www.SAMURAJ-cz.com 

15.12.2017 Radana a Radan Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Group Policy - řízení aplikace politik

Neděle, 12.12.2010 17:42 | Samuraj - Petr Bouška |
Group Policy (skupinové politiky) slouží k centrální správě počítačů s pomocí Active Directory. Hlavně se tedy využijí pro počítače zařazené do domény. Můžeme ale využít i lokální politiky (Local Group Policy), které nabízí o něco omezenější funkčnost, ale fungují i na samostatné počítače. Nově máme nejen Group Policy, ale také Group Policy Preferences, které mají trochu odlišné chování. Zde se podíváme na to, jak se Group Policy aplikují na objekty (uživatelé a počítače), jak je můžeme filtrovat, využít Loopback processing nebo hledat chyby při aplikování.

Nastavení a vytváření Group Policy dnes provádíme nejčastěji pomocí Group Policy Management Console (GPMC, ten budeme také používat v celém článku), dříve (nebo pro lokální politiky) se používal Group Policy Object Editor (GPedit). Nastavení se ukládají do Group Policy Object (GPO). Group Policy mají několik pevně daných částí (podle verze OS) a pak možná rozšíření pomocí Administrative Templates. Nejčastěji upravují registry, ale také mohou měnit bezpečnostní nastavení, instalovat SW, nastavovat Internet Explorer, apod.  Politiky mají dvě hlavní částí Computer Configuration a User Configuration.

Group Policy struktura

Group Policy nejčastěji fungují na principu úprav registrů na klientské stanici či serveru. Část Computer Configuration se týká nastavení pro počítač, tyto nastavení se mohou aplikovat na počítačové objekty v Active Directory (uplatňuje se na vybraný počítač a nezáleží na přihlášeném uživateli). Upravují větev registrů HKEY_LOCAL_MACHINE (HKLM), například HKLM\Software\Policies\Microsoft\Windows, HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

Část User Configuration se týká nastavení pro uživatele, politiku s tímto nastavením můžeme aplikovat na uživatelské účty v Active Directory (uplatňuje se na vybraného uživatele a nezáleží na jakém počítači). Upravuje větev registrů HKEY_CURRENT_USER (HKCU), například  HKCU\Software\Policies\Microsoft\Windows, HKCU\Software\Microsoft\Windows\CurrentVersion\Policies.

Politiky aplikované na počítač se standardně uplatňují při startu počítače, politiky aplikované na uživatele probíhají při přihlášení uživatele. Obě se pak aplikují při periodické obnově Group Policy (to je standardně každých 90 minut + náhodný posun o až 30 minut). Aplikaci politik také můžeme vynutit ručně pomocí příkazu

gpupdate /force

Aplikace politik

Group Policy se aplikují tak, že je spojíme s nějakým kontejnerem (link to). Jedná se o Active Directory kontejnery site, doména (domain) či organizační jednotka (OU - Organization Unit).

Link GPO

Při aplikaci politik se uplatňuje dědění (inheriting), dané hierarchickou strukturou AD, a souhrnný účinek (cumulative). To znamená, že se politika, aplikovaná na OU, projeví na všech počítačích a uživatelích, kteří se nachází v této a ve vnořených OU. Když je více politik, tak se jejich účinek spojuje dohromady. Samozřejmě, pokud politika obsahuje pouze část pro počítač, tak se sice na uživatele aplikuje, ale nemá žádný efekt. Navíc záleží na tom, jestli počítač nebo uživatel má na danou politiku práva (tak se využívá filtrování).

Politiky se zpracovávají postupně, později zpracovaná politika může přepsat nastavení předchozí. Postupuje se v pořadí lokální GPO, site, doména, OU, poslední je OU nejblíže k objektu. Politiky na jednom kontejneru se zpracovávají v pořadí, v jakém jsou nastaveny na záložce Linked Group Policy Objects.

Linked Group Policy Objects

Vypnutí části politiky

I když politika obsahuje pouze jednu část (počítačovou nebo uživatelskou), tak se standardně zpracovává na všech objektech (uživatelé a počítače), které se nachází v rozsahu aplikace. Zpracování každé politiky, i prázdné, zatěžuje cílový počítač. Takže je vhodné u politik, kde využíváme pouze jednu část, tu druhou vypnout. Také je vhodné minimalizovat počet politik, tím že je sloučíme do jedné.

Na politice se přepneme na záložku Details a zde je položka GPO Status. Můžeme nastavit jednu ze čtyř hodnot.

