Skupiny zásad (Group Policy) je nástroj pro hromadnou správu oprávnění a nastavení aplikovaných jak na celý počítač, tak na přihlášeného uživatele. Ve skupinách zásad je možné vytvářet kolekce nastavení, kterým říkáme Group Policy Object GPO, které dokáží měnit konkrétní parametry chování počítače nebo uživatele. Samotné nastavení GPO se pak „linkuje“ na jednotlivé oragnizační jednotku OU v AD, čímž zajistíte aplikování nastavení jen na vybrané počítačenebo uživatele. Tímto způsobem tedy můžeme spravovat potenciálně tisíce počítačů nebo uživatelů změnou jednoho GPO.
Group Policy
nástroj pro hromadnou správu oprávnění a nastavení aplikovaných jak na celý počítač, tak na přihlášeného uživatele
Používá se pro:
aplikování firemních standardů (skrytí ovládacích panelů, síťové tiskárny, spuštění scriptů)
aplikování zabezpečení (změna oprávnění na určitých složkách, složitost hesla, skupiny s možností se lokálně přihlásit)
hromadná instalace aplikací (Office, Adobe Reader, atd.)
Group Policy Object „GPO“
seskupení několika nastavení najednou
komponenta globální politiky
dělí se na nastavení pro počítač tak na nastavení pro uživatele
linkují se na organizační jednotky OU v AD
jeden GPO může být linkován hned na několik OU
Policy „Politiky“
politiky dělíme na Lokální a Doménové
Lokální:
každý počítač od Windows 2000 má lokální politiky (local Group Policy), které ovlivňují lokální počítač a přihlášené uživatele. Pokud počítač není připojen do domény, tak právě lokální politiky jsou jako jediné použity .
Př. Pokud vytvoříte uživatele a nastavíte mu omezené oprávnění, chování tohoto uživatele vymezuje právě lokální politika.
Doménové:
doménové politiky lze použít výhradně u počítaču a uživatelů, jenž jsou členy nějaké domény. Existují dvě základní doménové politiky, které jsou vytvořeny již při instalaci AD
Politiky | Popis |
Default Domain Policy | Tato politika je spojena s kontejner domény a ovlivňuje všechny objekty v doméně. |
Default Domain Controller Policy | Tato politika je spojena s kontejner doménového kontroleru DC a ovlivňuje všechny DC v doméně. |
Struktura GPO
Group Policy obsahuje neco přes 2 400 různých nastavení ovlivňující chování jak počítače tak přihlášeného uživatele. Není bohužel možné použít všechny nastavení na všechny operační systémy najednou (2000, XP, Vista, 7), jelikož s každým novým operačním systémem přichází stovky nových nastavení, které lze však použít pouze pro daný systém. Pokud by jste tedy použili nastavení určené pro Windows XP SP2 na Windows 2000 bude je jednoduše ignorovat.
rozdělení GPO
globální politiky se dělí na dvě části, a to konfigurace počítače (Computer configuration) a konfigurace uživatele (User configuration)
Group Policy area | Co to dělá? |
Computer configuration | mění registry v: HKEY_Local_Machine |
User configuration | mění registry v: HKEY_Current_User |
každá z těchto částí se dělí na další tři sekce:
nastavení softwaru (Software settings)
nastavení systému Windows (Windows settings)
šablony pro správu (Administrative templates)
Section | Description |
Software settings | Instalace softwaru. Pokud je definován v části konfigurace počítače, bude nainstalován ještě před přihlášením, pokud je definován v části konfigurace uživatele, bude nainstalován až po přihlášení konkrétního uživatele |
Windows settings | Obsahují skripty (při přihlášení, při odhlášení) a nastavení zabezpečení pro uživatele i počítače a Internet Explorer ® |
Administrative templates | Obsahují stovky nastavení registru pro ovládání různých aspektů uživatele nebo počítačového prostředí. |
Jak jsou skupiny zásad (GPO) aplikovány
Aplikování Skupin zásad je na dvou úrovních a to zvlášť pro konfigurace počítače a zvlášť pro konfigurace uživatele. Oboje zajišťuje služba Group Policy Client.
Aplikování konfigurace počítače
při startu počítače a jinak každých 90 minut
aplikuji se Startup scripty
Aplikování konfigurace uživatele
při zalogování uživatele a jinak každých 90 minut
aplikuji se Logon scripty
Pomocí příkazu gpupdate /force lze znovu aplikovat všechny politiky
Jak se GPO zpracovává při spouštění počítace:
Počítač najde DC a přihlásí se k němu, stejně jako uživatel. Pro úspešné přihlášení musí být povolené následující porty. UDP 53 (DNS), UDP a TCP 389 (LDAP), TCP 135 (RPC Portmapper), UDP 88 (Kerbedos)
Počítač pomocí ICMP paketů zjistí zda je na pomalé lince (Slow Link Detection)
Pomocí LDAPu zjistí jaké GPO jsou navázany OU, doménu, sít. Z těchto odpovědí si vytvoří seznam všech GPO které jsou na něj aplikovány
Pomocí LDAPu pošle počítač otázku na seznam filtrů na všechny GPO, které našel + si požádá o atributy jako je cesta ke GPT (Group Policy Templates), číslo verze GPC (Group Policy Configuration), gpCMachineExtensionNames a gpCUserExtensionnames attribut.
Počítač pomocí SMB (port TCP 445) se připojí k SYSVOLu a přečte si GPT.INI pro každé GPO které se na něj aplikuje.
