Skupinové politiky

Skupinová politika (anglicky Group Policy) je sada předvoleb v operačních systémech rodiny Windows NT pro nastavení chování systému. Pomocí ní lze v prostředí Active Directory centrálně spravovat nastavení systému, aplikací i uživatelů. Lze tak například nastavit, co uživatelé napočítači smí nebo nesmí dělat. Soubory těchto nastavení se nazývají objekty skupinové politiky (anglicky Group Policy objects, GPO).

Co jsou skupiny zásad (Group Policy)

Skupiny zásad (Group Policy) je nástroj pro hromadnou správu oprávnění a nastavení aplikovaných jak na celý počítač, tak na přihlášeného uživatele. Ve skupinách zásad je možné vytvářet kolekce nastavení, kterým říkáme Group Policy Object GPO, které dokáží měnit konkrétní parametry chování počítače nebo uživatele. Samotné nastavení GPO se pak „linkuje“ na jednotlivé oragnizační jednotku OU v AD, čímž zajistíte aplikování nastavení jen na vybrané počítačenebo uživatele. Tímto způsobem tedy můžeme spravovat potenciálně tisíce počítačů nebo uživatelů změnou jednoho GPO.

alt

Group Policy

nástroj pro hromadnou správu oprávnění a nastavení aplikovaných jak na celý počítač, tak na přihlášeného uživatele
Používá se pro:

 

Group Policy Object „GPO“

seskupení několika nastavení najednou

Policy „Politiky“

Lokální:

každý počítač od Windows 2000 má lokální politiky (local Group Policy), které ovlivňují lokální počítač a přihlášené uživatele. Pokud počítač není připojen do domény, tak právě lokální politiky jsou jako jediné použity .

Př. Pokud vytvoříte uživatele a nastavíte mu omezené oprávnění, chování tohoto uživatele vymezuje právě lokální politika.

Lokální politiky jsou uloženy ve skrytém adresáři %systemroot%\system32\GroupPolicy

Doménové:

doménové politiky lze použít výhradně u počítaču a uživatelů, jenž jsou členy nějaké domény. Existují dvě základní doménové politiky, které jsou vytvořeny již při instalaci AD

Politiky

Popis

Default Domain Policy

Tato politika je spojena s kontejner domény a ovlivňuje všechny objekty v doméně.

Default Domain Controller Policy

Tato politika je spojena s kontejner doménového kontroleru DC a ovlivňuje všechny DC v doméně.

Struktura GPO

alt

Group Policy obsahuje neco přes 2 400 různých nastavení ovlivňující chování jak počítače tak přihlášeného uživatele. Není bohužel možné použít všechny nastavení na všechny operační systémy najednou (2000, XP, Vista, 7), jelikož s každým novým operačním systémem přichází stovky nových nastavení, které lze však použít pouze pro daný systém. Pokud by jste tedy použili nastavení určené pro Windows XP SP2 na Windows 2000 bude je jednoduše ignorovat.

Doporučujeme číst popisy všech nastavení, kde se uvádí, pro jaký systém bude nastavení aplikováno

rozdělení GPO

globální politiky se dělí na dvě části, a to konfigurace počítače (Computer configuration) a konfigurace uživatele (User configuration)

Group Policy area

Co to dělá?
 

Computer configuration

mění registry v: HKEY_Local_Machine

User configuration

mění registry v: HKEY_Current_User

Při vytváření GPO máte možnost jednu z částí (Users/Computers) vypnout a tak snížit celkovou velikost vytvořené GPO

každá z těchto částí se dělí na další tři sekce:

Section

Description

Software settings

Instalace softwaru. Pokud je definován v části konfigurace počítače, bude nainstalován ještě před přihlášením, pokud je definován v části konfigurace uživatele, bude nainstalován až po přihlášení konkrétního uživatele

Windows settings

Obsahují skripty (při přihlášení, při odhlášení) a nastavení zabezpečení pro uživatele i počítače a Internet Explorer ®

Administrative templates

Obsahují stovky nastavení registru pro ovládání různých aspektů uživatele nebo počítačového prostředí.

