Nastavení a vytváření Group Policy dnes provádíme nejčastěji pomocí Group Policy Management Console (GPMC, ten budeme také používat v celém článku), dříve (nebo pro lokální politiky) se používal Group Policy Object Editor (GPedit). Nastavení se ukládají do Group Policy Object (GPO). Group Policy mají několik pevně daných částí (podle verze OS) a pak možná rozšíření pomocí Administrative Templates. Nejčastěji upravují registry, ale také mohou měnit bezpečnostní nastavení, instalovat SW, nastavovat Internet Explorer, apod. Politiky mají dvě hlavní částí Computer Configuration a User Configuration.
Group Policy nejčastěji fungují na principu úprav registrů na klientské stanici či serveru. Část Computer Configuration se týká nastavení pro počítač, tyto nastavení se mohou aplikovat na počítačové objekty v Active Directory (uplatňuje se na vybraný počítač a nezáleží na přihlášeném uživateli). Upravují větev registrů HKEY_LOCAL_MACHINE (HKLM), například HKLM\Software\Policies\Microsoft\Windows, HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.
Část User Configuration se týká nastavení pro uživatele, politiku s tímto nastavením můžeme aplikovat na uživatelské účty v Active Directory (uplatňuje se na vybraného uživatele a nezáleží na jakém počítači). Upravuje větev registrů HKEY_CURRENT_USER (HKCU), například HKCU\Software\Policies\Microsoft\Windows, HKCU\Software\Microsoft\Windows\CurrentVersion\Policies.
Politiky aplikované na počítač se standardně uplatňují při startu počítače, politiky aplikované na uživatele probíhají při přihlášení uživatele. Obě se pak aplikují při periodické obnově Group Policy (to je standardně každých 90 minut + náhodný posun o až 30 minut). Aplikaci politik také můžeme vynutit ručně pomocí příkazu
gpupdate /force
Aplikace politik
Group Policy se aplikují tak, že je spojíme s nějakým kontejnerem (link to). Jedná se o Active Directory kontejnery site, doména (domain) či organizační jednotka (OU - Organization Unit).
Při aplikaci politik se uplatňuje dědění (inheriting), dané hierarchickou strukturou AD, a souhrnný účinek (cumulative). To znamená, že se politika, aplikovaná na OU, projeví na všech počítačích a uživatelích, kteří se nachází v této a ve vnořených OU. Když je více politik, tak se jejich účinek spojuje dohromady. Samozřejmě, pokud politika obsahuje pouze část pro počítač, tak se sice na uživatele aplikuje, ale nemá žádný efekt. Navíc záleží na tom, jestli počítač nebo uživatel má na danou politiku práva (tak se využívá filtrování).
Politiky se zpracovávají postupně, později zpracovaná politika může přepsat nastavení předchozí. Postupuje se v pořadí lokální GPO, site, doména, OU, poslední je OU nejblíže k objektu. Politiky na jednom kontejneru se zpracovávají v pořadí, v jakém jsou nastaveny na záložce Linked Group Policy Objects.
Vypnutí části politiky
I když politika obsahuje pouze jednu část (počítačovou nebo uživatelskou), tak se standardně zpracovává na všech objektech (uživatelé a počítače), které se nachází v rozsahu aplikace. Zpracování každé politiky, i prázdné, zatěžuje cílový počítač. Takže je vhodné u politik, kde využíváme pouze jednu část, tu druhou vypnout. Také je vhodné minimalizovat počet politik, tím že je sloučíme do jedné.
Na politice se přepneme na záložku Details a zde je položka GPO Status. Můžeme nastavit jednu ze čtyř hodnot.
- Enabled - vše zapnuto
- All settings disabled - vše vypnuto
- Computer configuration settigs disabled - aplikuje se pouze uživatelská část
- User configuration settigs disabled - aplikuje se pouze počítačová část
Loopback processing
Občas se může stát, že potřebujeme aplikovat nějaké uživatelské nastavení, ale přiřadit jej počítači. Aby jakýkoliv uživatel, který se přihlásí na tento počítač, měl dané nastavení. Ale pokud se připojí jinde, tak i nastavení může být jiné. To se týká například terminálových serverů, notebook vs. pracovní stanice, apod.
Abychom toho dosáhli, tak můžeme využít Group Policy v režimu zpracování Loopback. Může být buď v módu Replace, kdy nahrazuje nastavení, které je aplikované pro uživatele, nebo Merge, kdy se obě nastavení spojí. Nastavení se provede v dané politice. Hodnota Computer Configuration - Administrative Templates - System - Group Policy - User Group Policy loopback processing mode. Nastavíme Enabled a vybereme Mode Replace nebo Merge.
Takto příjemné mi to připadalo, když jsem si o této metodě četl. Bohužel v praxi člověk zjistí, že je toto řešení téměř nepoužitelné. Nejedná se totiž o nastavení dané politiky, abychom mohli zařídit, že to jedno určité nastavení podle počítače se provede na uživateli. Ale jde o globální nastavení, kterým nastavíme chování počítačů, na které se aplikuje. Takže se potom uplatní na všechny politiky.
Znamená to tedy, když máme nastavený mód Replace, tak se nepoužijí žádné politiky, které jsou aplikované jen na uživatele. Musíme uživatelské politiky přiřazovat počítačům. Můžeme politiky nastavit třeba pro celou doménu, ale přijdeme pak o cílení politik na určité OU s uživateli (což nám asi vždy bude vadit). Nebo můžeme použít mód Merge, tehdy se uplatňují politiky, které jsou aplikované na uživatele, i politiky na počítač. Jenže tím se prodlouží doba zpracovávání politik, mohou vzniknout neočekávané situace a těžce se pak řeší troubleshooting.
