Csoportházirend

A csoportházirend (Group Policy) a Microsoft operációs rendszereinek egy funkciója, amivel megoldható a felhasználók, a számítógépek és a felhasználói munkakörnyezetek viselkedésének és jogosultságainak szabályozása. A csoportházirend Active Directory környezetben lehetővé teszi az operációs rendszerek, alkalmazások és a felhasználók beállításainak központosított konfigurálását és menedzsmentjét. Leegyszerűsítve, a csoportházirenddel többek közt megszabható, hogy a felhasználó mit tehet és mit nem tehet meg a számítógépen. Bár a csoportházirendek alkalmazása nagyvállalati környezetben a legelterjedtebb, találkozhatunk vele iskolákban, kis- és középvállalkozásokban is. A csoportházirendeket gyakran arra használják, hogy potenciális biztonsági réseket zárjanak be vele, pl. tiltják a hozzáférést a Windows feladatkezelőjéhez, korlátozzák bizonyos mappákhoz a hozzáférést, tiltják a futtatható fájlok letöltését és így tovább.

A Microsoft IntelliMirror technológiájának részeként a csoportházirendek lényege a felhasználói támogatás költségeinek csökkentése. Egyéb IntelliMirror-technológiák közé tartoznak a vándorló profilok, a hálózatról lecsatlakoztatott számítógépek kezelése, a mappaátirányítás és a kapcsolat nélküli mappák.^[1][2]

A csoportházirend építőköveinek, a csoportházirend-objektumoknak (Group Policy Object, GPO) használatához nem feltétlenül szükséges az Active Directory; a Novell a Windows 2000 óta támogatja a vándorló profilokat ZENworks Desktop Management termékében, a Windows XP óta pedig a csoportházirend-objektumokat is.

Bár gyárilag is számos csoportházirend jár az operációs rendszerhez (az XP/Windows 2003-ra mintegy 1700, a Vista/Windows 2008 párosra legalább 2700, a Windows 7/Windows 2008 R2-re több mint 3000 házirend vonatkozik^[3]), ez a szám tetszőlegesen bővíthető további sablonok (admin templates, .ADM, illetve .ADMX) hozzáadásával. Ezek egyszerű szöveges állományok, amik a beállítások hierarchikus rendjét, a beállítható értékekre vonatkozó megkötéseket és az egyes beállítások alapértelmezett értékét tartalmazzák. A Microsoft is kiad bővítéseket pl. a Microsoft Office szabályozásához, de más gyártók termékeihez is készülnek ilyenek. Egyedi .ADM-fájlokkal szinte bármit meg lehet tenni, amihez egyébként a beállításjegyzék módosítása szükséges.

A csoportházirendek elődje, a System Policy a Windows NT-ben jelent meg.^[4]

Áttekintés

A csoportházirend szabályozhatja a célobjektum (target) beállításjegyzékét, NTFS biztonsági leíróit, a rá vonatkozó auditálási és biztonsági házirendeket, a szoftvertelepítést, be- és kijelentkezési parancsfájlokat.

Az Active Directory-integrált csoportházirend alapvetően azokra a szervezeti egységekre (OU), helyekre (site) vagy tartományokra vonatkozik, amikhez hozzárendelik. A csoportházirend hatóköre (scope) tovább finomítható:

• a „biztonsági szűrés” (security filtering) segítségével szabályozható, hogy az adott GPO milyen felhasználókra és csoportokra vonatkozik;
• a Windows Management Instrumentation (WMI)-szűrés lehetővé teszi, hogy a GPO hatóköre egy WMI-szűrő eredményétől függően változzon (pl. legalább adott memóriával rendelkező számítógépek);
• a Group Policy Preferences további szabályozást tesz lehetővé.

