Automatyzacja zadań administracyjnych, zasad i procedur

    Każdy administrator systemu musi wykonywać codziennie szereg rutynowych zadań, do których można zaliczyć konfigurowanie, nadzorowanie czy też zmianę ustawień kont użytkowników. Ponieważ czynności te trzeba powtórzyć dla kilku, lub nawet kilkunastu, różnych użytkowników, jest to praca mało efektywna, co więcej pochłania dużo czasu administratora. Ten zamiast skupić się na większych problemach musi zajmować się rzeczami przyziemnymi. System Windows Serwer 2003 udostępnia szereg narzędzi służących do automatyzacji wykonywania różnych zadań. Jednym z nich jest Edytor obiektów zasad grupy. Umożliwia ono scentralizowane zarządzanie wieloma użytkownikami jednocześnie. Ustawienia Zasad grupy przechowywane są w obiekcie Group Policy Obiect (GPO). Możliwe jest stosowanie kilku obiektów GPO do pojedynczej lokacji czy domeny. Dzięki temu, że opis zasad posługuje się obiektami, możliwe jest stosowanie dziedziczenia zasad. Oznacza to, że zasada zastosowana do obiektu nadrzędnego jest przekazywana w dół do obiektów potomnych. Więc, jeżeli stosujemy zasadę dla domeny, to ustawienie to dotyczy wszystkich jednostek organizacyjnych w ramach tej domeny. Możemy zastosować zasady dla konkretnego obiektu, omijając w ten sposób regułę dziedziczenia. Jest to możliwe, jeżeli zastępowanie zasad nie zostało zablokowane na wyższym poziomie hierarchii Zasad grupy. Zasady grupy podzielone są na dwie główne kategorie:

• Zasady dotyczące komputerów - uruchamiane podczas startu systemu
• Zasady dotyczące użytkowników - stosowane w procesie logowania.

    Kolejność uruchamiania zasad jest bardzo istotnym elementem w przypadku nieprzewidzianego zachowania systemu. I tak, podczas uruchamiania systemu stosowane są zasady dotyczące komputera. Następnie system wykonuje skrypty uruchomieniowe. Do tego momentu użytkownik nie mógł nic zrobić. Kolejny etap to logowanie się użytkownika do systemu. System ładuje profil użytkownika oraz stosuje zasady użytkownika. W tym czasie wyświetlany jest interfejs użytkownika. Teraz system uruchamia skrypt logowania, równolegle stosując Zasady grupy i na koniec zostaje wyświetlony początkowy interfejs użytkownika skonfigurowany w Zasadach grupy.
    Aby uzyskać dostęp do zasad grupy wciskamy menu Start, następnie Uruchom i wpisujemy mmc, po czym klikamy OK. Teraz w konsoli klikamy Plik i wybieramy Dodaj/usuń przystawkę. W nowym oknie na zakładce Autonomiczna klikamy przycisk Dodaj. Zostanie wyświetlona lista dostępnych przystawek. Wybieramy Edytor obiektów zasad grupy po czym klikamy Dodaj. W polu Obiekt zasad grupy znajduje się wpis Komputer lokalny. Jeżeli chcemy konfigurować zdalny komputer klikamy na przycisk Przeglądaj w celu jego zlokalizowania a następnie klikamy OK. W przeciwnym razie klikamy przycisk Zakończ, i w oknie dodawanie przystawki klikamy przycisk Zamknij.

    Zasady umieszczone na wyższych poziomach mają pierwszeństwo przed tymi niższymi. Z tego wynika, że zasady konfigurowane dla komputera są ważniejsze od zasad konfigurowanych dla użytkownika. Podczas pracy z zasadami grupy w usłudze Active Directory, mamy do dyspozycji dwa podstawowe narzędzia:
- Edytor obiektów zasad grupy - jest to standardowy edytor, zawarty w domyślnej instalacji systemu Windows Serwer 2003. Umożliwia on modyfikowanie i zarządzanie zasadami grupy
- Group Policy Management Console (GPMC) - rozszerzony interfejs służący do zarządzania zasadami grupy, dostępny bezpłatnie w witrynie Microsoftu http://www.microsoft.com/downloads.
Aby zmodyfikować, usunąć lub stworzyć nowe zasady grupy dla lokacji, klikamy menu Start następnie Narzędzia administracyjne i Lokacje i usługi Active Directory.

    Jeśli mają być modyfikowane zasady dla domeny lub jednostki organizacyjnej, w Narzędziach administracyjnych wybieramy Użytkownicy i komputery usługi Active Directory. Teraz we właściwym drzewie konsoli, klikamy prawym przyciskiem myszy na lokacje, domenę lub jednostkę organizacyjną, dla której będą tworzone lub modyfikowane zasady grupy i z menu wybieramy Właściwości. W nowym oknie klikamy na zakładkę Zasady grupy.

    Aby utworzyć nową zasadę klikamy przycisk Nowa, jeżeli chcemy zmodyfikować istniejący obiekt zasady grupy, zaznaczamy odpowiednią zasadę i klikamy przycisk Edytuj. Korzystając z przycisków W górę oraz W dół możemy zmieniać priorytety stosowywania zasad. Te, które są wyżej mają pierwszeństwo nad tymi poniżej. Na każdym poziomie (domena, lokacja, jednostka organizacyjna) mamy możliwość zablokowania dziedziczenia zasad. Efektem będzie pominięcie zasad, które normalnie byłyby zastosowane. Dodatkowo na poziomie lokacji lub domeny możemy wymusić dziedziczenie zasad, przez co niższe poziomy nie będą mogły ich zablokować. Dzięki takiemu mechanizmowi, wyżsi administratorzy mogą wymuszać pewne zasady, co chroni je przed niepowołanymi zmianami na niższych poziomach. Dodatkową opcją jest wyłączenie zasady bez usuwania obiektu zasad, co umożliwi ponowne jej włączenie w przyszłości bez konieczności tworzenia od początku nowej zasady. Klikając na pole Zablokuj dziedziczenie zasad, wstrzymamy dziedziczenie zasad wyższego poziomu o ile nie mają one ustawionego atrybutu Nie zastępuj. Jeżeli chcemy stworzyć zasadę, której nie będzie można wyłączyć, klikamy w kolumnie Nie zastępuj na wybraną zasadę, ustawiając w ten sposób odpowiedni znacznik. Klikając na kolumnę Wyłączony przy odpowiedniej zasadzie, wyłączymy jej stosowanie bez usuwania obiektu zasady. Możemy także zastosować istniejące zasady do innego komputera, lokacji czy jednostki organizacyjnej. W tym celu klikamy przycisk Dodaj, teraz wybieramy zasadę, którą chcemy powiązać i klikamy przycisk Ok. Dzięki temu, Active Directory utworzy łącze pomiędzy Group Policy Obiect (GPO) a obiektem kontenerowym dla wybranej lokacji. Jeżeli zmienimy zasady w dowolnej lokacji, zmiany będą wprowadzone we wszystkich miejscach gdzie ta zasada jest wykorzystywana.
    System Windows Serwer 2003 zawiera zbiór szablonów administracyjnych dostępnych dla użytkowników i komputerów. Możemy je zobaczyć w przystawce Zasady grupy lub Zasady komputer lokalny, konsoli mmc. W tym celu uruchamiamy konsolę (menu Start, Uruchom i wpisujemy mmc) i dodajemy odpowiednią przystawkę (z menu wybieramy Plik, Dodaj/Usuń przystawkę, teraz przycisk Dodaj i odszukujemy przystawkę z listy, po czym klikamy OK). Z drzewa po lewej stronie wybieramy kolejno Konfiguracja komputera, Szablony administracyjne, System. Szablony mogą znajdować się w jednym z trzech stanów:

• Nie skonfigurowane - zasada nie jest wykorzystywana i jej ustawienie nie jest zapisywane w rejestrze
• Włączone - zasada zapisana w rejestrze i używana obecnie
• Wyłączone - zasada nieaktywna, ale ustawienie to zapisane jest w rejestrze.