Jak jsou skupiny zásad (GPO) aplikovány

alt

Aplikování Skupin zásad je na dvou úrovních a to zvlášť pro konfigurace počítače a zvlášť pro konfigurace uživatele. Oboje zajišťuje služba Group Policy Client.

Aplikování konfigurace počítače

aplikování konfigurace počítače každých 90min. je až od Windows Vista. Windows XP se aplikovaly pouze při spuštění počítače.

Aplikování konfigurace uživatele

Pomocí příkazu gpupdate /force lze znovu aplikovat všechny politiky

Jak se GPO zpracovává při spouštění počítace:

  1. Počítač najde DC a přihlásí se k němu, stejně jako uživatel. Pro úspešné přihlášení musí být povolené následující porty. UDP 53 (DNS), UDP a TCP 389 (LDAP), TCP 135 (RPC Portmapper), UDP 88 (Kerbedos)

  2. Počítač pomocí ICMP paketů zjistí zda je na pomalé lince (Slow Link Detection)

  3. Pomocí LDAPu zjistí jaké GPO jsou navázany OU, doménu, sít. Z těchto odpovědí si vytvoří seznam všech GPO které jsou na něj aplikovány

  4. Pomocí LDAPu pošle počítač otázku na seznam filtrů na všechny GPO, které našel + si požádá o atributy jako je cesta ke GPT (Group Policy Templates), číslo verze GPC (Group Policy Configuration), gpCMachineExtensionNames a gpCUserExtensionnames attribut.

  5. Počítač pomocí SMB (port TCP 445) se připojí k SYSVOLu a přečte si GPT.INI pro každé GPO které se na něj aplikuje.

  6. Group Policy process začne porovnávat verzi GPO s verzí GPO kterou má lokálně uloženou (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History)

  7. Pokud se verze GPO nezměnila je přeskočena. V GPO se dá nastavit, aby se toto nedělo a politiky se aplikovali pokaždé, i když nenastala změna. Toto se dá vynutit i přes CMD pomocí příkazu gpupdate /force

  8. CSE (Client Side Extension) zjistí zda má dostatečná práva na všechny GPO, které se mají aplikovat. Pokud ne dané GPO je vyhozeno ze seznamu. Pokud je na GPO nastaveno Enforced (vynucené) je v tomto kroku přeneseno na konec seznamu. Tzn. že nastavení z tohoto GPO vždycky vyhrají, pokud nastane nějaký konflikt.

  9. CSE začne zpracovávat jednotlivá GPO

  10. Po každém zpracovaní GPO CSE zalogouje RSoP (Result of Policy) přes WMI do CIMOM database na počítači kde se zpracovájí politiky.

  11. Po přihlášení se celý proces opakuje z nastavením aplikovaných na uživatele

Vyjímky aplikování politik

alt

Globální politiky dokáží detekovat rychlost linky a v případě pomalé linky (méně než 500 kilobits) a několika dalších faktorů, nemusí být některé z politik aplikovány.

Procesy

Aplikování při zjištění pomalé linky
 

Může se dát změnit?

Zpracování zásad registru

Ano

Ne

Nastavení Internet Explorer

Ne

Ano

Politiky instalování SW

Ne

Ano

Politiky přesměrování adresy

Ne

Ano

Scripty

Ne

Ano

Politiky zabezpečení

Ano

Ne

Internet Protocol Security (IPSec)

Ne

Ano

Politiky bezdrátových sítí

Ne

Ano

EFS Recovery

Ano

Ano

Politiky diskových kvót

Ne

Ano

Šablony a ADM a ADMX soubory

alt

Z důvodů rozsáhlosti nastavení a možnosti grafického zobrazení v GPM Skupinových zásad vznikly šablony, které v sobě zahrnují již přednastavené vlastnosti GPO dle použití, nebo slouží k tváření nových GPO. Od Windows Vista a Serveru 2008 zde máme již 2 formáty. Staré ADM a nové ADMX.