Az Active Directory Users and Computers (ADUC) eszköz „vezérlés delegálása” funkciójának segítségével a rendszergazda lehetőséget adhat arra, hogy egy arra kijelölt felhasználó szerkeszthesse egy csoportházirend beállításait. Ez technikailag a szervezeti egység biztonsági leíróinak módosításával történik.^[5]

A GPO alkalmazása

A csoportházirend-kliens „pull” (lekéréses) modell alapján dolgozik. Bizonyos időközönként (ez véletlenszerű, 90 és 120 perc közötti érték, bár ez is szabályozható csoportházirenddel) összegyűjti a számítógépre, és a bejelentkezett felhasználóra (ha van ilyen) vonatkozó GPO-kat, és bejegyzi azokat a Windows beállításjegyzékének HKLM\Software\Policies, illetve HKCU\Software\Policies ágába^[6][7] (Windows 2000-en és Windows NT-n a HKLM\Software\Microsoft\Windows\CurrentVersion\Policies, illetve HKCU\Software\Microsoft\Windows\CurrentVersion\Policies ágába). Ezután alkalmazza a beállításokat, amik ettől kezdve (vagy a következő bejelentkezés/rendszerindítás után, adott rendszerkomponens újraindítása után) befolyásolni fogják a házirenddel szabályozható rendszerkomponensek működését.

A csoportházirend frissítése és alkalmazása kikényszeríthető, Windows 2000-en a secedit refreshpolicy, Windows XP-n és afölött a gpupdate parancs futtatásával.^[8]

Ha egy felhasználóra vagy számítógépre több, esetleg egymással ütköző házirend-beállítás vonatkozik, a következő sorrendben kerülnek végrehajtásra (a később végrehajtott felülírja a korábbit!):

• helyi számítógép
• hely (site)
• tartomány
• szervezeti egységek (OU) – a hierarchiában felülről lefelé haladva értékelődnek ki.

A Windows NT 4.0-ban használt System Policy-kban még nem korlátozták a beállításjegyzék elérését, a regisztrációs adatbázis bármelyik helyére írhattak a policyk, értékük pdeig megmaradt, amíg egy másik házirenddel vagy kézzel felülírásra nem kerültek.^[4]

Csoportházirend-beállítások

A csoportházirend-beállítások (Group Policy Preferences) eredetileg a csoportházirendek külön termékként létező, PolicyMaker néven futó kiterjesztései voltak. A terméket a Microsoft felvásárolta, és integrálta a Windows Server 2008-ba, a korábbi PolicyMaker-elemek migrálására pedig eszközt jelentetett meg.^[9]

Windows XP, Vista és Windows Server 2003 32 és 64 bites változatai alatt külön kliensprogramot („csoportházirend-beállítások ügyféloldali kiterjesztései”) kell telepíteni a Group Policy Preferences érvényre jutásához;^{[10][11][12][13][14][15]} ez a Windows 2008, 2008 R2 és Windows 7 operációs rendszerekbe már beépítésre került.

A Group Policy Preferences számos új beállítási lehetőséget tartalmaz. Míg a házirendek kötelezően érvényesülnek, a házirend-beállítások többnyire a kezdeti beállítás után a felhasználó által átállíthatók. Finomabban hangolható az is, hogy a beállítások hol jussanak érvényre (targeting).

Helyi házirend

A helyi házirend (Local Group Policy, LGP) az Active Directoryval használt csoportházirendek egyszerűbb változata, a secpol.msc-vel szerkeszthető. A Windows Vista előtti verziókban az LGP csak egyetlen számítógépre vonatkozik, és nem lehet egyes felhasználóknak vagy csoportoknak egyedi beállításokat konfigurálni vele. Kevesebb beállítást is kezel, mint a teljes értékű csoportházirend. Az LGP egyszerűen a beállításjegyzék HKLM kulcsa alá viszi fel a házirendeket; a felhasználónkénti beállításokat manuálisan úgy lehet megoldani, hogy át kell másolni a HKCU vagy a megfelelő HKU kulcsok alá. A csoportházirendek és a beállításjegyzék kapcsolatáról több információ található a TechNeten.^[16] Az LGP egyaránt használható tartományi számítógépen és a Windows XP Home Edition-ön.

A Windows Vista és a Windows 7 támogatja a többszörös helyi házirendeket (Multiple Local Group Policy objects, MLGPO), aminek segítségével felhasználónként is lehet házirendet állítani.^[17]

Biztonság

Bár a csoportházirendek nagyban megkönnyítik a vállalati Windows-rendszergazda dolgát, önmagukban nem nyújtanak elegendő védelmet egy rossz szándékú felhasználóval szemben. Ennek okai:

