Group Policy Object Editor (GPedit)
Na Microsoft Windows 2000/XP a vyšších můžeme editovat Group Policy pro lokální počítač pomocí nástroje Group Policy Object Editor, který je součástí systému. Jedná se o Snap-in do Microsoft Management Console - MMC, který můžeme spustit buď přímo zadáním gpedit.msc nebo pomocí mmc.exe (Microsoft Management Console), kde přidáme Snap-in Group Policy Object Editor. Pokud využijeme mmc, tak si můžeme vybrat, zda se chceme připojit k lokálnímu počítači, k jinému počítači v síti či doménové politice, tedy k Group Policy Object (GPO).
Malá rada pro začátečníky. MMC je velice dobrý nástroj, můžeme si do něj načíst všechny důležité snap-iny pro správu domény (já jich mám 17), a uložit. Potom otevíráme pouze jeden program (s právy doménového admina) a máme přístupné všechny potřebné nástroje.
Narazil jsem na situaci, kdy jsem lokálně spustil gpedit.msc a pod kontejnery Administrative Templates chyběla většina voleb. Jde o to, že tento kontejner je modulární a můžeme do něj přidávat připravené šablony (přípona adm). Některé se otevírají automaticky, ale mohou se smazat. Takže je stačí opět přidat, například přidání System:
- klikneme pravým tlačítkem na Computer Configuration – Administrative Templates
- vybereme Add/Remove Templates
- klikneme na Add
- vybereme soubor
system.adm (C:\windows\inf)
Group Policy Management Console (GPMC)
Spolu s Windows Server 2003 vydal MS nový nástroj pro správu Group Policy, jedná se o Group Policy Management Console. Na serveru 2003 se tento nástroj nachází přímo v systému, pokud chceme doménu spravovat z Windows XP stanice (a může se jednat i o doménu WIndows Server 2000), tak jej můžeme stáhnout z MS - Group Policy Management Console with SP1. Spustit jej můžeme opět přímo zadáním gpmc.msc nebo přidáním Snap-inu Group Policy Management do mmc.
GPMC slouží ke správě doménových GPO. Obsahuje seznam všech objektů skupinových politik v doméně, strukturu organizačních jednotek (OU) domény, kde můžeme linkovat a povolovat/vypínat jednotlivé GPO, podporuje zálohu/obnovu a import GPO. Navíc obsahuje nástroj Group Policy Results, který nabízí obdobu příkazu gpresult.exe. Tedy pro vybraný počítač a uživatele zobrazí, jak se aplikovaly politiky. A nástroj Group Policy Modeling, který simuluje aplikaci politik (z množstvím nastavení). GPMC nám zobrazí pouze hodnoty z GPO, které byly změněny, takže jednoduše nalezneme, co daná politika provádí. Pokud chceme editovat GPO, tak se otevře GPEDIT, v kterém se otevře daná politika.
Group Policy Preferences (GPP)
S příchodem Windows Server 2008 došlo k dalšímu rozšíření Group Policy, jedná se o Group Policy Preferences. Abychom mohli GPP konfigurovat, tak potřebujeme mít nainstalován Remote Server Administration Tools (RSAT). Ten je součástí serveru 2008 a je možné jej doinstalovat do Windows Vista SP1 x86 a x64. RSAT obsahuje upravenou verzi Group Policy Management Console spolu s Group Policy Management Editor.
Abychom mohli GPP používat, tak stačí mít doménu Windows Server 2003. Nepotřebujeme žádný server s Windows Server 2008, ale potřebujeme alespoň jednu stanici s Windows Vista, z které budeme politiky vytvářet. Standardně se budou GPP uplatňovat pouze na server 2008, ale pro Windows XP SP2 x86 a x64, Windows Vista x86 a x64 a Windows Server 2003 SP1 x86 a x64 existuje Group Policy Preference Client Side Extensions (CSE). CSE můžeme nainstalovat manuálně nebo jako volitelný update z Windows Update kb943729.
Pokud s RSAT otevřeme GPMC a na nějaké politice zvolíme edit, tak se neotevře GPedit, ale nový Group Policy Management Editor (dá se spustit přímo jako gpme.msc). Ten pod Computer a User Configuration obsahuje nové rozdělení na Policies a Preferences.
Group Policy Preferences se ukládají stejně jako Policies (dohromady jako GPO) do složky SYSVOL na doménových řadičích. Ale konfigurace GPP je uložena v XML souborech, takže klient musí obsahovat XML parser.
