A Windows Server 2022 Group Policy (Csoportszabályzat) az Active Directory (AD) egyik legerősebb eszköze. Lehetővé teszi a felhasználók és számítógépek központi felügyeletét, konfigurálását.
A Group Policy két fő részből áll:
- GPO (Group Policy Object): Maga a szabályzatgyűjtemény, ami a beállításokat tartalmazza.
- GPMC (Group Policy Management Console): Az eszköz (gpmc.msc), amivel ezeket kezeljük.
Felépítés:
- Computer Configuration: A gép indulásakor lép életbe. Ide tartoznak a hálózati beállítások, szoftvertelepítés és a Windows Update szabályai.
- User Configuration: A felhasználó bejelentkezésekor lép életbe. Ide tartoznak az asztal beállításai, a meghajtók csatolása és a böngésző korlátozásai.
GPO létrehozása és alkalmazása (Lépésről lépésre)
GPMC megnyitása: Start menü -> Group Policy Management.
Létrehozás: A bal oldali fában keresd meg a Group Policy Objects mappát. Jobb klikk -> New. Adj neki egy beszédes nevet (pl. Desktop_Wallpaper_Lock).
Szerkesztés: Jobb klikk az új GPO-n -> Edit. Megnyílik a Group Policy Management Editor. Itt navigálhatsz a több ezer beállítás között.
Csatolás (Linking): A létrehozott GPO még nem csinál semmit. Ki kell választanod egy Organizational Unit-ot (OU), egy domént vagy egy site-ot, majd jobb klikk rá -> Link an Existing GPO…, és válaszd ki a létrehozott szabályzatot.
Az öröklődés sorrendje (LSDOU)
A szabályzatok az alábbi sorrendben írják felül egymást (az utolsó nyer):
- Local (Helyi házirend)
- Site (Földrajzi helyszín)
- Domain (Tartomány)
- Organizational Unit (Szervezeti egység)
Biztonsági szűrés (Security Filtering)
Alapértelmezés szerint a GPO mindenkire vonatkozik az adott OU-n belül (Authenticated Users). Ha csak egy bizonyos csoportra akarod alkalmazni, a GPO Scope fülén távolítsd el az Authenticated Users-t, és add hozzá a konkrét biztonsági csoportot.
Enforced és Block Inheritance
Enforced: Ha egy felsőbb szintű GPO-t „Enforced” (Kényszerített) állapotba teszel, az alsóbb szintek nem tudják felülbírálni.
Block Inheritance: Egy OU-n beállítható, hogy ne vegye át a felsőbb szintek szabályait (kivéve, ha azok Enforced-ok).
Ha egy szabályzat nem lép életbe, ezeket a parancsokat használd a kliensgépen:
- gpupdate /force: Azonnali frissítés kérése a szervertől.
- gpresult /r: Megmutatja, melyik szabályzatok érvényesülnek az adott gépen/felhasználón és melyek nem (és miért).
Ezekre érdemes még figyelni:
- Default Domain Policy szerkesztése: Soha ne módosítsd az alapértelmezett tartományi házirendet (kivéve a jelszóházirendet). Mindig hozz létre új GPO-t!
- Túl sok GPO: Lassíthatja a bejelentkezési időt. Érdemes csoportosítani a beállításokat.
- Default Domain Controllers Policy: Ezt is hagyd érintetlenül, csak speciális DC beállításokhoz nyúlj hozzá.
Leggyakoribb beállítások:
Biztonsági házirendek (Security)
Ezek a legfontosabbak, mivel ezek védik a hálózatot a támadásoktól és az emberi mulasztástól:
- Default Domain Password Policy: Jelszóhossz, bonyolultság, lejárati idő és a „kizárás” (Lockout) beállítása túl sok sikertelen próbálkozás után.
- Screen Saver Lock: Ha a felhasználó 5-10 percig nem nyúl a géphez, a Windows automatikusan lezárja a képernyőt és jelszót kér.
- Disable USB Ports: Megakadályozza a pendrive-ok használatát, így védve a céget az adatlopástól vagy a vírusok terjedésétől.
- Restrict Control Panel / Settings: Letiltja a hozzáférést a rendszerbeállításokhoz, így a felhasználók nem tudnak véletlenül elállítani fontos dolgokat.
Felhasználói környezet (Desktop & Environment)
Ezek segítik az egységes vállalati megjelenést és kényelmet.
- Desktop Wallpaper: Központi céglogós háttérkép beállítása, amit a felhasználó nem tud megváltoztatni.
- Drive Mapping: központi tárhelyek (P:, S: meghajtók) automatikus csatolása.
- Printer Mapping: felhasználó tartózkodási helye vagy csoporttagsága alapján a legközelebbi nyomtató automatikus hozzáadása.
- Folder Redirection: A „Dokumentumok” vagy „Asztal” mappa átirányítása a szerverre. Így ha tönkremegy a gép, a fájlok megmaradnak a központi mentésben.
Böngésző és Alkalmazás kezelés
- Browser Management (Chrome/Edge): Kezdőlap beállítása, bővítmények engedélyezése/tiltása, vagy a jelszómentés korlátozása a böngészőben.
- Software Deployment: Bizonyos MSI alapú szoftverek (pl. 7-Zip, Adobe Reader) automatikus telepítése minden gépre a hálózatban.
- Windows Update Settings (WSUS): Megadhatod, hogy a gépek mikor keressenek frissítéseket, és ne engedd meg a felhasználónak, hogy elhalassza azokat a végtelenségig.
Adminisztratív korlátozások
- Disable Command Prompt / PowerShell: Megakadályozza, hogy az egyszerű felhasználók parancssorból futtassanak szkripteket.
- Rename Local Administrator: Biztonsági trükk: a helyi „Administrator” fiók átnevezése (pl. „CegAdmin”-ra), hogy a támadóknak nehezebb legyen kitalálni a felhasználónevet.
Példák
Jelszó házirend
Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies
USB tiltás, és egyéb tároló eszközök szabályozása
Computer Configuration > Administrative Templates > System > Removable Storage Access
Háttérkép beállítása
User Configuration > Administrative Templates > Desktop > Desktop
Hálózati meghajtó központi csatolása
Új GPO létrehozása:
- Nyisd meg a Group Policy Management konzolt.
- A Group Policy Objects mappán jobb klikk -> New. Név: Drive_Mapping_Public.
- Jobb klikk az új GPO-n -> Edit.
Navigálj ide: User Configuration > Preferences > Windows Settings > Drive Maps
- A jobb oldali üres területen jobb klikk -> New -> Mapped Drive.
- Action: Válaszd az Update (Frissítés) opciót. (Ez létrehozza, ha nincs, és frissíti, ha változott).
- Location: Írd be a megosztás UNC elérési útját (pl. \\SzerverNeve\Megosztas).
- Label as: Adj neki egy nevet, amit a felhasználó látni fog (pl. Közös mappa).
- Drive Letter: Válaszd a Use: opciót és jelölj ki egy betűjelet (pl. P:).
- Reconnect: Pipáld be (így bejelentkezés után is megmarad).
A példában a frontend csoportnak csatolom fel a projektek mappát:
- A GPO csak „megmutatja” a mappát, de a hozzáféréshez a mappán is be kell állítani az NTFS és a Megosztási (Share) jogosultságokat.
- Frissítés: A felhasználó gépén a gpupdate /force parancs után (vagy egy ki- és bejelentkezés után) fog megjelenni a meghajtó.
- Hiba esetén: Ha nem jelenik meg, ellenőrizd a gpresult /r paranccsal, hogy a GPO egyáltalán „leérkezett-e” a kliensre.