forum

www.SAMURAJ-cz.com 

18.05.2012 Nataša VÍTEJTE V MÉM SVĚTĚ

Články

Group Policy - řízení aplikace politik

Neděle, 12.12.2010 17:42 | Samuraj | Microsoft admin
Group Policy (skupinové politiky) slouží k centrální správě počítačů s pomocí Active Directory. Hlavně se tedy využijí pro počítače zařazené do domény. Můžeme ale využít i lokální politiky (Local Group Policy), které nabízí o něco omezenější funkčnost, ale fungují i na samostatné počítače. Nově máme nejen Group Policy, ale také Group Policy Preferences, které mají trochu odlišné chování. Zde se podíváme na to, jak se Group Policy aplikují na objekty (uživatelé a počítače), jak je můžeme filtrovat, využít Loopback processing nebo hledat chyby při aplikování.

Nastavení a vytváření Group Policy dnes provádíme nejčastěji pomocí Group Policy Management Console (GPMC, ten budeme také používat v celém článku), dříve (nebo pro lokální politiky) se používal Group Policy Object Editor (GPedit). Nastavení se ukládají do Group Policy Object (GPO). Group Policy mají několik pevně daných částí (podle verze OS) a pak možná rozšíření pomocí Administrative Templates. Nejčastěji upravují registry, ale také mohou měnit bezpečnostní nastavení, instalovat SW, nastavovat Internet Explorer, apod.  Politiky mají dvě hlavní částí Computer Configuration a User Configuration.

Group Policy struktura

Group Policy nejčastěji fungují na principu úprav registrů na klientské stanici či serveru. Část Computer Configuration se týká nastavení pro počítač, tyto nastavení se mohou aplikovat na počítačové objekty v Active Directory (uplatňuje se na vybraný počítač a nezáleží na přihlášeném uživateli). Upravují větev registrů HKEY_LOCAL_MACHINE (HKLM), například HKLM\Software\Policies\Microsoft\Windows, HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

Část User Configuration se týká nastavení pro uživatele, politiku s tímto nastavením můžeme aplikovat na uživatelské účty v Active Directory (uplatňuje se na vybraného uživatele a nezáleží na jakém počítači). Upravuje větev registrů HKEY_CURRENT_USER (HKCU), například  HKCU\Software\Policies\Microsoft\Windows, HKCU\Software\Microsoft\Windows\CurrentVersion\Policies.

Politiky aplikované na počítač se standardně uplatňují při startu počítače, politiky aplikované na uživatele probíhají při přihlášení uživatele. Obě se pak aplikují při periodické obnově Group Policy (to je standardně každých 90 minut + náhodný posun o až 30 minut). Aplikaci politik také můžeme vynutit ručně pomocí příkazu

gpupdate /force

Aplikace politik

Group Policy se aplikují tak, že je spojíme s nějakým kontejnerem (link to). Jedná se o Active Directory kontejnery site, doména (domain) či organizační jednotka (OU - Organization Unit).

Link GPO

Při aplikaci politik se uplatňuje dědění (inheriting), dané hierarchickou strukturou AD, a souhrnný účinek (cumulative). To znamená, že se politika, aplikovaná na OU, projeví na všech počítačích a uživatelích, kteří se nachází v této a ve vnořených OU. Když je více politik, tak se jejich účinek spojuje dohromady. Samozřejmě, pokud politika obsahuje pouze část pro počítač, tak se sice na uživatele aplikuje, ale nemá žádný efekt. Navíc záleží na tom, jestli počítač nebo uživatel má na danou politiku práva (tak se využívá filtrování).

Politiky se zpracovávají postupně, později zpracovaná politika může přepsat nastavení předchozí. Postupuje se v pořadí lokální GPO, site, doména, OU, poslední je OU nejblíže k objektu. Politiky na jednom kontejneru se zpracovávají v pořadí, v jakém jsou nastaveny na záložce Linked Group Policy Objects.

Linked Group Policy Objects

Vypnutí části politiky

I když politika obsahuje pouze jednu část (počítačovou nebo uživatelskou), tak se standardně zpracovává na všech objektech (uživatelé a počítače), které se nachází v rozsahu aplikace. Zpracování každé politiky, i prázdné, zatěžuje cílový počítač. Takže je vhodné u politik, kde využíváme pouze jednu část, tu druhou vypnout. Také je vhodné minimalizovat počet politik, tím že je sloučíme do jedné.

