Leksion 10 Hyrje Ne Group Policy
-
Upload
lioneanimal -
Category
Documents
-
view
250 -
download
1
Transcript of Leksion 10 Hyrje Ne Group Policy
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
1/24
Sistemet Active Directory Data 28 Maj, 2009
HYRJE NE GROUP POLICY
Group Policy jane koleksion konfigurimesh te perdoruesve dhe te kompjuterave qe specifikojnemenyren se si programet, burimet e rrjetit, dhe sistemet e operimit punojne per perdoruesit dhe
kompjuterat ne nje organizate. Group policy mund te konfigurohen per kompjuterat, domainet, sitet,
dhe njesite organizative OU. Per shembull, duke perdorur group policy ne mund te percaktojme
programet qe do tu ofrohen perdoruesve, programet qe shfaqen ne desktopin e perdoruesve,
opsionet e menuse tart.
Group policy nuk i aplikohen grupeve, pavarsisht nga fakti se anetaresimi i grupeve mund te
ndikoje tek Group Policy. Per shembull, nese nje llogari perdoruesi apo kompjuteri i perket nje
grupi te cilit i mohohet aplikimi i group policy mbi kete grup. !e kete rast llogaria nuk do te kete
ndikim nga group policy. "y concept njihet si filtrim i GPO nepermjet grupeve te sigurise.
Per te krijuar konfigurime specifike per perdoruesit, ne krijojme GPO#Group policy objects, qe janekoleksione te konfigurimeve te Group Policy. $do kompjuter qe operon me %indo&s erver '(()
ka nje GPO lokale dhe mund te jete subject i GPO#ve jo lokale gjithashtu.
GPO-te lokale
!je GPO lokale ruhet ne cdo kompjuter pavaresisht nese kompjuteri eshte pjese e nje mjedisi me
*ctive +irectory. !je GPO lokale ndikon vetem tek kompjuteri tek cili ndodhet. GPO#te lokale
mund te mbishkruhen nga GPO jo lokale. GPO#te lokale ndodhen ne direktorine ystem)'Group
Policy.
GPO-te jo lokale
GPO#te jolokale krijohen ne *ctive +irectory dhe duhet ti linkohen nje site, domain ose nje OU#je
ne menyre qe te aplikohen tek kompjuterat apo tek perdoruesit. Per te perdorur GPO jo lokale, ne
duhet te kemi nje sistem operimi %indo&s '((( ose '(() domain controller te instaluar.
Pasi instalojme *ctive +irectory krijohen dy GPO jo lokale-
+efault +omain Policy "jo GPO i linkohet domainit dhe ndikon tek te gjithe
perdoruesit dhe kompjuterat ne domain nepermjet trashegimise se group pilicy.
+efault +omain $ontrollers Policy "jo GPO i linkohet OU#ve te domain
controllerit.
GPO#te jo lokale ruhen ne direktorine ysvol+omain !amePoliciesGPO GU+*+/, ku GPO
GU+ eshte GPO unique identifier. !e mund te percaktojme se kush grup mund te administroje
0krijoje, modifikoje apo fshije1 GPO duke percaktuar te drejtat per cdo GPO ne tabin ecurity te
dritares se Properties te cdo GPO#je.
GPO#te mund ti aplikohen vetem klienteve me %indo&s 2P Professional, %indo&s '(((,
%indo&s erver '((), dhe nuk suportohen per %indo&s 34, &indo&s 35, %indo&s /illennium
6dition 0%indo&s /61, ose %indo&s !7.
!je GPO qe i linkohet ose bashkelidhet nje site, ndikon tek te gjithe kompjuterat e ketij site pasiinformacioni replikohet tek te gjithe domain controllerat qe ndodhen ne site pavaresisht nga
domaini qe permban kompjuterat.
8aqe 9 nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
2/24
Sistemet Active Directory Data 28 Maj, 2009
GPO#te ekzistojne si njesi te ruajtura ne nje domain te vetem dhe duhet te le;ohen nga domaini kur
klientet qe ndikohen nga kjo GPO le;on ne GPO qe eshte linkuar.