Omezování aplikace politiky
Filtrování aplikace politiky
Pro dynamické řízení, na jaké počítače a uživatele se má politika aplikovat, můžeme použít WMI Filtering nebo Security Filtering. Pomocí WMI (Windows Management Instrumentation) můžeme vytvořit filtry, které zjistí různé údaje o počítači a politika se pak aplikuje pouze na ty, které splňují danou podmínku. Příkladem je třeba určitá verze OS. Security filtrování zase povolí politiku pouze těm, kteří jsou členem určité bezpečnostní skupiny nebo určité počítače či uživatelé.
Zrušení dědění
Jiná možnost jak řídit aplikaci politiky je, že pro určitý kontejner můžeme zrušit dědění. Klikneme pravým tlačítkem na objekt a zvolíme Block Inheritance, tím se přestanou zpracovávat všechny nadřazené politiky mimo vynucených.
Jinou možností je naopak vynutit aplikaci politiky, aby například nemohla být přepsána (a ani blokována). Klikneme pravým tlačítkem na politiku a zvolíme Enforced.
Jaké politiky jsou na objektu uplatňovány, se můžeme podívat na záložce Group Policy Inheritance. Vidíme zde i pořadí zpracování.
Kontrola aplikování politik
Součástí Group Policy Management Console jsou dva nástroje, které můžeme použít při řešení problémů. Group Policy Results nám pro vybraný počítač a uživatele vrátí online informace o aplikovaných politikách, včetně chyb. Informace získává přímo z DC a daného počítače. Jedná se o velice užitečný nástroj. Druhý nástroj je Group Policy Modeling, který provede simulaci aplikace politik a zobrazí výsledek.
Komentáře
Díky!
Výborně vysvětleno
Schwetter nemá zuby
Co ti je ?
Dobrá stránka
Schwetter je slavný...
Smetana je mléčný výrobek, jedná se o nejtučnější část mléka, která se usazuje na jeho povrchu.
Smetana se získává sbíráním nebo odstřeďováním a v obchodě se prodává sladká nebo kysaná (v řadě jazyků se původně ruský výraz smetana užívá právě pro zakysanou smetanu[zdroj?]). Obsahuje nejméně 10 % tuku.odpověď na [1]Tomáš Langmaier:
Smetana, která má alespoň 30 % tuku, se nazývá smetana ke šlehání a slouží k výrobě šlehačky. Podmnožinou je smetana vysokotučná s nejméně 35 % tuku.
Jiné právní řády než český mohou smetanu a její druhy definovat jiným způsobem.
[strong][/strong][em][/em][link][/link]
Dobrý den. jestli budete i na dále semhle psát věci netýkající této stránky, budu nucený vám odepřít přístup na tuto stránku.
Kdybych tak měl zase nohy...
odpověď na [11]Admin: Ale hovno
Výborně shrnuto! Ničemu jsem nerozuměl, ale je to vážně super!
Můžete mi vysvětlit, proč tady píšete tyhle komentáře?
Neruš, spím.
Já taky
Já taky lásko
Popravě já taky. Budem spolu chodit? <3
Zablokujte mi prosím přístup na tuto stránku, je na hovno :)
Jsem kokot a umím jen programovat.
Smrdím!
odpověď na [22]Václavík: MY víme.
Já se vrátím.
Mám rád velké čuráky s velkou zásobou mléka.
[/link][link][/link][link][/link][link][/link][link][/link][link][/link][link][/link][link][/link][link][/link][link][/link][link]
Píchal bych svoji segru.
Pojte na dřep
odpověď na [28]Venca: Hovada :D
odpověď na [29]Najder: dobře
I po tolika letech je tento článek užitečný. Děkuji
Zdravím,
řeším následující problém a potřeboval bych poradit s konkrétním problémem.
Potřebuji pomoci doménových politik GPO aplikovat na konkrétní stanice Powershell script, který upravuje chování metro aplikací pod Windows 10 build 1511 - 10586. Rád bych, aby se tento skript spouštěl hned po startu, čili měl by to být Startup script. PC s tímto buildem si umím vyfiltrovat v AD.
Ale nejsou mi jasné následující věci:
1. Na jaký AD kontejner to mám konkrétně aplikovat? Na celý kontejner Computers? Nikde jsem bohužel nepřišel na to, jak to aplikovat pouze na konkrétní vyfiltrované PC v kontejneru Computers - narazil jsem pouze na nějaké WMI filtry, kde by to snad mělo jít nějak nastavit, ale to jsem bohužel nepochopil, jak to přesně funguje.
2. Některá PC mají LOKÁLNĚ (NE přes GPO) deployované nějaké starší skripty, kterých bych se rád zbavil a nastavil tam pouze tento jeden - mohu je přes GPO nějak hromadně smazat?
3. Jak mám nastavit přístupová práva? Defaultně je Security Filtering v GPO nastaven na Authenticated Users - můžu to tam nechat, nebo je třeba to nějak měnit?
3. Jak konkrétně nastavit ten GPO? Dle mě by to mělo být GPO - EDIT - Computer Configuration - Policies - Windows settings - Scripts - Startup - karta PowerShell Scripts a tam přes Add... zadat cestu na síťový disk k tomu souboru. Stačí to takto, nebo ten soubor se skriptem musím ještě zkopírovat do složky SYSVOL (tlačítko Show Files) a musím to někde potvrzovat a nějak ukládat?
5. Na stanicích nakonec stačí zadat gpupdate/force a po restartu by se měl skript aplikovat?
Díky moc za odpovědi
xDDDDD číst ty komentáře lol