  • Enabled - vše zapnuto
  • All settings disabled - vše vypnuto
  • Computer configuration settigs disabled - aplikuje se pouze uživatelská část
  • User configuration settigs disabled - aplikuje se pouze počítačová část
Vypnutí části politiky

Loopback processing

Občas se může stát, že potřebujeme aplikovat nějaké uživatelské nastavení, ale přiřadit jej počítači. Aby jakýkoliv uživatel, který se přihlásí na tento počítač, měl dané nastavení. Ale pokud se připojí jinde, tak i nastavení může být jiné. To se týká například terminálových serverů, notebook vs. pracovní stanice, apod.

Abychom toho dosáhli, tak můžeme využít Group Policy v režimu zpracování Loopback. Může být buď v módu Replace, kdy nahrazuje nastavení, které je aplikované pro uživatele, nebo Merge, kdy se obě nastavení spojí. Nastavení se provede v dané politice. Hodnota Computer Configuration - Administrative Templates - System - Group Policy - User Group Policy loopback processing mode. Nastavíme Enabled a vybereme Mode Replace nebo Merge.

Takto příjemné mi to připadalo, když jsem si o této metodě četl. Bohužel v praxi člověk zjistí, že je toto řešení téměř nepoužitelné. Nejedná se totiž o nastavení dané politiky, abychom mohli zařídit, že to jedno určité nastavení podle počítače se provede na uživateli. Ale jde o globální nastavení, kterým nastavíme chování počítačů, na které se aplikuje. Takže se potom uplatní na všechny politiky.

Znamená to tedy, když máme nastavený mód Replace, tak se nepoužijí žádné politiky, které jsou aplikované jen na uživatele. Musíme uživatelské politiky přiřazovat počítačům. Můžeme politiky nastavit třeba pro celou doménu, ale přijdeme pak o cílení politik na určité OU s uživateli (což nám asi vždy bude vadit). Nebo můžeme použít mód Merge, tehdy se uplatňují politiky, které jsou aplikované na uživatele, i politiky na počítač. Jenže tím se prodlouží doba zpracovávání politik, mohou vzniknout neočekávané situace a těžce se pak řeší troubleshooting.

GPO Loopback processing

Omezování aplikace politiky

Filtrování aplikace politiky

Pro dynamické řízení, na jaké počítače a uživatele se má politika aplikovat, můžeme použít WMI Filtering nebo Security Filtering. Pomocí WMI (Windows Management Instrumentation) můžeme vytvořit filtry, které zjistí různé údaje o počítači a politika se pak aplikuje pouze na ty, které splňují danou podmínku. Příkladem je třeba určitá verze OS. Security filtrování zase povolí politiku pouze těm, kteří jsou členem určité bezpečnostní skupiny nebo určité počítače či uživatelé.

Zrušení dědění

Jiná možnost jak řídit aplikaci politiky je, že pro určitý kontejner můžeme zrušit dědění. Klikneme pravým tlačítkem na objekt a zvolíme Block Inheritance, tím se přestanou zpracovávat všechny nadřazené politiky mimo vynucených.

Jinou možností je naopak vynutit aplikaci politiky, aby například nemohla být přepsána (a ani blokována). Klikneme pravým tlačítkem na politiku a zvolíme Enforced.

Jaké politiky jsou na objektu uplatňovány, se můžeme podívat na záložce Group Policy Inheritance. Vidíme zde i pořadí zpracování.

Group Policy Inheritance

Kontrola aplikování politik

Součástí Group Policy Management Console jsou dva nástroje, které můžeme použít při řešení problémů. Group Policy Results nám pro vybraný počítač a uživatele vrátí online informace o aplikovaných politikách, včetně chyb. Informace získává přímo z DC a daného počítače. Jedná se o velice užitečný nástroj. Druhý nástroj je Group Policy Modeling, který provede simulaci aplikace politik a zobrazí výsledek.

zobrazeno: 54617krát | Komentáře [32]

Autor:

Související články:

Group Policy

Základem centrální správy počítačů v doméně jsou určitě skupinové politiky (Group Policy). Pomocí nich můžeme řídit nastavení, bezpečnost a chování pracovních stanic a serverů.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] Tomáš Langmaier

    Díky!

    Čtvrtek, 29.01.2015 08:46 | odpovědět
  2. [2] Jiřina

    Výborně vysvětleno

    Čtvrtek, 16.04.2015 09:33 | odpovědět
  3. [3] Jakub Palacký, Nový Jičín

    :-);-):-O:-O;-):-(:-O;-):-(:-O:-O:-O:-O:-O:-O:-O Tvoje Máááma

    Úterý, 03.01.2017 10:40 | odpovědět
  4. [4] Gkn

    Schwetter nemá zuby

    Pátek, 13.01.2017 11:50 | odpovědět
  5. [5] Štyak

    :-)

    Pátek, 13.01.2017 11:50 | odpovědět
  6. [6] Tvojamama

    Co ti je ? ;-);-);-);-)

    Pátek, 13.01.2017 11:51 | odpovědět
  7. [7] Střišovský

    Dobrá stránka

    Pátek, 13.01.2017 11:51 | odpovědět
  8. [8] Ota Tomáš

    Schwetter je slavný... :-O:-O:-O

    Pátek, 13.01.2017 11:52 | odpovědět
  9. [9] Kunin

    Smetana je mléčný výrobek, jedná se o nejtučnější část mléka, která se usazuje na jeho povrchu.