    Aby skonfigurować zasadę, klikamy prawym klawiszem myszy na wybrany szablon i wybieramy Właściwości. Teraz w zakładce Ustawienia możemy zmienić stan działania zasady. W przypadku włączenia zasady możemy tu określić ewentualne dodatkowe parametry. Kiedy mamy wątpliwości, co do działania zasady, możemy przeczytać jej dokładny opis w zakładce Wyjaśnienia. Do nawigacji między szablonami możemy korzystać z przycisków Następne ustawienie i Poprzednie ustawienie. Konsola Zasady grupy umożliwia nam także dodawanie szablonów. Szablony przechowywane są w plikach .adm, które możemy edytować dowolnym edytorem tekstu. Aby oddać nowy szablon do konsoli klikamy prawym klawiszem myszy na wpis Szablony administracyjne, po czym z menu wybieramy Dodaj/Usuń szablony. W nowym oknie widzimy obecnie używane pliki szablonów. Teraz klikamy na przycisk Dodaj a następnie wskazujemy własny plik z szablonem.
Kolejną grupą narzędzi służącą do scentralizowanego zarządzania systemem są skrypty. System Windows Serwer 2003 umożliwia konfigurowanie czterech rodzajów skryptów:

• Skrypty uruchomieniowe
• Skrypty zamykania systemu
• Skrypty logowania
• Skrypty wylogowywania.

    Możemy tworzyć skrypty, jako pliki wsadowe .bat lub .cmd, bądź też pisać programy korzystające z Windows Script Host. Jest to funkcja systemu umożliwiająca wykonanie pliku sporządzonego w języku skryptowym (np. VBScript, JScript) bez umieszczania go na stronie Web. Skrypty uruchomieniowe lub Skrypty zamknięcia systemu stanowią część Zasad grupy. Mogą też zostać skonfigurowane przy użyciu Zaplanowanych zadań. Jeżeli chcemy dodać skrypty z dwóch pierwszych grup, uruchamiamy konsole mmc (menu Start, Uruchom i wpisujemy mmc) i dodajemy przystawkę Zasady grupy lub Zasady komputer lokalny (z menu wybieramy Plik, Dodaj/Usuń przystawkę, teraz przycisk Dodaj i odszukujemy przystawkę z listy, po czym klikamy OK). Teraz w drzewie po lewej stronie rozwijamy gałąź Konfiguracja komputera i Ustawienia systemu Windows. Klikamy na wpis Skrypty (Uruchamianie/Zamykanie).

    Po prawej stronie klikamy dwukrotnie na interesujące nas zdarzenie. W nowym oknie klikamy przycisk Dodaj a następnie wpisujemy ścieżkę do pliku ze skryptem. Możemy także zlokalizować plik klikając na przycisk Przeglądaj. Dodatkowo na dole mamy możliwość podania parametrów uruchamiania skryptu. Po wpisaniu ścieżki klikamy przycisk OK następnie jeszcze raz OK. Możliwe jest dodawanie wielu skryptów startowych. Zostaną one wykonane w kolejności, w jakiej umieszczone są na liście.
    Skrypty logowania i wylogowania możemy ustalić na kilka sposobów:

• poprzez włączenie skryptu do procedury wykonywanej przy użyciu Zaplanowanych zadań,
• poprzez przypisanie skryptów dla indywidualnych użytkowników w konsoli Użytkownicy i komputery Active Directory, klikając dwukrotnie na użytkownika i w zakładce Profil wpisując ścieżkę do skryptu logowania. Ta metoda jest dobra, gdy chcemy dla poszczególnych użytkowników wykonać różne akcje przy ich zalogowaniu.
• poprzez włączenie skryptów do Zasad grupy. W tym celu uruchamiamy konsole Zasady grupy jak wyżej, następnie wybieramy po lewej stronie kolejno z drzewa Konfiguracja użytkownika, Ustawienia systemu Windows i Skrypty (logowanie/wylogowanie). Nowy skrypt dodajemy w sposób analogiczny jak przy skryptach uruchomieniowych.

    Dzięki takim narzędziom jak planowanie zadań, skrypty czy zasady dla grup, administrator może tworzyć szablony zachowywania się systemu w określonych sytuacjach. Nie musi za każdym razem skupiać swej uwagi na poszczególnych użytkownikach. Zwiększa to jego efektywność pracy oraz ułatwia zarządzanie systemem.

Dla Jamy Mastaha: Marcin Mierzejewski.