

Per te mena;huar Group policy ne perdorim Group Policy Object 6ditor. !je pamje e Group Policy

Object 6ditor mund te shikojme ne figuren e meposhtme-

8igura 9. Group Policy Object 6ditor

Konfigurimet e Group Policy

"onfigurimet e Group Policy permbahen ne GPO dhe percaktojne konfigurimet e perdoruesit. "a

dy tipe te konfigurimeve ne Group Policy- konfigurimi i kompjuterit, dhe konfigurimi i perdoruesit.

Opsionet Computer Configuration dhe User Configuration

Opsioni $omputer $onfiguration permban konfigurimet qe GPO ia aplikon kompjuterave

pavaresisht se kush logohet ne to. "onfigurimet ne kete rast aplikohen kur sistemi i operimit

inicializohet.

8aqe ' nga ':


3/24


Opsioni User $onfiguration permban konfigurimet qe GPO ia aplikon perdoruesit, pavaresisht se ne

cilin kompjuter ky perdorues logohet. "onfigurimet ne kete rast aplikohen kur perdoruesi logohet

ne kompjuter.

Administratie !emplates

*dministrative 7emplates permban konfigurime te Group policy te bazuar ne regjistra. "a me

shume se 44( opsione qe jane te disponueshme per tu konfiguruar per perdoruesit. !e dirtaren e

propertive te secilit prej opsioneve qe ndodhen tek *dministrative 7emplate ka nje tab 6;plain qe

jep nje pershkrim per veprimet qe opsioni kryen nese aktivizohet.

$do opsion qe ndodhet tek administrative template mund te konfigurohet ne tre menyra-

!ot $onfiguret


4/24


5/24


GPO#je te aplikuar ne menyre qe te heqi mundesine qe problemi te jete ndonje konfigurim i

perdoruesit.

!e figuren '. tregohen keto tipe konfigurimesh te GPO.

8igura '. 7ipet e konfigurimeve te GPO

#i$enjimi i GPO ne menyre te decentrali$uar

!e nje sistem te decentralizuar qellimi eshte qe te perfshihen konfigurime specifike ne sa me pak

GPO. "ur kerkohet nje ndryshim, vetem nje GPO duhet te ndryshoje ne menyre qe te realizohet

ndryshimi i kerkuar. *dministrimi thjeshtohet por kjo gje ndodh ne disfavor te kohes se logimit qe

zgjatet si rezultat i procesimit te shume GPO#ve.

Per te realizuar nje sistem te decentralizuar, ne mund te krijojme nje GPO baze qe i aplikohet te

gjithe domainit qe permabn konfigurime per te gjithe perdoruesit dhe kompjuterat ne domain. Pershembull, GPO baze mund te permbaje konfigurime sigurie sic jane kufizimet per llogarite dhe

pass&ordet dhe GPO te tjera shtese mund te krijohen per te plotesuar kerkesa per secilen nga OU#te

qe mund te jene specifike per secilen OU.

"y model eshte i mire ne mjedise ku grupe te ndryshme ne organizate kane te njejtat probleme te

sigurise dhe kur ndryshimet e Group Policy jane te shpeshta.

#i$enjimi i GPO ne menyre te centrali$uar

!e nje sistem te centralizuar qellimi eshte qe te perdoren sa me pak GPO 0ne menyre ideale vetem

nje1. 7e gjitha konfigurimet e sigurise qe kerkohen per nje site, domain ose OU duhet teimplementohen ne nje GPO te vetme. !ese ite, domaini ose OU#ja kane grupe perdoruesish dhe

kompjuterash me kerkesa te ndryshme persa i perket politikave te sigurise, zakonisht konsiderohet

8aqe 4 nga ':


6/24


ndarja e OU#se ne dy pjese dhe aplikimi i GPO tek secila nen OU dhe jo tek OU#ja kryesore. !je

ndryshim tek nje dizajn i dille i GPO#ve kerkon me shume administrim se sa nje dizajn i

decentralizuar sepse konfigurimet duhet te ndryshohen ne shume GPO, por favori eshte qe koha e

logimit eshte me e shkurter."y model eshte nje praktike e mire per ato mjedise ku perdoruesit dhe kompjuterat mund te

vendosen ne nje numer i vogel OU#ve per vendosjen e politikave.

8igura ). +izenjimi i centralizuar dhe decentralizuar i GPO#ve

Planifikimi i kontrollit administrati te GPO-e

"ur ne planifikojme te konfigurojme Group Policy dhe objektet GPO qe do te perdoren ne

organizaten qe ne administrojme, ne duhet te planifikojme se kush do te beje mena;himin e tyre.

"ontrollet administrative mund te delegohen ne te tre rastet e dizenjimit te kontrollit administrativ

qe jane rasti i centralizuar, i decentralizuar, dhe i bazuar ne pune 0task#based1.

#i$enjimi i kontrollit administrati te centrali$uar

!e nje dizajn te centralizuar, administrimi i Group Policy delegohet vetem ne nivelet me te larta te

administratoreve te OU#ve. !e shembullin qe tregohet ne figuren e meposhtme, administratoret e

OU#ve te nivelit me te larte kane aftesite ne mena;hojne te gjitha GPO#te ne domain. !derkohe qe

administratoret e nivelit te dyte nuk kane aftesi te mena;honje GPO#te. !ese duam qe

administratoreve te nivelit te dyte tu japim te drejta atehere mjafton tua delegojme keto te drejta dhe

me pas administratoret e nivelit te dyte do ti kene keto te drejta per te menazhuar GPO.

8aqe = nga ':


7/24


8igura :. !je dizajn i centralizuar i kontrollit administrativ

#i$enjimi i kontrollit administrati te decentrali$uar

!e dizenjimet e tipit te centralizuar, administrimi i Group Policy delegohet nga niveli me i larte tek

niveli me i ulet i administratoreve te OU#ve. !e shembullin e treguar ne figuren e meposhtme,

administratoret e nivelit me te larte kane te drejte te administrojne GPO#te qe ndodhen ne nivelinme te larte. *dministratoret e nivelit te dyre te OU#ve kane mundesi te administrojne GPO#te ne

nivelin e dyte. "jo gje arrihet duke i dhene akses te plote administratoreve te OU#ve te nivelit me te

larte tek GPO#te e nivelit me te larte dhe duke i dhene akses te plote administratoreve te OU#ve ne

nivelin e dyte tek GPO#te e nivelit te dyte. "y dizajn eshte i pershtatshem per ato organizata ke

duhet te delegojne administrimin e GPO#ve.

8aqe @ nga ':


8/24


8igura 4. !je dizajn i decentralizuar i kontrollit administrativ

#i$enjimi i kontrollit administrati i ba$uar ne pune %e duhet te kryhen

!e kete rast administrimi i group policy u delegohet administratoreve qe jane pergjegjes per pune

specifike sic eshte per shembull siguria e aplikacioneve. !e kete rast, GPO#te dizenjohet ne menyre

te tille qe te permbajne vetem nje bashkesi konfigurimesh te group policy. !e shembullin e treguarne figuren e meposhtme, administratoret kane aftesi te mena;hojne GPO#te pergjegjese per

aplikacionet tek te gjitha OU#te. "jo gje realizohet duke i dhene te drejta te plota administratoreve

te sigurise tek GPO#te e sigurise dhe te drejta te plota administratoreve te aplikacioneve tek GPO#te

e aplikacioneve. "y dizajn perdoret ne ato organizata qe kane nje ndarje te pergjegjesive sipas

detyrave te administratoreve.

8igura =. !je dizajn i bazuar ne pune specifike i kontrollit administrativ

8aqe 5 nga ':


9/24


IMPLEMENTIMI I GPO


10/24


8aqe 9( nga ':


11/24


8aqe 99 nga ':


12/24


8aqe 9' nga ':


13/24


8aqe 9) nga ':


14/24


8aqe 9: nga ':


15/24


8aqe 94 nga ':


16/24


8aqe 9= nga ':


17/24


8aqe 9@ nga ':


18/24


8aqe 95 nga ':


19/24


8aqe 93 nga ':


20/24


8aqe '( nga ':


21/24


8aqe '9 nga ':


22/24


Ushtrime

8aqe '' nga ':


23/24


8aqe ') nga ':


24/24


Leksion 10 Hyrje Ne Group Policy

Documents

Transcript of Leksion 10 Hyrje Ne Group Policy