Notiuni de baza pentru administrarea domeniilor Active Directory

Notiuni de baza pentru administrarea domeniilor Active Directory

TCP/IP, DNS

TCP/IP este o colectie de tehnologii ratificate de I.E.T.F. prin requests for comments care permit calculatoarelor sa lucreze impreuna in cadrul unei singure retele. Extinderea Internetului a impus adoptarea acestor protocoale (ca protocoale implicite) de retea in majoritatea mediilor .

Avantaje: suport larg (hardware si software), scalabilitate (lucreaza bine in retele mari).

DNS este un standard TCP/IP, destinat sa rezolve numele de host in adrese IP.

Adresele IP sunt numere destinate sa identifice unic calculatoarele in cadrul retelei. O adresa IP se compune din 4 octeti separati logic prin puncte. Se prefera dotted decimal notation, adica fiecare octet va fi exprimat printr-un numar zecimal cuprins intre 0 si 255.

Adresele IP sunt impartite in functie de pozitia celui mai semnificativ bit de zero din cadrul primului octet, in 5 clase de adrese IP , dupa cum urmeaza:

Prima si ultima adresa din spatiul de adrese al fiecarei retele sunt rezervate pentru a codifica adresa retelei (toti bitii din partea de host in 0) , respectiv adresa de broadcast (toti bitii din partea de host in 1)

Adrese false (nu sunt rutate in internet):

Adresa de loopback: 127.0.0.1

Subretele Din spatiul de adrese destinat statiilor, un numar de biti este folosit pentru adresarea subretelei si restul de biti pentru statii. Specificarea modului in care a fost impartita reteaua in subretele este data de catre masca subretelei.

Masca unei retele (subretele) identifica intr-o adresa IP cati biti codifica partea de retea /subretea (are toti bitii in 1 pentru partea de retea) si cati partea de host (biti de 0 ptr. host) .

DNS (Domain Naming Sistem)

Este un sistem ierarhic de alocare a numelor .a

Numele DNS

Numele ierarhice alocate obiectelor intr-o retea este unica solutie ca doua calculatoare avand acelasi nume dar apartinand unor firme (domenii) diferite, sa poata face parte din aceeasi retea (de exemplu Internet).

Spatiul numelui DNS cuprinde host name (partea din stanga) si domain name (portiunea ramasa). Intregul nume se numeste Fully-Qualified Domain Name FQDN .

Ex: ws01. stsnet .r o

Toate numele DNS sunt originare dintr-un domeniu director top-level domain . Domeniile top-level sunt stocate in servere radacina. Serverele radacina contin (in mod standard) doar inregistrari ale acelor directoare top-level cu care majoritatea oamenilor sunt familiarizati.

Exemple de domenii director sunt: .com, .org, .net, .gov, .edu, etc

Pentru a aloca in internet numele propriu de domeniu al unei organizatii, trebuie avuta in vedere adaugarea la serverele directoare globale DNS a unui nume de domeniu de nivel secundar. Pentru a rezerva un nume in internet trebuie contactate autoritatile in masura sa gestioneze spatiile de nume top-level care va fi radacina numelui nostru.

Pentru domeniul director .ro, accesati www. rnc.ro .

Zona DNS: o portiune a unui nume DNS asupra careia are autoritate un anumit server DNS. Un server DNS central (de baza) trebuie sa-si asume cea mai ultimativa autoritate pentru un subset specific de nume de domeniu.

Server DNS primar este serverul responsabil cu intretinerea inregistrarilor unei zone DNS - contine baza de date primara DNS. Toate actualizarile inregistrarilor se fac pe serverul primar.

Pentru cresterea tolerantei la eroare si pentru cresterea performantei se folosesc servere DNS secundare pentru fiecare zona DNS. Un server secundar contine o baza de date cu aceleasi informatii ca si serverul primar si este folosit pentru a rezolva cereri DNS .

Server DNS master este acel server care este raspunzator de propagarea modificarilor aduse bazei de date DNS aflata pe serverul DNS primar catre serverele secundare dintr-o anumita zona.

Replicarea - transferul de zona - DNS: Procesul folosit pentru a asigura consecventa informatiilor continute in bazele de date ale serverului primar si ale celor secundare pentru o zona DNS .

Exista 2 tipuri de transfer de zona:

All zone transfer (AXFR )- executat de serverul DNS secundar in momentul configurarii sale pentru a obtine o copie a intregii baze de date de pe serverul DNS primar.

