Group Policy Preferences, GPO, GPMC, GPME

Group Policy Object Editor (GPedit)

Na Microsoft Windows 2000/XP a vyšších můžeme editovat Group Policy pro lokální počítač pomocí nástroje Group Policy Object Editor, který je součástí systému. Jedná se o Snap-in do Microsoft Management Console - MMC, který můžeme spustit buď přímo zadáním gpedit.msc nebo pomocí mmc.exe (Microsoft Management Console), kde přidáme Snap-in Group Policy Object Editor. Pokud využijeme mmc, tak si můžeme vybrat, zda se chceme připojit k lokálnímu počítači, k jinému počítači v síti či doménové politice, tedy k Group Policy Object (GPO).

Malá rada pro začátečníky. MMC je velice dobrý nástroj, můžeme si do něj načíst všechny důležité snap-iny pro správu domény (já jich mám 17), a uložit. Potom otevíráme pouze jeden program (s právy doménového admina) a máme přístupné všechny potřebné nástroje.

Group Policy Management Console (GPMC)

Spolu s Windows Server 2003 vydal MS nový nástroj pro správu Group Policy, jedná se o Group Policy Management Console. Na serveru 2003 se tento nástroj nachází přímo v systému, pokud chceme doménu spravovat z Windows XP stanice (a může se jednat i o doménu WIndows Server 2000), tak jej můžeme stáhnout z MS - Group Policy Management Console with SP1. Spustit jej můžeme opět přímo zadáním gpmc.msc nebo přidáním Snap-inu Group Policy Management do mmc.

GPMC slouží ke správě doménových GPO. Obsahuje seznam všech objektů skupinových politik v doméně, strukturu organizačních jednotek (OU) domény, kde můžeme linkovat a povolovat/vypínat jednotlivé GPO, podporuje zálohu/obnovu a import GPO. Navíc obsahuje nástroj Group Policy Results, který nabízí obdobu příkazu gpresult.exe. Tedy pro vybraný počítač a uživatele zobrazí, jak se aplikovaly politiky. A nástroj Group Policy Modeling, který simuluje aplikaci politik (z množstvím nastavení). GPMC nám zobrazí pouze hodnoty z GPO, které byly změněny, takže jednoduše nalezneme, co daná politika provádí. Pokud chceme editovat GPO, tak se otevře GPEDIT, v kterém se otevře daná politika.

Group Policy Preferences (GPP)

S příchodem Windows Server 2008 došlo k dalšímu rozšíření Group Policy, jedná se o Group Policy Preferences. Abychom mohli GPP konfigurovat, tak potřebujeme mít nainstalován Remote Server Administration Tools (RSAT). Ten je součástí serveru 2008 a je možné jej doinstalovat do Windows Vista SP1 x86 a x64. RSAT obsahuje upravenou verzi Group Policy Management Console spolu s Group Policy Management Editor.

Abychom mohli GPP používat, tak stačí mít doménu Windows Server 2003. Nepotřebujeme žádný server s Windows Server 2008, ale potřebujeme alespoň jednu stanici s Windows Vista, z které budeme politiky vytvářet. Standardně se budou GPP uplatňovat pouze na server 2008, ale pro Windows XP SP2 x86 a x64, Windows Vista x86 a x64 a Windows Server 2003 SP1 x86 a x64 existuje Group Policy Preference Client Side Extensions (CSE). CSE můžeme nainstalovat manuálně nebo jako volitelný update z Windows Update kb943729.

Pokud s RSAT otevřeme GPMC a na nějaké politice zvolíme edit, tak se neotevře GPedit, ale nový Group Policy Management Editor (dá se spustit přímo jako gpme.msc). Ten pod Computer a User Configuration obsahuje nové rozdělení na Policies a Preferences.

Group Policy Preferences se ukládají stejně jako Policies (dohromady jako GPO) do složky SYSVOL na doménových řadičích. Ale konfigurace GPP je uložena v XML souborech, takže klient musí obsahovat XML parser.

GPP přináší více než 20 nových rozšíření GP. Navíc je zde i rozdílný způsob aplikace. Politiky, které jsme nastavili, se vynutí na stanici a není možné je změnit (volba zašedne). Kdežto preference můžeme upravit a buď se po nějaké době (group policy refresh interval, default 90 minut) opět přenastaví nebo zvolíme možnost, že se uplatní pouze jednou (možnost Apply once and do not reapply). Také je zde vlastnost zvaná Item-level targeting. Ta nám dovoluje velice detailně určit, na jaké počítače se má daná GPP uplatnit. V podmínkách můžeme použít řadu hodnot, jako MAC adresu, LDAP dotaz, WMI, volné místo na disku, atd. Pokud se aplikovala politika a počítač/uživatel přestal být v rozsahu aplikace této politiky, tak se všechna nastavení odstranila. U GPP je defaultní chování, že hodnoty zůstanou nastaveny stále (ale můžeme změnit zaškrtnutím Remove this item when it is no longer applied).

Pozn.: Policies se označují jako registry-based settings, jejich nastavení se provede pomocí registrů. Preferences oproti tomu mohou konfigurovat více než jen registry.

Některé z možností, které přináší GPP jsou: mapování síťových disků, úpravy lokáních uživatelů a skupin, kopírování souborů, vytváření zástupců, práce s registry, nastavení proměnných prostředí, konfigurace VPN spojení, nastavování vlastností složek a řada dalších.

Níže uvádím dva příklady použití GPP na operace, které se dříve prováděli komplikovaněji.

Mapování síťového disku

Myslím, že je běžnou operací ve firemním prostředí, mapovat všem (nebo určitým skupinám) uživatelům, nějaké společné datové úložiště jako síťový disk. Donedávna to bylo třeba provádět pomocí login skriptu. Dnes máme GPP, které to řeší elegantněji.

• spustíme Group Policy Management (Start > Administrative Tools)
• doklikáme se na kontejner (OU), na který chceme nastavení aplikovat
• klikneme na něj pravým tlačítkem a zvolíme Create a GPO in this domain, and Link it here …
• zadáme jméno a klikneme OK, tím se nám vytvořil GPO
• klikneme na něj pravým tlačítkem a zvolíme Edit
• GPO se otevře v Group Policy Management Editor
• rozklikneme User Configuration > Preferences > Windows Settings > Drive Maps
• klikneme pravým tlačítkem a zvolíme New > Mapped Drive

• zvolíme parametry pro mapovaný disk, v praxi se mi osvědčila akce Create (zkoušel jsem Replace, která by měla v případě existence mapovaného disku, jej nejprve zrušit, ale nějak se mi nedařilo)

• na záložce Common zaškrtneme Run in logged-on user’s security context (user policy option), aby se disk připojoval s právy aktuálně přihlášeného uživatele

• pozavíráme okna a máme hotovo

Změna hesla lokálního administrátora

Druhou zajímavou úlohou, kterou můžeme řešit pomocí GPP a dříve to byl problém, je změna parametrů lokálního účtu (hlavně heslo).

• spustíme Group Policy Management (Start > Administrative Tools)
• doklikáme se na kontejner (OU), na který chceme nastavení aplikovat
• klikneme na něj pravým tlačítkem a zvolíme Create a GPO in this domain, and Link it here …
• zadáme jméno a klikneme OK, tím se nám vytvořil GPO
• klikneme na něj pravým tlačítkem a zvolíme Edit
• GPO se otevře v Group Policy Management Editor
• rozklikneme Computer Configuration > Preferences > Control Panel Settings > Local Users and Groups
• klikneme pravým tlačítkem a zvolíme New >Local User

• vyplníme údaje o upravovaném uživateli, v našem případě zvolíme akci Update, protože chceme upravovat již existující účet (to je důležité, protože zůstává zachováno původní SID a tudíž i oprávnění)
• protože chceme upravit účet lokálního administrátora, tak je vybereme z nabídky (ostatní zadáme ručně), můžeme jej přejmenovat (což je dobré bezpečnostní opatření) a nastavit další parametry

• pozavíráme okna a máme hotovo

Samozřejmě je zde otázka bezpečnosti takovéhoto nastavení. Dobrá zpráva je, že hesla jsou v GPP uložena šifrována pomocí 256 bitové AES enkrypce. Ale nachází se takto uložena v XML souboru, který může kdokoliv získat.

Související články:

Group Policy

• Group Policy Preferences, GPO, GPMC, GPME [16.03.2009 18:09] právě čtete
• Group Policy - řízení aplikace politik [12.12.2010 17:42]
• MS Outlook a konfigurace pomocí Group Policy [23.03.2011 16:30]
• Group Policy - Administrative Templates [19.01.2011 18:16]
• Group Policy - Politiky hesel a zamykání účtů [21.02.2011 18:46]
• Auditování AD DS objektů ve Windows Server 2008 [26.03.2011 19:23]