GPP přináší více než 20 nových rozšíření GP. Navíc je zde i rozdílný způsob aplikace. Politiky, které jsme nastavili, se vynutí na stanici a není možné je změnit (volba zašedne). Kdežto preference můžeme upravit a buď se po nějaké době (group policy refresh interval, default 90 minut) opět přenastaví nebo zvolíme možnost, že se uplatní pouze jednou (možnost Apply once and do not reapply). Také je zde vlastnost zvaná Item-level targeting. Ta nám dovoluje velice detailně určit, na jaké počítače se má daná GPP uplatnit. V podmínkách můžeme použít řadu hodnot, jako MAC adresu, LDAP dotaz, WMI, volné místo na disku, atd. Pokud se aplikovala politika a počítač/uživatel přestal být v rozsahu aplikace této politiky, tak se všechna nastavení odstranila. U GPP je defaultní chování, že hodnoty zůstanou nastaveny stále (ale můžeme změnit zaškrtnutím Remove this item when it is no longer applied).
Pozn.: Policies se označují jako registry-based settings, jejich nastavení se provede pomocí registrů. Preferences oproti tomu mohou konfigurovat více než jen registry.
Některé z možností, které přináší GPP jsou: mapování síťových disků, úpravy lokáních uživatelů a skupin, kopírování souborů, vytváření zástupců, práce s registry, nastavení proměnných prostředí, konfigurace VPN spojení, nastavování vlastností složek a řada dalších.
Doplněno: Microsoft v roce 2014 zjistil, že ukládání hesel pomocí Preferences není bezpečné, takže nyní tuto možnost blokuje. Tím se značně omezují možnosti. Podrobný popis je v MS14-025: Vulnerability in Group Policy Preferences could allow elevation of privilege: May 13, 2014.
Níže uvádím dva příklady použití GPP na operace, které se dříve prováděli komplikovaněji.
Mapování síťového disku
Myslím, že je běžnou operací ve firemním prostředí, mapovat všem (nebo určitým skupinám) uživatelům, nějaké společné datové úložiště jako síťový disk. Donedávna to bylo třeba provádět pomocí login skriptu. Dnes máme GPP, které to řeší elegantněji.
- spustíme Group Policy Management (Start > Administrative Tools)
- doklikáme se na kontejner (OU), na který chceme nastavení aplikovat
- klikneme na něj pravým tlačítkem a zvolíme Create a GPO in this domain, and Link it here …
- zadáme jméno a klikneme OK, tím se nám vytvořil GPO
- klikneme na něj pravým tlačítkem a zvolíme Edit
- GPO se otevře v Group Policy Management Editor
- rozklikneme User Configuration > Preferences > Windows Settings > Drive Maps
- klikneme pravým tlačítkem a zvolíme New > Mapped Drive
- zvolíme parametry pro mapovaný disk, v praxi se mi osvědčila akce Create (zkoušel jsem Replace, která by měla v případě existence mapovaného disku, jej nejprve zrušit, ale nějak se mi nedařilo)
- na záložce Common zaškrtneme Run in logged-on user’s security context (user policy option), aby se disk připojoval s právy aktuálně přihlášeného uživatele
- pozavíráme okna a máme hotovo
Změna hesla lokálního administrátora
Pozn.: Tuto metodu již nelze použít, více info v článku Vzdálená změna hesla lokálních uživatelů Windows.
Druhou zajímavou úlohou, kterou můžeme řešit pomocí GPP a dříve to byl problém, je změna parametrů lokálního účtu (hlavně heslo).
- spustíme Group Policy Management (Start > Administrative Tools)
- doklikáme se na kontejner (OU), na který chceme nastavení aplikovat
- klikneme na něj pravým tlačítkem a zvolíme Create a GPO in this domain, and Link it here …
- zadáme jméno a klikneme OK, tím se nám vytvořil GPO
- klikneme na něj pravým tlačítkem a zvolíme Edit
- GPO se otevře v Group Policy Management Editor
- rozklikneme Computer Configuration > Preferences > Control Panel Settings > Local Users and Groups
- klikneme pravým tlačítkem a zvolíme New >Local User
- vyplníme údaje o upravovaném uživateli, v našem případě zvolíme akci Update, protože chceme upravovat již existující účet (to je důležité, protože zůstává zachováno původní SID a tudíž i oprávnění)
- protože chceme upravit účet lokálního administrátora, tak je vybereme z nabídky (ostatní zadáme ručně), můžeme jej přejmenovat (což je dobré bezpečnostní opatření) a nastavit další parametry
- pozavíráme okna a máme hotovo
Samozřejmě je zde otázka bezpečnosti takovéhoto nastavení. Dobrá zpráva je, že hesla jsou v GPP uložena šifrována pomocí 256 bitové AES enkrypce. Ale nachází se takto uložena v XML souboru, který může kdokoliv získat.