ADM

Ve výchozím nastavení při vytváření nových GPO jsou použity vždy dva ADM soubory,  a to: Inetres.adm (nastavení aplikace Internet Explorer), a System.adm (nastavení operačního systému Windows). Při vytvoření politiky jsou pak tyto soubory překopírovány z umístění %SystemRoot%\Inf, do příslušné složky GPO v SYSVOL. Každý nový objekt GPO spotřebuje asi 3,5 MB (MB) volného místa ve složce SYSVOL. Ve velkých organizacích s mnoha GPO může toto vést k významnému zatížení replikace složky SYSVOL.

ADMX

Windows Vista a Windows Server 2008 zavádí nový formát pro zobrazení zásad. Zásady jsou definovány pomocí standardů XML formát známý jako soubory ADMX. Tyto nové soubory nahrazují soubory ADM. Windows Vista a Server 2008 nadále rozeznávají i ADM soubory. ADMX soubory jsou uloženy v složce %systemroot%\PolicyDefinitions a při vytváření nové politiky se nekopírují do SYSVOL

výhody ADMX:

Co je centrální úložiště „Central Store“

alt

Centrální úložiště „Central Store“ je nutné vytvořit manuálně v adresáři SYSVOL, aby byla zajištěna replikace tohoto adresáře na všechny DC. Uložiště slouži k uložení ADMX a ADML souborů. Díky centrálnímu úložišti budou jakékoliv změny v šablonách ADMX automaticky replikovány na všechny DC.

Aplikování skupin zásad „Group Policy Processing“

alt

Jak jsem již psal, politiky dělíme na lokální a doménové. Pokud bychom toto rozdělení měli ještě více specifikovat, členění by bylo:

  1. Lokální politiky „Local Group Policy“

  2. Politiky na úrovni sítí „Site Level GPOs“

  3. Politiky na úrovni domény „Domain level GPOs“

  4. Politiky na úrovní organizačních jednotek „Organizational Unit GPOs“

  5. Politiky na úrovní podskupin organizačních jednotek „Any chil Organizational Unit GPOs“

Aplikování politik je pak z úrovně 1 na úroveň 5, tedy pokud na urovni jedna máme nastaveno např. PROXY Enable a na úrovni 4 je PROXY Disable, vyhraje úroveň 4 a proxy v počítači zůstává ve stavu Disable

Ovlivnění aplikování skupin zásad

alt

Samotné aplikování skupin zásad je možné ovlivňovat, a to přímo na urovni každé z politik (GPO). Na každé politice tedy může být nastaveno:

Method

Description

Blocking inheritance

Blokování dědění doménových politik nebo politik z nadřazených OU

Enforcement of GPO links

Vynucení politiky. Využívá se, pokud chcete zajistit, že politika nebude přepsána.

Filtering using security groups

Na Každé GPO je možné nastavit oprávnění, tím můžete definovat, na jaké uživatele či skupiny bude politika aplikována

Filtering using WMI filters

Pomocí WMI filtrů je možné aplikování politik, třeba jen na PC s WIN XP, nebo na počítače s větší RAM od 3GB atd.

Disabling GPOs

Můžete zcela zablokovat použití GPO pro danou síť, doménu nebo organizační jednotku. Můžete také zcela vypnout část GPO Uživatele nebo Počítače, aby výsledná politika měla menší velikost

Co je a jak funguje „Loopback Processing“

alt

Loopback Processing je jedna z možností nastavení GPO na úrovni Computers. Při jeho zapnutí se aplikuje i veškeré nastavení na úrovni Users, i když je politika linkována do kontejneru Computers. Toto se využívá třeba u terminálových serverů, kde je zapotřebí aplikovat zabezpečení uživatele už na úrovní počítače.

Toto nastavení má dva módy:

Delegování oprávnění pro administraci Skupiny zásad

alt