Windows 7 Policy

OBS, OBS: Se http://lists.wpkg.org/pipermail/wpkg-users/2013-January/009194.html.

Policyer i Windows er funksjonalitet som lar deg endre aspekter ved systemkonfigurasjonen. I praksis er det et svært glorifisert og komplekst system for å flippe registerinnstillinger.

Et policyobjekt, vanligvis galt GPO (Group Policy Object), representeres som en fil i et binærformat med etternavnet .POL, og er en liste over registerinnstillinger som skal flippes. Microsoft har et Excel-dokument som dokumenterer hvilke GPOer som flipper hvilke registerbits.

GPOene kan komme fra forskjellige kilder, og systemet har masse glorifisering for å velge hvilken policy som skal gjelde, inkludert gjeldende brukers gruppemedlemskap, arv, filtrering og ordinær mengde Microsoft-kompleksitet. Vanligvis brukes GPOer i forbindelse med AD; GPOene legges på et magisk share på en domenekontroller, og hvilke GPOer som skal gjelde for hvilke maskiner (og brukere) ligger i LDAP. Maskinene velger hvilke GPOer de skal laste ned og slå på.

En GPO kan også være lokal, og kalles gjerne Local Computer Policy. Disse ligger i =%systemroot%\system32\grouppolicy=.

En Windows-installasjon blar gjennom GPOer og setter innstillingene periodisk, vanligvis hvert 90. minutt pluss/minus et tilfeldig intervall på 30 minutter. De kan også settes umiddelbart med kommandoen gpupdate (ev. gpupdate /force).

GPOer uten AD

I utgangspunktet er det veldig ment at GPOer kun skal benyttes i AD. I teorien kunne man også bare dumpet POL-filer i =%systemroot%\system32\grouppolicy= programmatisk, men i praksis viser det seg at en del programmer bruker registerinnstillinger som datalager, og tryner dersom noen overskriver innstillingene ut av det blå.

I stedet finnes det et ganske godt skjult triks for å eksportere GPOer og importere dem igjen. Med en slik import skal programmene i teorien oppføre seg helt ok.

WPKG7 sørger for å importere GPOene i pakken gpo.

Det er ganske rudimentært, men om alle maskinene skal ha samme sett GPOer, fungerer det helt fint. WPKG kunne også servert forskjellige GPOer til forskjellige maskiner, og til og med hatt én felles-GPO-fil og ekstra GPOer til gitte maskiner.

Redigering av GPOer

GPOer redigeres vanligvis kun på domenekontrollere (eller på klienter som har installert Remote Server Administration Tools for Windows 7), med verktøyet gpmc.msc. Dette verktøyet kan ikke redigere lokale GPOer, det hadde blitt altfor lett. Faktisk virker det ikke i det hele tatt uten en DC.

Lokaler GPOer kan redigeres med verktøyet gpedit.msc. I god Microsoft-stil har dette verkøyet tilgang til langt, langt færre innstillinger enn gpmc.msc, uvisst av hvilken årsak. For eksempel kan det ikke endre Folder Redirection ut av boksen. Dog kan det importere såkalte ADM-filer, som er et tekstfilformat som beskriver registerinnstillinger gpedit.msc kan endre.

Endring av GPOer på Samfundet

  1. Finn en Windows 7-maskin som står på domenet (slik at den alt har de gjeldende GPOer).
  2. Logg på som administrator.
  3. Installer LocalGPO-programmet fra m:\win7\localgpo\localgpo.msi.
  4. Last ned ADM-filer fra Novell for å få Folder Redirection-funksjonalitet. Pakk opp ZIP-filen. Kjør gpedit.msc. Utvid «Brukerkonfigurasjon». Høyreklikk på «Administrative maler», velg «Legg til / fjern maler ...». Finn den utpakkede ADM-filen fra Novell, importer den.

Nå kan innstillinger endres til hjertets lyst (som antagelig går fort over). Når du har endret ferdig og vil teste endringene:

  1. Sørg for at WPKG ikke overskriver GPOene dine (kommenter ut den delen fra profiles.xml eller finn på noe annet passe lurt).
  2. Kjør gpupdate /force i en terminal, start på nytt og se om alt fungerer som forventet.

For å rulle ut endringene i produksjon:

  1. Start cmd.exe som Administrator.
  2. Gå til "\Program Files (x86)\LocalGPO" i Windows Explorer, høyreklikk på command-line here og velg «Kjør som Administrator».
  3. Sørg for å ha et sted lokalt (på C:) å legge en katalog, f.eks: mkdir c:\tmp
  4. Kjør: cscript LocalGPO.wsf /Path:c:\tmp /Export /GPOPack
  5. Du får nå en katalog med et GUID-navn på formen c:\tmp\{B4E1B161-9F3C-4EED-A377-361488627642}. Flytt innholdet i denne katalogen til altersex.samfundet.no:/export/wpkg7/software/gpo.

Lenker: Start, windows7

Mail: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2013-05-28 23:48 | Revisjon: 9 (historie, blame) | Totalt: 1420 kB | Rediger