Incremental zone transfer (IXFR) - modificarile aduse bazei de date de pe serverul primar sunt comunicate catre serverele secundare.

Transferurile de zona sunt intotdeauna initiate de catre serverele secundare. Acest tip de replicere se numeste pull operation (operatie de extragere).

Un server secundar solicita un transfer de zona daca:

-s-a depasit un interval de timp de la ultima actualizare,

-cand primeste notificare de la serverul master ca s-au adus modificari in baza de date a serverului primar,

-cand se configureaza un serviciu nou DNS pentru zona,

-cand administratorul sistemului initiaza manual transferul de zona.

Solutionarea cererilor catre clienti

Un calculator lanseaza o cerere de adresa IP catre serverul DNS care i-a fost configurat. Acesta verifica in baza de date daca detine acea informatie , daca da , trimite raspunsul clientului care apoi foloseste IP-ul obtinut de la server pentru a se conecta la masina dorita. Daca serverul DNS nu detine informatia solicitata, el va contacta alt server DNS (de obicei un server de nivel radacina), care la randul sau cauta sa solutioneze cererea apeland la servere de nivel ierarhic inferior. Procesul de solutionare a numelor in adrese IP se numeste rezolutie de nume.Procesul prin care serverul contacteaza alte servere pentru a realiza rezolutia de nume se nupeste recurenta. Pentru a dirija (reduce) traficul generat de recurenta in retea, se pot configura serverele DNS ale unui site astfel incat ele sa adreseze cereri de solutionare unui anumit server principal (care va fi directionat catre un sever DNS -din internet de exemplu). Acest proces poarta numele de DNS forwarding.

ACTIVE DIRECTORY

Neajunsurile sistemelor de operare anterioare Windows2000 precum si modificarile cerintelor retelelor actuale si a politicii firmelor, au dus la implementarea de catre Microsoft a conceptului Active Directory, in scopul realizarii unui loc centralizat de stocare a informatiilor necesare administrarii resurselor unei companii.

Neajunsuri Windows NT:

domeniile windows NT se pot organiza pe un singur "nivel" (toti utilizatorii si grupurile sunt stocate ca parte a unui singur nume de spatiu), rezultind dificultati de implementare si administrare in cazul firmelor mari si diversificate.

Avantaje aduse de Active Directory:

Organizare ierarhica, schema extensibila, stocare centralizata dar distribuita a datelor, replicare, usurinta in administrare, securitate sporita, scalabilitate si usurinta cautarii resurselor.

Windows 2003 server

Instalare sistem,

-vizualizati serviciile implicite ce ruleaza pe sistem (observati ca exista doar DNS client nu si DFNS server),

-Adaugati componenta Windows DNS server, apoi consultati continutul campului services-exista deja DNS server.

-Configurarea serviciului DNS cu ajutorul utilitarului Configure DNS server wizard.

-Interesant de testat: daca pe un calculator Windows 2003 server instalam (ruleaza) serviciul DNS server, iar la configurarea IP se omite completarea cimpurilor corespunzatoare adresei DNS, acesta vede serverul DNS propriu si-l va accesa pentru rezolvarea numelor in adrese IP . Verificati configuratia DNS implicita prin comanda nslookup.

Obs: -observati prezenta campurilor Local Users and Groups in fereastra computer management- acestea vor disparea dupa promovarea serverului ca si DC.

- la fel, campul Event Viewer are doar 3 campuri, (dupa promovare verificati aceste foldere).

Promovare DC, configurare FW lookup zone, reverse lookup zone,

Introduceti clienti in domeniu,

Verificti implementarile de mai sus, faceti comparatii implementarea sistemului 112 functional.

OU (Organizational Unit)

Reprezinta cea mai mica unitate de tip container care grupeaza logic obiectele Active Directory din cadrul unei firme astfel incat structura ierarhica creata in cadrul domeniului sa raspunda cerintelor politicii firmei oglindind organizarea administrativa a acesteia.

Proprietatile de baza ale OU:

-OU nu reprezinta oparte a numelui DNS, ci doar o organizare in cadrul unui domeniu

-OU nu ia locul structurii de utilizatori si grupuri folosita in acordarea permisiunilor

-o Unitate Organizationala contine obiecte doar din domeniul din care face parte

- OU reprezinta cea mai mica unitate la care se pot asocia permisiuni

- OU aduc flexibilitate structurii si administrarii resurselor prin usurinta cu care ele pot fi create, mutate sau chiar sterse in cadrul domeniului

- Structura OU suporta mai multe niveluri de ierarhizare, setarile facute asupra unei OU care contine alte child objects vor fi preluate de catre acestea

- in cadrul OU se pot face setari ale politicilor de grup

- Numele OU nu trebuie sa aiba caracter de unicitate, deoarece conteaza si locul sau in ierarhie. Totusi la acelasi nivel ierarhic nu pot exista 2 OU cu acelasi nume

- administrarea OU si implicit a obiectelor continute de acestea se poate usor delega catre utilizatori si grupuri .

Mostenirea permisiunilor

Atunci cand OU sunt mutate in cadrul unei structuri ierarhice, se modifica setarile (aparent de la sine). Acest lucru se intampla deoarece OU mutate preiau setarile noilor parinti, atunci cand sunt mutate. Setarile facute la un OU parinte sunt mostenite la toate OU copii.

Arbori de domenii

Daca din motive variate (numar mare de useri, reducerea traficului WAN, etc) structura unei retele cu un singur domeniu nu reuseste sa satisfaca cerintele unei companii, se impune folosirea domeniilor multiple.

Un arbore ( tree) de domenii este creat atunci cand un nou domeniu este creat (si adaugat) ca si domeniu fiu al unui domeniu existent.

Configurarea Active Directory incepe cu promovarea unui calculator Windows2003 server catre un controlor de domeniu. Astfel am creat primul domeniu din mediul nostru Active Directory. Configurarea unei structuri arbore este usurata de catre wizard-ul Active Directory Instalation Wizard .

Un forest (padure) se creaza atunci cand sunt alaturate 2 sau mai multe domenii care nu impart acelasi nume contiguu. Oricare 2 domenii pot fi unite pentru a forma un forest atata timp cat ele au nume neanrudite ( in caz contrar nu este nevoie de un forest ci de un tree). Configurarea unei paduri se face tot prin procesul de promovare (al unui domeniu cu nume neinrudit cu domeniul parinte al arborelui existent).

Pentru cresterea fiabilitatii retelei , in cadrul unui domeniu functioneaza mai multe servere DC. Acestea impart atributiile de solutionare a cererilor de logon si asigura redundanta in cazul defectarii altui DC din domeniu. Informatia din baza de date Active Directory se pastreaza consecventa datorita replicarii ei intre controlorii de domeniu din cadrul domeniului.

Rolurile unui DC in cadrul Active Directory:

Pentru ca Active Directory sa functioneze bine, anumite modificari pot fi facute doar pe un anumit DC. Aceste servere poarta numele de Flexibile Single Master Operation (FSMO).

Urmatoarele 2 functii pot fi atribuite numai cate unui server DC din Intreaga retea forest:

- Schema Master: toate modificarile schemei trebuie facute pe masina schema master . Implicit, primul DC al padurii de domenii este schema master.

NOTA:Schema contine reguli cu privire la tipul informatiilor continute de Active Directory.

- Domain Naming Master: serveste drept autoritate centrala pentru configurarea Active Directory. Este responsabil de inregistrarea noilor domenii in cadrul Active Directory.

La nivel de domeniu rolurile FSMO sunt:

-Relativ ID Master: este responsabil de crearea tuturor identificatorilor RID din cadrul fiecarui domeniu. RID identifica unic fiecare obiect (useri, grupuri, calc., etc) in cadrul domeniului.Pentru a se asigura identificarea unica a obiectelor in intreg mediul, RID Master lucreaza cu alte RID Master din alte domenii.

PDC Emulator: pentru a putea suporta platforme Windows anterioare Windows 2000, un DC trebuie sa simuleze PDC-ul pentru acestea.( Numai daca se lucreaza in modul mixt).

Infrastructure Master: Daca asupra aceluiasi obiect se fac modificari pe doua servere DC diferite, trebuie sa existe o metoda care sa determine care modificare o precede pe cealalta, si trebuie ca un DC sa comunice celorlalte DC-uri ca modificarea s-a produs.

Obs: O masina poate avea mai multe roluri in acelasi timp.

Majoritatea operatiunilor efectuate asupre obiectelor Active Directory sunt multimaster, adica pot fi facute pe oricare DC din domeniu, fiind apoi transmise spre celelalte DC-uri.

Standardul LDAP: pentru a insera, actualiza si a obtine informatii din cadrul Active Directory, Microsoft a ales sa foloseasca protocolul standard IETF: Lightweight Directory Access Protocol ( LDAP ).

Global Catalog

Intr-un mediu Active Directory avand baze de date distribuite pe DC-uri interconectate la nivel de WAN , o cautare a unui obiect in intregul forest poate sa se desfasoare cu dificultate deoarce presupune interogarea a cate unui DC din fiecare domeniu. Astfel s-a impus crearea unuia sau, a mai multor servere Global Catalog menite sa contina o copie a "catalogului global" . Acesta contine toata schema informatiilor si un subset de atribute pentru toate domeniile din forest.

Nota: cand un utilizator cauta un obiect in intreg mediul Active Directory,acesta acceseaza cel mai apropiat server global catalog care va solutiona cautarea.

Replicarea Active Directory

Oridecate ori este adusa vre-o modificare bazei de date Active Directory, acestei modificari i se atribuie un numar obtinut de catre o secventa logica. Aceasta modificare va fi transmisa prin replicare catre alti controlori de domeniu impreuna cu numarul alocat. Acest numar va fi comparat cu cel al unei alte eventuale modificari aduse aceluiasi obiect (pe un alt DC) si astfel se va rezolva conflictul.

Informatia Active Directory se mentine consecventa prin procesul de replicare . Pentru reducerea traficului datorat replicarii , dar si evitarea situatiei de a avea DC-uri a caror baza de date nu va fi actualizata intervale mari de timp, in functie si de solutiile WAN avute la dispozitie, administratorii de sistem configureaza replicarea Active Directory bazandu-se pe implementarea siteurilor si subretelelor.

Subretea (subnet): o parte a unei retele care contine elemente (in general) bineconectate intre ele din punct de vedere al vitezei si al fiabilitatii legaturii.

Site: grupare logica a unei parti din retea. Site Active Directory este un obiect logic care contine servere si alte obiecte folosite pentru replicarea Active Directory.

Legaturile inter Site-uri sunt create pentru a defini tipul de conexiuni disponibile intre site-uri.

Pentru a configura replicarea, vom crea elementele despre care am vorbit (folosind unealta Active Directory Sites and Services) astfel:

-vom crea site-uri conform structurii fizice si administrative a retelei, apoi

-vom crea subretele pe care le atribuim site-urilor ,

Acesti 2 pasi constituie baza maparii infrastructuriifizice a retelei cu Active Directory.

Urmatorul pas este sa atribuim servere site-urilor pe care le-am creat.

Configurarea replicarii

1.Replicarea intrasite: se refera la replicarea informatiilor Active Directory intre DC-urile din cadrul aceluiasi site (daca site-ul contine mai multe DC-uri ). Site-ul este caracterizat prin interconectarea fiabila si la viteze mari de transfer a elementelor sale. Un DC pe care s-au operat modificari asupra bazei de date Active Directory contacteaza ceilalti controlori de domeniu din cadrul site-ului pentru a compara secventa sa logica de numere alocata modificarilor cu cele ale celorlalte DC -uri . Daca modificarile serverului care a initiat procesul sunt cele mai recente, celelalte isi vor actualiza informatiile astfel incat sa contina noile modificari. Comunicatiile dintre DC-uri in interiorul site-ului au la baza protocolul RPC (Remote Procedure Call). Informatia transferata intre servere nu este comprimata la acest tip de replicare(intrasite).

2.Replicarea intersite: are trasaturi specifice unei interconectari lente si mai putin fiabile intre servere apartinand fiecare altui site.

In functie de solutiile adoptate in configurarea interconectarii pe partea de WAN a site-urilor, replicarea intersite utilizeaza 2 protocoale:

RPC over IP atunci cand conexiunea este destul de fiabila acest protocol este o buna alegere. Comunicatiile IP cer o conectare directa a 2 sau mai multi Controlori de Domeniu din site-uri diferite. Acest protocol se comporta bine si in cazul conexiunilor lente si de proasta calitate care presupun si pierderi sau coruperea datelor.