    Smetana se získává sbíráním nebo odstřeďováním a v obchodě se prodává sladká nebo kysaná (v řadě jazyků se původně ruský výraz smetana užívá právě pro zakysanou smetanu[zdroj?]). Obsahuje nejméně 10 % tuku.odpověď na [1]Tomáš Langmaier:

    Smetana, která má alespoň 30 % tuku, se nazývá smetana ke šlehání a slouží k výrobě šlehačky. Podmnožinou je smetana vysokotučná s nejméně 35 % tuku.

    Jiné právní řády než český mohou smetanu a její druhy definovat jiným způsobem.

    Pátek, 13.01.2017 11:52 | odpovědět
  10. [10] bukva

    [strong][/strong][em][/em][link][/link]

    Pátek, 13.01.2017 11:53 | odpovědět
  11. [11] Admin

    Dobrý den. jestli budete i na dále semhle psát věci netýkající této stránky, budu nucený vám odepřít přístup na tuto stránku.

    • na komentář odpověděl [13]bbb
    Pátek, 13.01.2017 11:54 | odpovědět
  12. [12] Rončka

    Kdybych tak měl zase nohy...

    Pátek, 13.01.2017 11:55 | odpovědět
  13. [13] bbb

    odpověď na [11]Admin: Ale hovno

    Pátek, 13.01.2017 11:56 | odpovědět
  14. [14] Páťa

    Výborně shrnuto! Ničemu jsem nerozuměl, ale je to vážně super!

    Pátek, 13.01.2017 11:57 | odpovědět
  15. [15] Madecki

    ;-)Jsem gay

    Pátek, 13.01.2017 11:59 | odpovědět
  16. [16] Admin

    Můžete mi vysvětlit, proč tady píšete tyhle komentáře?

    Pátek, 13.01.2017 12:00 | odpovědět
  17. [17] Jagoš

    Neruš, spím.

    Pátek, 13.01.2017 12:00 | odpovědět
  18. [18] Wawrosz

    Já taky;-)

    Pátek, 13.01.2017 12:00 | odpovědět
  19. [19] Wenca

    Já taky lásko ;-);-);-);-)

    Pátek, 13.01.2017 12:00 | odpovědět
  20. [20] Václavík

    Popravě já taky. Budem spolu chodit? <3

    Pátek, 13.01.2017 12:01 | odpovědět
  21. [21] Madecki

    Zablokujte mi prosím přístup na tuto stránku, je na hovno :)

    Pátek, 13.01.2017 12:02 | odpovědět
  22. [22] Václavík

    Jsem kokot a umím jen programovat.

    Pátek, 13.01.2017 12:03 | odpovědět
  23. [23] Schwetter

    Smrdím!

    Pátek, 13.01.2017 12:05 | odpovědět
  24. [24] Admin

    odpověď na [22]Václavík: MY víme.

    Pátek, 13.01.2017 12:05 | odpovědět
  25. [25] Valenta

    Já se vrátím.

    Pátek, 13.01.2017 12:07 | odpovědět
  26. [26] Schwetter

    Mám rád velké čuráky s velkou zásobou mléka.

    Pátek, 13.01.2017 12:08 | odpovědět
  27. [27] link

    [/link][link][/link][link][/link][link][/link][link][/link][link][/link][link][/link][link][/link][link][/link][link][/link][link]

    Pátek, 13.01.2017 12:08 | odpovědět
  28. [28] Venca

    Píchal bych svoji segru.

    Pátek, 13.01.2017 12:13 | odpovědět
  29. [29] Najder

    Pojte na dřep;-);-);-);-)

    • na komentář odpověděl [31]df
    Pátek, 13.01.2017 12:15 | odpovědět
  30. [30] tfggv

    odpověď na [28]Venca: Hovada :D

    Pátek, 13.01.2017 12:16 | odpovědět
  31. [31] df

    odpověď na [29]Najder: dobře

    Pátek, 13.01.2017 12:18 | odpovědět
  32. [32] Sohaj

    I po tolika letech je tento článek užitečný. Děkuji

    Středa, 28.06.2017 13:27 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách