מדיניות קבוצה
מדיניות קבוצתית (Group Policy - GPO) היא תכונה של מערכות הפעלה השייכות למשפחת NT. מדיניות זו מאפשרת לנהל קבוצות של מחשבים על פי מדיניות הנקבעת בידי מנהל המחשוב ומוחלת על המחשבים המנוהלים. המדיניות הנאכפת על המחשב קובעת הגבלות ואפשרויות שימוש במחשב. לדוגמה, מניעת שינוי השעה בשעון, הגבלה של סמלים בלוח הבקרה והגבלות על שינוי תיקיות במחשב.
כללי
מדיניות קבוצתית יכולה לשלוט בערכי הרגיסטרי של המחשב המנוהל, הרשאות NTFS, הגדרות בטיחות ובקרה (Audit), התקנת תוכנות, תסריטי אתחול וכיבוי (Logon/Logoff Scripts), הפניית תיקיות (Folder Redirection) והגדרות לגבי דפדפן האינטרנט אקספלורר. פרטי המדיניות נשמרים באובייקט מדיניות קבוצתית (GPO).
כיוון שניתן לנהל מספר סוגים של מדיניות כל אובייקט יזוהה על פי מספר מזהה ייחודי (GUID). כל קובץ מדיניות (GPO) ניתן לקישור לאובייקט אחד או יותר מהבאים: אתר (Site), תחום (Domain) או יחידה ארגונית (Organizational Unit - OU). שיטה זו מאפשרת להחיל שינויי מדיניות על מחשבים רבים על ידי שינוי אובייקט אחד בלבד ובכך להפחית עלויות מחשוב בארגון.
כיוון שאובייקט מדיניות קבוצתית ניתן לשיוך רק לאובייקטים מהרמה הגבוהה של Active directory ניתן לקבוע הגדרות אבטחה ספציפיות על האובייקט על מנת להחיל אותו באופן יותר בררני. באופן כזה ניתן לקבוע שמחשבים, קבוצות או אנשים יחילו או ימנעו מלהחיל את האובייקט.
אופן קבלת מדיניות קבוצתית במחשב
בעת הטעינה תבדוק מערכת ההפעלה האם היא מכילה את הגדרות המדיניות החדשות ביותר. כמו כן, רכיב המערכת האחראי על קבלת המדיניות במחשב המנוהל אחראי לבדוק באופן עיתי האם המדיניות האמורה לחול על המחשב או על המשתמש השתנתה. כברירת מחדל הבדיקה מתבצעת בזמן אקראי בין 90–120 דקות. אם חל שינוי, המחשב מוריד אליו את קובצי המדיניות שהשתנו ומחיל אותם. חלק מהשינויים יחולו מיד ואחרים יחולו לאחר אתחול המחשב. למעשה כל סוגי המדיניות נשמרות כקבצים רגילים בשרת DC (Domain controller) בתיקיה משותפת בשם SYSVOL וכל תחנת עבודה אחראית להעתיק אליה את קובצי המדיניות מהשיתוף וליישם אותן - טכנולוגיית משיכה. אין אפשרות לשרת לדחוף את סוגי המדיניות החדשות לתחנות העבודה. תיקיית SYSVOL עוברת שכפול (replication) בין כל שרתי DC בטכנולוגיית FRS או במקרה שכל שרתי DC הם בשרתי 2008 גם נתמכת שיטת שכפול חדשה יותר - DFS.
אבטחה
אחת הבעיות עם מדיניות קבוצתית היא שניתן לעקוף אותה בקלות יחסית. משתמש יכול למנוע מהמחשב לקרוא את ערכי המדיניות, לזייף ערכים, או לגרום לקבלת ערכים שגויים. לכן מדיניות קבוצתית היא מאפיין המקל בניהול יותר מאשר אוכף אבטחה.
סדר החלה של GPO
סדר ההחלה הוא ממוספר, כך שמספר נמוך יותר יחול אחרון ויכול לשכתב את ההגדרות ש-GPO בעדיפות נמוכה יותר החיל. ל-GPO המקומי יהיה את המספר הגבוה ביותר אלא אם כן מוגדר אחרת. הסדר יראה כך:
- GPO של היחידה הארגונית
- GPO של התחום
- GPO של האתר
- GPO מקומי
הרשאות מדיניות קבוצתית מול מנהל מערכת
מדיניות חלה גם על מנהל המערכת (Administrator) בדיוק כמו שהיא חלה על המשתמשים רגילים במחשב, אבל מנהל המערכת רשאי לשנות אותה. משתמש בעל זכויות של מנהל מערכת מקומי על תחנת העבודה יכול להיכנס לרגיסטרי ולשנות את ההגדרות ובכך לנצח את המדיניות ואת מנהל המערכת של הרשת – ה-Domain Admin – ולכן לא נהוג לתת למשתמשים בארגון הרשאות של מנהל מערכת על המחשבים שלהם. כמו כן הם יכולים לכבות את השירות (Service) של המדיניות הקבוצתית בכלל.
ראו גם
קישורים חיצוניים
- אתר האינטרנט הרשמי של מדיניות קבוצה
- Group Policy באתר מיקרוסופט
- Group Policy Management Console באתר מיקרוסופט
מדיניות קבוצה34637405Q263678