SMTP(Simple Mail Transfer Protocol) este folosit in cazul legaturilor foarte proaste si nu intotdeauna disponibile. Lucreaza pe principiul store- and- forward (serverul receptioneaza o copie a mesajului, il salveaza pe disc, apoi asteapta sa-l transmita mai departe unui server se mail.Daca serverul destinatie nu este disponibil se reincearca transmiterea la intervale periodice.

O caracteristica a replicarii intersite este comprimarea informatiei transmise.

Topologia replicarii intersite este determinata de folosirea de site link-uri si site link-bridges pe baza unui program definit de administratorii de sistem.

Obiectele Active Directory

In mod implicit, dupa promovarea unui DC, vom vedea urmatoarele sectiuni de organizare in cadrul utilitarului Active Directory Users and Computers:

-Built-in: cuprinde toate grupele standard implicit create la promovarea unui DC folosite pentru administrarea serverului in cadrul retelei

-Computers: cuprinde lista statiilor de locru imediat dupa introducerea lor in domeniu.

-Domain Controllers: contine lista DC-urilor din domeniu.

-Foreign Security Principals: Directori de securitate din afara domeniului curent si carora li se pot acorda permisiuni in interiorul acestui domeniu.

-Users: contine toate conturile de securitate care fac parte din domeniu.

Obiecte Active Directory care pot fi create si administrate in cadrul unui domeniu sunt:

-computer,

-contact -nu sunt directori de securitate.( contin informatii despre anumite persoade din firma),

-Group,

-User,

-Organizational Unit,

-Printer,

-Shared Folder.

Publicarea in Active Directory( list in Active Directory) a folderelor partajate si a imprimantelor este esentiala pentru ca utilizatorii sa le gaseasca si sa le poata utiliza.

Securitatea Active Directory

Active Directory ne ofera informatii despre toti utilizatorii, toate calculatoarele ( si alte resurse ale ) retelei. Aceste informatii determina ce resurse sunt accesibile si caror utilizatori le sunt disponibile.Prin intermediul permisiunilor asociate obiectelor Active Directory, putem avea controlul tuturor aspectelor legate de securitatea retelei.

Nota : Securitatea Active Directory reprezinta doar un aspect al problemelor de securitate dintr-o retea si se refera strict la setarea drepturilor asupra fisierelor imprimantelor si a altor resurse.

Directori de securitate sunt obiecte Active Directory care sunt associate cu SID (Identificatori de securitate).

SID este un identificator unic folosit pentru administrarea oricarui obiect caruia I se poate acorda o permisiune.

Pot fi Directori de securitate conturi de tip:

User : identifica fiecare utilizator din cadrul retelei si reprezinta unitatea fundamentala a administrarii securitatii.

Grups: aceste obiecte pot contine obiecte de tip user sau grup.

Grupurile sunt de 2 feluri

-Security groups folosite pentru acordarea permisiunilor catre useri intr-un mod mai facil.

-Distribution groups folosite doar pentru transmiterea de mesaje email. Grupurile de distributie NU SUNT DIRECTORI DE SECURITATE.

Limitele grupului (grup scope):

Zona de influenta specifica fiecarui grup reprezinta grup scope.

Limitarea unui grup poate fi de 3 feluri :

Domeniu local :conturile Domain Local se aplica numai la calculatorul caruia i se vizualizeaza informatiile.

Global : Aria de aplicatie a unui grup global se limiteaza la un singur domeniu. Sunt folosite pentru administrarea permisiunilor la nivel de domeniu.

Universal : Grupurile de tip universal pot contine utilizatori din orice domeniu al Forestului Active Directory. Sun folosite in administrarea securitatii intre domenii.

Nota : imediat dupa instalarea Active Directory cercetati lista grupurilor locale Built-In , a grupurilor de tip global predefinite si proprietatile lor pentru a intelege rolul lor si a vedea daca plasarea userilor dvs. in aceste grupuri implicite (propuse) satisfac nevoile de securitate pretinse de noi.

De obicei acestor grupuri implicite se adauga grupuri create pentru a contine si administra conturi sub care ruleaza servicii in retea, sau conturi care limiteaza accesul utilizatorilor, etc.

Contul Computer : identifica calculatoarele asociate domeniului. Sunt folosite pentru autentificari. Administratorii de sistem pot aplica restrictii in cadrul setarilor unui anumit calculator ptr. a creste securitatea. Aceste restrictii asupra calculatoarelor se aplica oricarui user logat pe aceste masini ( indifferent de permisiunile acordate contului utilizator ).

Nota : SID se pierde ireversibil la stergerea unui director de securitate, la reintroducerea obiectului in domeniu, el dobandeste un alt SID, asupra caruia trebuie acordate din nou permisiuni.

OU nu sunt directori de securitate , setarile nu se aplica asupra OU ci asupra obiectelor din ea.

Implementarea securitatii in cadrul Active Directory

Metoda generala preferata pentru administrarea securitatii este de a grupa utilizatorii in grupuri pentru ca apoi acestora sa le fie acordate permisiuni la nivel de grup, astfel incat sa poata accesa numai anumite resurse.

Pentru a crea o structura ierarhica (si logica) si pentru a usura foarte mult administrarea userilor la nivel de compartimente , grupurile sunt introduse in Unitati Organizationale catre care se pot atribui setari ale politicilor de grup.

Utilitarul folosit pentru a crea obiecte de tip user, group, computer, OU, pentru a le putea grupa apoi in vederea setarilor securitatii este Active Directory Users and groups.

Administrarea securitatii Active Directory si in cadrul controlorului de domeniu poate fi facuta cu ajutorul utilitarelor disponibile in Administrativ Tools :

Local security policy : folosit daca doriti setari particulare ale securitatii pentru calculatorul local.

Domain security Policy : vizualizeaza setarile de securitate care se aplica tuturor obiectelor din cadrul unui domeniu. Aceste setari se aplica tuturor DC-urilor din domeniu.

Domain Controller Security Policy: optiunile sunt similare cu cele ale domain security policy, cu mentiunea ca se aplica doar DC-ului pe care se configureaza setarile.( se utilizeaza pentru a realiza setari speciale doar pentru un DC al domeniului).

Delegarea controlului asupra obiectelor Active Directory reprezinta procesul prin care un administrator (cu mai multe permisiuni), acorda permisiuni asupra unui obiect Active Directory (de exemplu OU) altor utilizatori.

Pentru a efectua setari ale securitatii la nivel de OU, se creaza obiecte de tip Grup Policy care apou sunt link-ate (legate, atribuite) catre Unitatile Organizationale .

GPO reprezinta o grupare a setarilor Group policy. Group Policy se bazeaza pe forme administrative prestabilite( administrative templates) care ofera o lista de optiuni de configurare, intr-o forma usor de folosit.

Elementele Group Policy cuprinse intr-un GPO au trei posibilitati de setare: Enabled, Disabled, sau Not Configured. Se recomanda citirea explicatiilor oferite in tab-ul explain inainte de salvarea modificarilor facute.

Setarile GPO se aplica pentru 2 tipuri de obiecte: Users si Computers.

Tipuri principale de setari :

Software Settings , Windows settings, si Administrative templates.

Verificati cu atentie fiecare setare disponibila in cadrul grupelor prezentate mai sus si testati in cadrul laboratorului efectele lor prin crearea de GPO atribuite catre OU.

Utilitare folosite: Active Directory Sites and services si Active directory Users and computers.

Veti observa urmatoarele:

-GPO se pot atribui la nivel de: SITE, DOMAINS, si OU.

-Setarile GPO se mostenesc de la obiecte parinti la obiecte copii.

Mostenirea poate fi blocata de catre administrator prin setarea block policy inheritance sau poate fi fortata sa se aplice prin setarea no owerride.

UTILE:

Pentru ca o politica sa se aplice unui grup, trebuie ca in tab-ul security sa fie bifate cel putin optiunile read si Apply Group Policy.

(Optiunea Apply Group policy este folosita pentru filtrarea domeniului de aplicare a obiectului GPO.) Procesul prin care selectam daca asupra unui grup de securitate se aplica sau nu setarile unui GPO se numeste FILTRARE.

Controlul administrative al GPO poate fi delegat cu ajutorul Delegation of control wizard.

Pentru a forta calculatoarele client sa-si actualizeze informatiile cu privire la setarile de securitate Gpoup Policy, folositi comanda :

gpupdate /force , intr-o fereastra run.

Atentie!

Daca la niveluri ierarhice diferite se atribuie setari GPO contradictorii, va avea effect, implicit, setarea link-ata nivelului cel mai mic, fiind ignorata setarea mostenita. Toate celelalte elemente ale GPO mostenite se vor aplica.

Daca intervine conflict intre setarile utilizator si calculator, setarile utilizator vor avea effect.