Group Policy Object Editor
Per te mena;huar Group policy ne perdorim Group Policy Object 6ditor. !je pamje e Group Policy
Object 6ditor mund te shikojme ne figuren e meposhtme-
8igura 9. Group Policy Object 6ditor
Konfigurimet e Group Policy
"onfigurimet e Group Policy permbahen ne GPO dhe percaktojne konfigurimet e perdoruesit. "a
dy tipe te konfigurimeve ne Group Policy- konfigurimi i kompjuterit, dhe konfigurimi i perdoruesit.
Opsionet Computer Configuration dhe User Configuration
Opsioni $omputer $onfiguration permban konfigurimet qe GPO ia aplikon kompjuterave
pavaresisht se kush logohet ne to. "onfigurimet ne kete rast aplikohen kur sistemi i operimit
inicializohet.
8aqe ' nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
3/24
Sistemet Active Directory Data 28 Maj, 2009
Opsioni User $onfiguration permban konfigurimet qe GPO ia aplikon perdoruesit, pavaresisht se ne
cilin kompjuter ky perdorues logohet. "onfigurimet ne kete rast aplikohen kur perdoruesi logohet
ne kompjuter.
Administratie !emplates
*dministrative 7emplates permban konfigurime te Group policy te bazuar ne regjistra. "a me
shume se 44( opsione qe jane te disponueshme per tu konfiguruar per perdoruesit. !e dirtaren e
propertive te secilit prej opsioneve qe ndodhen tek *dministrative 7emplate ka nje tab 6;plain qe
jep nje pershkrim per veprimet qe opsioni kryen nese aktivizohet.
$do opsion qe ndodhet tek administrative template mund te konfigurohet ne tre menyra-
!ot $onfiguret
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
4/24
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
5/24
Sistemet Active Directory Data 28 Maj, 2009
GPO#je te aplikuar ne menyre qe te heqi mundesine qe problemi te jete ndonje konfigurim i
perdoruesit.
!e figuren '. tregohen keto tipe konfigurimesh te GPO.
8igura '. 7ipet e konfigurimeve te GPO
#i$enjimi i GPO ne menyre te decentrali$uar
!e nje sistem te decentralizuar qellimi eshte qe te perfshihen konfigurime specifike ne sa me pak
GPO. "ur kerkohet nje ndryshim, vetem nje GPO duhet te ndryshoje ne menyre qe te realizohet
ndryshimi i kerkuar. *dministrimi thjeshtohet por kjo gje ndodh ne disfavor te kohes se logimit qe
zgjatet si rezultat i procesimit te shume GPO#ve.
Per te realizuar nje sistem te decentralizuar, ne mund te krijojme nje GPO baze qe i aplikohet te
gjithe domainit qe permabn konfigurime per te gjithe perdoruesit dhe kompjuterat ne domain. Pershembull, GPO baze mund te permbaje konfigurime sigurie sic jane kufizimet per llogarite dhe
pass&ordet dhe GPO te tjera shtese mund te krijohen per te plotesuar kerkesa per secilen nga OU#te
qe mund te jene specifike per secilen OU.
"y model eshte i mire ne mjedise ku grupe te ndryshme ne organizate kane te njejtat probleme te
sigurise dhe kur ndryshimet e Group Policy jane te shpeshta.
#i$enjimi i GPO ne menyre te centrali$uar
!e nje sistem te centralizuar qellimi eshte qe te perdoren sa me pak GPO 0ne menyre ideale vetem
nje1. 7e gjitha konfigurimet e sigurise qe kerkohen per nje site, domain ose OU duhet teimplementohen ne nje GPO te vetme. !ese ite, domaini ose OU#ja kane grupe perdoruesish dhe
kompjuterash me kerkesa te ndryshme persa i perket politikave te sigurise, zakonisht konsiderohet
8aqe 4 nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
6/24
Sistemet Active Directory Data 28 Maj, 2009
ndarja e OU#se ne dy pjese dhe aplikimi i GPO tek secila nen OU dhe jo tek OU#ja kryesore. !je
ndryshim tek nje dizajn i dille i GPO#ve kerkon me shume administrim se sa nje dizajn i
decentralizuar sepse konfigurimet duhet te ndryshohen ne shume GPO, por favori eshte qe koha e
logimit eshte me e shkurter."y model eshte nje praktike e mire per ato mjedise ku perdoruesit dhe kompjuterat mund te
vendosen ne nje numer i vogel OU#ve per vendosjen e politikave.
8igura ). +izenjimi i centralizuar dhe decentralizuar i GPO#ve
Planifikimi i kontrollit administrati te GPO-e
"ur ne planifikojme te konfigurojme Group Policy dhe objektet GPO qe do te perdoren ne
organizaten qe ne administrojme, ne duhet te planifikojme se kush do te beje mena;himin e tyre.
"ontrollet administrative mund te delegohen ne te tre rastet e dizenjimit te kontrollit administrativ
qe jane rasti i centralizuar, i decentralizuar, dhe i bazuar ne pune 0task#based1.
#i$enjimi i kontrollit administrati te centrali$uar
!e nje dizajn te centralizuar, administrimi i Group Policy delegohet vetem ne nivelet me te larta te
administratoreve te OU#ve. !e shembullin qe tregohet ne figuren e meposhtme, administratoret e
OU#ve te nivelit me te larte kane aftesite ne mena;hojne te gjitha GPO#te ne domain. !derkohe qe
administratoret e nivelit te dyte nuk kane aftesi te mena;honje GPO#te. !ese duam qe
administratoreve te nivelit te dyte tu japim te drejta atehere mjafton tua delegojme keto te drejta dhe
me pas administratoret e nivelit te dyte do ti kene keto te drejta per te menazhuar GPO.
8aqe = nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
7/24
Sistemet Active Directory Data 28 Maj, 2009
8igura :. !je dizajn i centralizuar i kontrollit administrativ
#i$enjimi i kontrollit administrati te decentrali$uar
!e dizenjimet e tipit te centralizuar, administrimi i Group Policy delegohet nga niveli me i larte tek
niveli me i ulet i administratoreve te OU#ve. !e shembullin e treguar ne figuren e meposhtme,
administratoret e nivelit me te larte kane te drejte te administrojne GPO#te qe ndodhen ne nivelinme te larte. *dministratoret e nivelit te dyre te OU#ve kane mundesi te administrojne GPO#te ne
nivelin e dyte. "jo gje arrihet duke i dhene akses te plote administratoreve te OU#ve te nivelit me te
larte tek GPO#te e nivelit me te larte dhe duke i dhene akses te plote administratoreve te OU#ve ne
nivelin e dyte tek GPO#te e nivelit te dyte. "y dizajn eshte i pershtatshem per ato organizata ke
duhet te delegojne administrimin e GPO#ve.
8aqe @ nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
8/24
Sistemet Active Directory Data 28 Maj, 2009
8igura 4. !je dizajn i decentralizuar i kontrollit administrativ
#i$enjimi i kontrollit administrati i ba$uar ne pune %e duhet te kryhen
!e kete rast administrimi i group policy u delegohet administratoreve qe jane pergjegjes per pune
specifike sic eshte per shembull siguria e aplikacioneve. !e kete rast, GPO#te dizenjohet ne menyre
te tille qe te permbajne vetem nje bashkesi konfigurimesh te group policy. !e shembullin e treguarne figuren e meposhtme, administratoret kane aftesi te mena;hojne GPO#te pergjegjese per
aplikacionet tek te gjitha OU#te. "jo gje realizohet duke i dhene te drejta te plota administratoreve
te sigurise tek GPO#te e sigurise dhe te drejta te plota administratoreve te aplikacioneve tek GPO#te
e aplikacioneve. "y dizajn perdoret ne ato organizata qe kane nje ndarje te pergjegjesive sipas
detyrave te administratoreve.
8igura =. !je dizajn i bazuar ne pune specifike i kontrollit administrativ
8aqe 5 nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
9/24
Sistemet Active Directory Data 28 Maj, 2009
IMPLEMENTIMI I GPO
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
10/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe 9( nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
11/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe 99 nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
12/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe 9' nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
13/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe 9) nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
14/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe 9: nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
15/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe 94 nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
16/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe 9= nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
17/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe 9@ nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
18/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe 95 nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
19/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe 93 nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
20/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe '( nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
21/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe '9 nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
22/24
Sistemet Active Directory Data 28 Maj, 2009
Ushtrime
8aqe '' nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
23/24
Sistemet Active Directory Data 28 Maj, 2009
8aqe ') nga ':
-
8/13/2019 Leksion 10 Hyrje Ne Group Policy
24/24
Sistemet Active Directory Data 28 Maj, 2009