Na politice se přepneme na záložku Details a zde je položka GPO Status. Můžeme nastavit jednu ze čtyř hodnot.

  • Enabled - vše zapnuto
  • All settings disabled - vše vypnuto
  • Computer configuration settigs disabled - aplikuje se pouze uživatelská část
  • User configuration settigs disabled - aplikuje se pouze počítačová část
Vypnutí části politiky

Loopback processing

Občas se může stát, že potřebujeme aplikovat nějaké uživatelské nastavení, ale přiřadit jej počítači. Aby jakýkoliv uživatel, který se přihlásí na tento počítač, měl dané nastavení. Ale pokud se připojí jinde, tak i nastavení může být jiné. To se týká například terminálových serverů, notebook vs. pracovní stanice, apod.

Abychom toho dosáhli, tak můžeme využít Group Policy v režimu zpracování Loopback. Může být buď v módu Replace, kdy nahrazuje nastavení, které je aplikované pro uživatele, nebo Merge, kdy se obě nastavení spojí. Nastavení se provede v dané politice. Hodnota Computer Configuration - Administrative Templates - System - Group Policy - User Group Policy loopback processing mode. Nastavíme Enabled a vybereme Mode Replace nebo Merge.

Takto příjemné mi to připadalo, když jsem si o této metodě četl. Bohužel v praxi člověk zjistí, že je toto řešení téměř nepoužitelné. Nejedná se totiž o nastavení dané politiky, abychom mohli zařídit, že to jedno určité nastavení podle počítače se provede na uživateli. Ale jde o globální nastavení, kterým nastavíme chování počítačů, na které se aplikuje. Takže se potom uplatní na všechny politiky.

Znamená to tedy, když máme nastavený mód Replace, tak se nepoužijí žádné politiky, které jsou aplikované jen na uživatele. Musíme uživatelské politiky přiřazovat počítačům. Můžeme politiky nastavit třeba pro celou doménu, ale přijdeme pak o cílení politik na určité OU s uživateli (což nám asi vždy bude vadit). Nebo můžeme použít mód Merge, tehdy se uplatňují politiky, které jsou aplikované na uživatele, i politiky na počítač. Jenže tím se prodlouží doba zpracovávání politik, mohou vzniknout neočekávané situace a těžce se pak řeší troubleshooting.

GPO Loopback processing

Omezování aplikace politiky

Filtrování aplikace politiky

Pro dynamické řízení, na jaké počítače a uživatele se má politika aplikovat, můžeme použít WMI Filtering nebo Security Filtering. Pomocí WMI (Windows Management Instrumentation) můžeme vytvořit filtry, které zjistí různé údaje o počítači a politika se pak aplikuje pouze na ty, které splňují danou podmínku. Příkladem je třeba určitá verze OS. Security filtrování zase povolí politiku pouze těm, kteří jsou členem určité bezpečnostní skupiny nebo určité počítače či uživatelé.

Zrušení dědění

Jiná možnost jak řídit aplikaci politiky je, že pro určitý kontejner můžeme zrušit dědění. Klikneme pravým tlačítkem na objekt a zvolíme Block Inheritance, tím se přestanou zpracovávat všechny nadřazené politiky mimo vynucených.

Jinou možností je naopak vynutit aplikaci politiky, aby například nemohla být přepsána (a ani blokována). Klikneme pravým tlačítkem na politiku a zvolíme Enforced.

Jaké politiky jsou na objektu uplatňovány, se můžeme podívat na záložce Group Policy Inheritance. Vidíme zde i pořadí zpracování.

Group Policy Inheritance

Kontrola aplikování politik

Součástí Group Policy Management Console jsou dva nástroje, které můžeme použít při řešení problémů. Group Policy Results nám pro vybraný počítač a uživatele vrátí online informace o aplikovaných politikách, včetně chyb. Informace získává přímo z DC a daného počítače. Jedná se o velice užitečný nástroj. Druhý nástroj je Group Policy Modeling, který provede simulaci aplikace politik a zobrazí výsledek.

zobrazeno: 4977krát | Komentáře [0]

Související články:

Group Policy

Základem centrální správy počítačů v doméně jsou určitě skupinové politiky (Group Policy). Pomocí nich můžeme řídit nastavení, bezpečnost a chování pracovních stanic a serverů.
Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách