CZ 
14.09.2024 Radka VÍTEJTE V MÉM SVĚTĚ

Group Policy

Základem centrální správy počítačů v doméně jsou určitě skupinové politiky (Group Policy). Pomocí nich můžeme řídit nastavení, bezpečnost a chování pracovních stanic a serverů.

Nastavení přihlašování do domény pomocí Smart Card

Jednoduchý návod, který popisuje jak vytvořit skupinovou politiku v doméně Microsoft Windows pro řízení přihlašování k počítači (doméně) pomocí čipové karty Smart Card.

Group Policy Preferences, GPO, GPMC, GPME

Asi každý správce MS domény využívá Group Policy. Myslím, že se jedná o výbornou vlastnost, i když její vznik se již datuje řadu let nazpátek. Nedávno, s příchodem Windows Server 2008, rozšířil MS Group Policy o další možnosti a vlastnosti zvané Group Policy Preferences. Stručný popis těchto novinek přináší tento článek. Poznámka na okraj, od té doby co znám Group Policy, je používám i lokálně na domácím PC. Je to jednodušší než nastavovat různé vlastnosti třeba přes registry.

Group Policy - řízení aplikace politik

Group Policy (skupinové politiky) slouží k centrální správě počítačů s pomocí Active Directory. Hlavně se tedy využijí pro počítače zařazené do domény. Můžeme ale využít i lokální politiky (Local Group Policy), které nabízí o něco omezenější funkčnost, ale fungují i na samostatné počítače. Nově máme nejen Group Policy, ale také Group Policy Preferences, které mají trochu odlišné chování. Zde se podíváme na to, jak se Group Policy aplikují na objekty (uživatelé a počítače), jak je můžeme filtrovat, využít Loopback processing nebo hledat chyby při aplikování.

Group Policy - Administrative Templates

Group Policy se skládají ze dvou hlavních částí, konfigurace počítače (Computer Configuration) a konfigurace uživatele (User Configuration). Obě části mají rozdílné jednotlivé položky (možnosti nastavení), ale mají společné kategorie. To je Software Settings, Windows Settings a Administrative Templates. První dvě jsou pevně dány, kdežto Administrative Templates se načítají z konfiguračních souborů (ADM a ADMX/ADML) a můžeme je i sami rozšiřovat. Obsahují politiky založené na registrech. V tomto článku se budeme věnovat právě oblasti Administrative Templates a k jakým změnám došlo při příchodu Windows Server 2008.

Group Policy - Politiky hesel a zamykání účtů

V každé síti je třeba řídit bezpečnost. Jedním z hlavních útoků je prolomení hesla a proto musíme mít definovánu politiku, jak mají být hesla silná a co se děje při zadání špatných hesel. V Microsoft prostředí na to využijeme Group Policy, které nám dovolí definovat a vynutit parametry hesel. Hesla můžeme definovat pro lokální účty a v doménovém prostředí také pro doménové účty. Windows Server 2008 navíc přináší možnost definovat více rozdílných politik pro doménové účty.

MS Outlook a konfigurace pomocí Group Policy

Článek rozebírá některé možnosti, jak centrálně konfigurovat aplikace z balíku MS Office se zvláštním zaměřením na Outlook (primárně se jedná o verzi 2010, ale většinou to není podstatné). Začít můžeme modifikací instalace (zde pouze zmínka), hlavní část provedeme pomocí Group Policy Administrative Templates pro Office, některé požadavky vyřešíme změnou registrů a pro složitější příklad z praxe využijeme PowerShell.

Auditování AD DS objektů ve Windows Server 2008

Pokud chceme logovat operace (zaznamenávat události do logu) nad Active Directory Domain Services (AD DS) - prakticky jde o vytváření, měnění či mazání uživatelských a počítačových účtů a skupin, tak využijeme funkci auditování AD DS. Tento audit byl možný již dříve a to obdobným způsobem, ale Windows Server 2008 přináší rozšíření a zpřesnění. Nově můžeme auditovat pouze určitou podkategorii (vylepšené nastavení nabízí Windows Server 2008 R2), u změn se loguje i původní a nová hodnota (ne jen kdo a jaký atribut změnil) a také se změnily ID událostí.

Microsoft Certification Authority Auditing

Když provozujeme certifikační autoritu od MS, což se hodí skoro pro každou firmu, tak je dobré nastavit určité logování operací. Do té doby můžeme sledovat informace, třeba o selhání vystavení certifikátu, pouze v konzoli certifikační autority. Článek je pouze pro přehled, stejné informace nalezneme přímo u MS.

Auditování bezpečnostních událostí Windows v doméně

Na počítačích, serverech a obzvláště doménových řadičích může nastávat řada bezpečnostních událostí, které bychom měli hlídat a kontrolovat. Ve Windows využíváme logy událostí (Event Log) kam se zaznamenává mnoho situací. Pro různé události si můžeme nastavit, zda a kdy je chceme do logu ukládat. To řešíme nastavením auditování (Security Auditing). To ale samo nestačí. Dále je potřeba auditní log událostí nějak automatizovaně zpracovávat a vybírat informace, které jsou pro nás důležité, a ty si někde zobrazovat či zasílat.

Nastavení výchozí (startovací, domácí) stránky ve webových prohlížečích

Potřeboval jsem zjistit možnosti, jak ve firemním prostředí nastavit, aby se po startu běžného webového prohlížeče otevřela určitá stránka (adresa). Prakticky jsem testoval nejnovější verze webových prohlížečů Microsoft Edge (Chromium), Google Chrome a Mozilla Firefox. Podíval jsem se na lokální možnosti nastavení a pak na centrální konfiguraci pomocí Group Policy. Vše je pouze stručně popsané.