• A csoportházirendek korlátozásait a célzott alkalmazások tartatják be. Sok esetben ez csak annyit jelent, hogy a felhasználói felület adott funkcióhoz vezető részét tiltják le, de a funkció alacsonyabb szintű elérését nem akadályozzák meg.^[18] Például letiltható, hogy az Intézőben látsszon a C: meghajtó, de más fájlkezelőből – pl. a Total Commanderből látszani fog. Hasonlóan, megtiltható a regedit.exe futtatása, de ez nem gátolja meg a felhasználót abban, hogy más programmal a beállításjegyzéket módosítsa.
• Ha a felhasználónak helyi rendszergazdai jogai vannak a számítógépen, a beállításjegyzék-kulcsokhoz tartozó jogosultságok módosításával akár teljes mértékben megakadályozhatja a csoportházirendek érvényre jutását.^[19]
• A felhasználó megakadályozhatja, hogy az alkalmazás kiolvassa a rá vonatkozó csoportházirend-értékeket, így potenciálisan alacsonyabb biztonsággal futtathat alkalmazásokat.^[20]

Rendszerházirend

A Windows 2000-es csoportházirendek megjelenése előtt, már a Windows 98 alatt is volt lehetőség egyes felhasználói beállítások „lezárására”, ha még nem is teljesen automatizált és központosított módon. A rendszerházirend-szerkesztő (Policy Editor, poledit.exe) programmal már lehetőség volt pl. a Vezérlőpult hardverekkel és jelszavakkal kapcsolatos beállításainak, a Start menü Futtatás parancsának, a rendszerleíró adatbázis szerkesztésére szolgáló eszközöknek és az MS-DOS parancssornak a letiltására – de csak akkor, ha a számítógépen a felhasználói fiókok használatát engedélyezték.^[21] A házirendet a Windows 98 a Config.pol fájlból olvassa be, akár windowsos, akár Novell NetWare-es hálózati megosztásról.^[22] A Windows 98-as rendszerházirendeket pl. a Novell ZENworksben is lehetett használni a felhasználók lehetőségeinek korlátozására.

Jegyzetek

1. TechRepublic: IntelliMirror: What it is and what it isn't
2. Microsoft TechNet: What is IntelliMirror?
3. Microsoft Download Center: Group Policy Settings Reference for Windows and Windows Server
4. Windows NT 4.0 System Policies. [2015. július 17-i dátummal az eredetiből archiválva]. (Hozzáférés: 2015. február 6.)
5. Microsoft terméktámogatás: HOW TO: Delegate Authority for Editing a Group Policy Object (GPO)
6. MSDN: Implementing Registry-based Policy
7. Software Online: Csoportházirend összefüggése a regisztrációs adatbázissal^{[halott link]}
8. Gál Tamás: Csoportházirend II.
9. Group Policy Preference Migration Tool (GPPMIG). [2009. december 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2015. október 27.)
10. Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows XP rendszerhez (KB943729)
11. Download: Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729)
12. Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Vista rendszerhez (KB943729)
13. Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Vista x64 Edition rendszerhez (KB943729)
14. Letöltés: Csoportházirend-beállítások ügyféloldali kiterjesztései a Windows Server 2003 rendszerhez (KB943729)
15. Download: Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)
16. Group Policy Settings Reference^{[halott link]}
17. Step-by-Step Guide to Managing Multiple Local Group Policy Objects
18. Raymond Chen, "Shell policy is not the same as security" Archiválva 2008. február 3-i dátummal a Wayback Machine-ben
19. Mark Russinovich's technical blog: Circumventing Group Policy Settings. [2010. május 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. május 1.)
20. Mark Russinovich's technical blog: Circumventing Group Policy as a Limited User. [2010. április 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. május 1.)
21. Microsoft terméktámogatás: A házirendek szerkesztése
22. TechNet: Windows 98 – System Configuration – System Policies

Fordítás

Ez a szócikk részben vagy egészben a Group Policy című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

További információk

• Group Policy Team Blog
• Windows Server Group Policy Home
• Microsoft Group Policy page
• GPanswers.com Group Policy (Community 3rd Party Resource)
• Group Policy Center (Community 3rd Party Resource)
• The Group Policy Management Console (GPMC)
• Step-by-Step Guide to Managing Multiple Local Group Policy Objects
• Group Policy Settings (in Excel format) and registry key equivalents, from Microsoft^{[halott link]}
• Csoportházirend-referencia (magyarul)
• Felhasználószintű csoportházirend-kezelés (magyarul)
• Gál Tamás: Csoportházirend I. és Csoportházirend II. (magyarul)

•   Informatikai portál • összefoglaló, színes tartalomajánló lap