Asi každý správce MS domény využívá Group Policy. Myslím, že se jedná o výbornou vlastnost, i když její vznik se již datuje řadu let nazpátek. Nedávno, s příchodem Windows Server 2008, rozšířil MS Group Policy o další možnosti a vlastnosti zvané Group Policy Preferences. Stručný popis těchto novinek přináší tento článek. Poznámka na okraj, od té doby co znám Group Policy, je používám i lokálně na domácím PC. Je to jednodušší než nastavovat různé vlastnosti třeba přes registry.

Group Policy (skupinové politiky) slouží k centrální správě počítačů s pomocí Active Directory. Hlavně se tedy využijí pro počítače zařazené do domény. Můžeme ale využít i lokální politiky (Local Group Policy), které nabízí o něco omezenější funkčnost, ale fungují i na samostatné počítače. Nově máme nejen Group Policy, ale také Group Policy Preferences, které mají trochu odlišné chování. Zde se podíváme na to, jak se Group Policy aplikují na objekty (uživatelé a počítače), jak je můžeme filtrovat, využít Loopback processing nebo hledat chyby při aplikování.

Group Policy se skládají ze dvou hlavních částí, konfigurace počítače (Computer Configuration) a konfigurace uživatele (User Configuration). Obě části mají rozdílné jednotlivé položky (možnosti nastavení), ale mají společné kategorie. To je Software Settings, Windows Settings a Administrative Templates. První dvě jsou pevně dány, kdežto Administrative Templates se načítají z konfiguračních souborů (ADM a ADMX/ADML) a můžeme je i sami rozšiřovat. Obsahují politiky založené na registrech. V tomto článku se budeme věnovat právě oblasti Administrative Templates a k jakým změnám došlo při příchodu Windows Server 2008.

V každé síti je třeba řídit bezpečnost. Jedním z hlavních útoků je prolomení hesla a proto musíme mít definovánu politiku, jak mají být hesla silná a co se děje při zadání špatných hesel. V Microsoft prostředí na to využijeme Group Policy, které nám dovolí definovat a vynutit parametry hesel. Hesla můžeme definovat pro lokální účty a v doménovém prostředí také pro doménové účty. Windows Server 2008 navíc přináší možnost definovat více rozdílných politik pro doménové účty.

Článek rozebírá některé možnosti, jak centrálně konfigurovat aplikace z balíku MS Office se zvláštním zaměřením na Outlook (primárně se jedná o verzi 2010, ale většinou to není podstatné). Začít můžeme modifikací instalace (zde pouze zmínka), hlavní část provedeme pomocí Group Policy Administrative Templates pro Office, některé požadavky vyřešíme změnou registrů a pro složitější příklad z praxe využijeme PowerShell.

Pokud chceme logovat operace (zaznamenávat události do logu) nad Active Directory Domain Services (AD DS) - prakticky jde o vytváření, měnění či mazání uživatelských a počítačových účtů a skupin, tak využijeme funkci auditování AD DS. Tento audit byl možný již dříve a to obdobným způsobem, ale Windows Server 2008 přináší rozšíření a zpřesnění. Nově můžeme auditovat pouze určitou podkategorii (vylepšené nastavení nabízí Windows Server 2008 R2), u změn se loguje i původní a nová hodnota (ne jen kdo a jaký atribut změnil) a také se změnily ID událostí.