מדיניות קבוצה

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

מדיניות קבוצתית (Group Policy,GPO) היא תכונה של מערכות הפעלה השייכות למשפחת NT 5.0. מדיניות זו מאפשרת לנהל קבוצות של מחשבים על פי מדיניות הנקבעת בידי מנהל המחשוב ומוחלת על המחשבים המנוהלים. המדיניות הנאכפת על המחשב קובעת הגבלות ואפשרויות שימוש במחשב (לדוגמה: מניעת שינוי השעה בשעון, הגבלה של סמלים בלוח הבקרה, הגבלות על שינוי תיקיות במחשב.)

כללי[עריכת קוד מקור | עריכה]

מדיניות קבוצתית יכולה לשלוט בערכי הרגיסטרי של המחשב המנוהל, הרשאות NTFS, הגדרות בטיחות ובקרה (Audit), התקנת תוכנות, תסריטי אתחול וכיבוי (Logon\Logoff Scripts), הפניית ספריות (Folder Redirection) והגדרות לגבי דפדפן האינטרנט אקספלורר. פרטי המדיניות נשמרים באובייקט מדיניות קבוצתית (GPO). כיוון שניתן לנהל מספר סוגים של מדיניות כל אובייקט יזוהה על פי מספר מזהה ייחודי (GUID). כל קובץ מדיניות (GPO) ניתן לקישור לאובייקט אחד או יותר מהבאים: אתר (Site), תחום (Domain) או יחידה ארגונית (Organizational Unit,OU). שיטה זו מאפשרת להחיל שינויי מדיניות על מחשבים רבים על ידי שינוי אובייקט אחד בלבד ובכך להפחית עלויות מחשוב בארגון.

כיוון שאובייקט מדיניות קבוצתית ניתן לשיוך רק לאובייקטים מהרמה הגבוהה של Active directory ניתן לקבוע הגדרות אבטחה ספציפיות על האובייקט על מנת להחיל אותו באופן יותר סלקטיבי. באופן כזה ניתן לקבוע שמחשבים, קבוצות או אנשים יחילו או ימנעו מלהחיל את האובייקט.

איך המחשב מקבל מדיניות קבוצתית[עריכת קוד מקור | עריכה]

בעת העלייה תבדוק מערכת ההפעלה האם היא מכילה את הגדרות המדיניות החדשות ביותר, כמו כן, רכיב המערכת האחראי על קבלת המדיניות במחשב המנוהל אחראי לבדוק באופן עיתי האם השתנתה המדיניות האמורה לחול על המחשב או המשתמש, כברירת מחדל הבדיקה מתבצעת בזמן רנדומלי בין 90-120 דקות. במידה וחל שינוי המחשב מוריד אליו את קובצי המדיניות שהשתנו ומחיל אותם. חלק מהשינויים יחולו מיד ואחרים יחולו לאחר אתחול המחשב. למעשה כל הפוליסות נשמרות כקבצים רגילים בשרת DC בתיקיה משותפת בשם SYSVOL וכל תחנת עבודה אחראית להעתיק אליה את הקובצי הפוליסה מהשיתוף וליישם אותן - טכנולוגית משיכה. אין אפשרות לשרת לדחוף את הפוליסות החדשות לתחנות העבודה. תיקיית SYSVOL עוברת העתקה REPLICATION בין כל שרתי DC בטכנולוגית FRS או במקרה וכל שרתי DC הם בשרתי 2008 גם נתמכת רפליקציה חדשה יותר - DFS.

אבטחה[עריכת קוד מקור | עריכה]

אחת הבעיות עם מדיניות קבוצתית היא שניתן לעקוף אותה בקלות יחסית. משתמש יכול למנוע מהמחשב לקרוא את ערכי המדיניות, לזייף ערכים, או לגרום לקבלת ערכים שגויים. לכן, מדיניות קבוצתית היא מאפיין המקל בניהול יותר מאשר אוכף אבטחה.

מי חזק יותר Group Policy או Administrator?[עריכת קוד מקור | עריכה]

פוליסה חלה גם על Administrator בדיוק כמו שהיא חלה על המשתמשים רגילים במחשב, אבל administrator רשאי לשנות אותה. שימו לב כי משתמש בעל זכויות של Administrator מקומי על תחנת העבודה יכול להיכנס ל-Registry ולשנות את ההגדרות ובכך לנצח את הפוליסה ואת ה-Administrator של הרשת - Domain Admin ולכן לא נהוג לתת למשתשים בארגון הרשאות של administrator על המחשבים שלהם. כמו כן הם יכולים לכבות את ה-Service של Group Policy בכלל.

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]