Komentáře
Dd,
je potreba neco specialniho poustet na Windows 2003 pokud chci pouzivat RSAT pto upravu GPO v domene 2003? Nejak se mi nedari na server pripojit. Dekuji.
odpověď na [1]Safranek Jaroslav: Myslím, že dokud jsme měli doménu 2003, tak RSAT fungoval bez problémů.
podla mojich skusenosti funguje spolahlivo v 2003 aj 2008 verzii domeny
Zdravim,
ve vysledne sade zasad se mi projevi zmeny napriklad ze sablon pro spravu, ale z prevoleb (prave jako mapovani sitoveho disku) uz ne, stanice je XPP, server 2008 std. Nevite kde by mohla byt potiz?
odpověď na [4]Milan: Nevím, jestli dotazu rozumím správně. Ale jak jsem psal v článku, na Windows XP je potřeba nahrát patch, aby podporoval Group Policy Preferences.
Mám soubor *.reg na úpravu hodnoty v registru. Je nějaká možnost jak tento reg soubor spouštět přes Group Policy?
je to super článek děkuji, ale kdyby za anglickými názvy funkcí apd. byl v závorce český název, tak bych se vůbec nezlobil
, doba je již pokročilá a spousta adminů vč mě používá CZ lokalizovaný server, navíc mi dělá problém dešifrování zkratek viz "OU", jinak 
odpověď na [7]Milan S.: Já mám všechny servery v AJ, takže je těžké uhodnout, jaký český název MS zvolil
. Na prvním místě, kde je zkratka OU použita, je i její význam "organizační jednotka", jinak se těmhle základním věcem věnuji v několika jiných článcích 
.
odpověď na [8]Samuraj: ahoj, děkuji za bleskovou odpověď, nakonec se mi to podařilo najít a nastavit, ale nefunguje mi to (změna hesla local admina), na ikoně admina mi svítí žlutý trojúhelníček, je to OK nebo to značí nějaký problém/omezení? jinak jsem vytvořil GPO na OU "Domain Controllers" je to dobře? nebo jsem GPO měl vytvořit už na domain.local?
odpověď na [9]Milan S.: Žlutý trojúhelník by neměl být problém, informuje o jakou jde akci (update). Musíte to linkovat na kontejner, kde se nachází počítače, kde se má měnit heslo. To asi nebude Domain Controllers (tento postup je změna lokálních uživatelů ne doménových).
odpověď na [10]Samuraj: aha už to chápu
no mé snažení je, jestli je to vůbec možné, se přihlásit s lokálním účtem admina na DC (doménový řadič) heslo lokálního admina jsem zapoměl a potřebuji v nouzáku něco odinstalovat, ale nemůžu se do něj přihlásit, páč to řve, že není doména spuštěna/k dispozici a lokál nejde, protože neznám heslo a už mě nenapadá co s tím 
odpověď na [11]Milan S.: Jakmile se server povýší na DC, tak nejsou k dispozici lokální účty. Dá se nastartovat pouze do Directory Services Restore Mode.
odpověď na [12]Samuraj: jj to jsem taky zjistil, ale ani tak se tam nedá přihlásit, píše to stejně jako při normálním běhu, že doména není k dispozici, nemůžu mít nastavené blbě DNS na DC? mám 127.0.0.1, nemá tam být IP DC? protože to už řeším nějakou dobu a zkouším už i nemožné
odpověď na [13]Milan S.: Když se přihlašujete lokálně, tak to musíte definovat (že jde o přihlášení k PC a ne doméně). Třeba pomocí ".\administrator"
odpověď na [14]Samuraj: ano jen místo ".\administrator" dávám jméno serveru "server\administrator" a to mi pak hodí chybu, že je zadáno špatné heslo ať dám jaké chci, třeba i to admina v doméně
Zdravím, zrovna se zabývám GPP, na Win 7 mi všechno šlape v pohodě, ale mám problémy s Win XP. Vím, že je potřeba doinstalovat aktualizaci kb943729, tu jsem stahl z Microsoftu a nainstaloval, neprojevila se žádná změna, když jsem pak kouknul do instalovanejch aktualizací tuhle jsem tam nenašel, přitom při instalaci se nevyskytl problém...
Na některých forech jsem nasel, ze je treba nainstalovat jeste aktualizaci kb914783, ta mi ale píše, že se neshoduje jazyk OS s požadovaným..
Prosím poraďte, jak to rozchodit na XP, předem díky.
Ahoj, ja som nainštaloval W2012 server, vytvoril učty užívateľov, nastavil som práva na file server. Po nastavení mapovania diskov podľa vyššie uvedeného návodu, tretí mapovaný disk sa nenamapuje a dochádza po nejakom čase cca. 1hod. k strate prístupu.
Pri mapovaní nemá byť zapnutá voľba Aply once?
Ahoj, při pokusu nastavit lokálního administrátora přes GPO dle návodu mám "zašedlé" pole pro zadání a kontrolu hesla - nemohu heslo nastavit / změnit.
Neví někdo, kde se to dá povolit?
odpověď na [18]spojstroj: Popisuji to v novějším článku www.samuraj-cz.com/clanek/vzdalena-zmena-hesla-lokalnich-uzivatelu-windows/.