Group Policy process začne porovnávat verzi GPO s verzí GPO kterou má lokálně uloženou (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History)
Pokud se verze GPO nezměnila je přeskočena. V GPO se dá nastavit, aby se toto nedělo a politiky se aplikovali pokaždé, i když nenastala změna. Toto se dá vynutit i přes CMD pomocí příkazu gpupdate /force
CSE (Client Side Extension) zjistí zda má dostatečná práva na všechny GPO, které se mají aplikovat. Pokud ne dané GPO je vyhozeno ze seznamu. Pokud je na GPO nastaveno Enforced (vynucené) je v tomto kroku přeneseno na konec seznamu. Tzn. že nastavení z tohoto GPO vždycky vyhrají, pokud nastane nějaký konflikt.
CSE začne zpracovávat jednotlivá GPO
Po každém zpracovaní GPO CSE zalogouje RSoP (Result of Policy) přes WMI do CIMOM database na počítači kde se zpracovájí politiky.
Po přihlášení se celý proces opakuje z nastavením aplikovaných na uživatele
Vyjímky aplikování politik
Globální politiky dokáží detekovat rychlost linky a v případě pomalé linky (méně než 500 kilobits) a několika dalších faktorů, nemusí být některé z politik aplikovány.
Procesy | Aplikování při zjištění pomalé linky | Může se dát změnit? |
Zpracování zásad registru | Ano | Ne |
Nastavení Internet Explorer | Ne | Ano |
Politiky instalování SW | Ne | Ano |
Politiky přesměrování adresy | Ne | Ano |
Scripty | Ne | Ano |
Politiky zabezpečení | Ano | Ne |
Internet Protocol Security (IPSec) | Ne | Ano |
Politiky bezdrátových sítí | Ne | Ano |
EFS Recovery | Ano | Ano |
Politiky diskových kvót | Ne | Ano |
Šablony a ADM a ADMX soubory
Z důvodů rozsáhlosti nastavení a možnosti grafického zobrazení v GPM Skupinových zásad vznikly šablony, které v sobě zahrnují již přednastavené vlastnosti GPO dle použití, nebo slouží k tváření nových GPO. Od Windows Vista a Serveru 2008 zde máme již 2 formáty. Staré ADM a nové ADMX.
ADM
Ve výchozím nastavení při vytváření nových GPO jsou použity vždy dva ADM soubory, a to: Inetres.adm (nastavení aplikace Internet Explorer), a System.adm (nastavení operačního systému Windows). Při vytvoření politiky jsou pak tyto soubory překopírovány z umístění %SystemRoot%\Inf, do příslušné složky GPO v SYSVOL. Každý nový objekt GPO spotřebuje asi 3,5 MB (MB) volného místa ve složce SYSVOL. Ve velkých organizacích s mnoha GPO může toto vést k významnému zatížení replikace složky SYSVOL.
ADMX
Windows Vista a Windows Server 2008 zavádí nový formát pro zobrazení zásad. Zásady jsou definovány pomocí standardů XML formát známý jako soubory ADMX. Tyto nové soubory nahrazují soubory ADM. Windows Vista a Server 2008 nadále rozeznávají i ADM soubory. ADMX soubory jsou uloženy v složce %systemroot%\PolicyDefinitions a při vytváření nové politiky se nekopírují do SYSVOL
výhody ADMX:
jazykově neutrální
neukládají se do SYSVOL
ADMX formát je díky XML standartu kdykoliv rozšiřitelný
Co je centrální úložiště „Central Store“
Centrální úložiště „Central Store“ je nutné vytvořit manuálně v adresáři SYSVOL, aby byla zajištěna replikace tohoto adresáře na všechny DC. Uložiště slouži k uložení ADMX a ADML souborů. Díky centrálnímu úložišti budou jakékoliv změny v šablonách ADMX automaticky replikovány na všechny DC.
Aplikování skupin zásad „Group Policy Processing“
Jak jsem již psal, politiky dělíme na lokální a doménové. Pokud bychom toto rozdělení měli ještě více specifikovat, členění by bylo:
Lokální politiky „Local Group Policy“
Politiky na úrovni sítí „Site Level GPOs“
Politiky na úrovni domény „Domain level GPOs“
Politiky na úrovní organizačních jednotek „Organizational Unit GPOs“
Politiky na úrovní podskupin organizačních jednotek „Any chil Organizational Unit GPOs“
Aplikování politik je pak z úrovně 1 na úroveň 5, tedy pokud na urovni jedna máme nastaveno např. PROXY Enable a na úrovni 4 je PROXY Disable, vyhraje úroveň 4 a proxy v počítači zůstává ve stavu Disable
Ovlivnění aplikování skupin zásad
Samotné aplikování skupin zásad je možné ovlivňovat, a to přímo na urovni každé z politik (GPO). Na každé politice tedy může být nastaveno:
Method | Description |
Blocking inheritance | Blokování dědění doménových politik nebo politik z nadřazených OU |
Enforcement of GPO links | Vynucení politiky. Využívá se, pokud chcete zajistit, že politika nebude přepsána. |
Filtering using security groups | Na Každé GPO je možné nastavit oprávnění, tím můžete definovat, na jaké uživatele či skupiny bude politika aplikována |
Filtering using WMI filters | Pomocí WMI filtrů je možné aplikování politik, třeba jen na PC s WIN XP, nebo na počítače s větší RAM od 3GB atd. |
Disabling GPOs | Můžete zcela zablokovat použití GPO pro danou síť, doménu nebo organizační jednotku. Můžete také zcela vypnout část GPO Uživatele nebo Počítače, aby výsledná politika měla menší velikost |
Co je a jak funguje „Loopback Processing“
Loopback Processing je jedna z možností nastavení GPO na úrovni Computers. Při jeho zapnutí se aplikuje i veškeré nastavení na úrovni Users, i když je politika linkována do kontejneru Computers. Toto se využívá třeba u terminálových serverů, kde je zapotřebí aplikovat zabezpečení uživatele už na úrovní počítače.
Toto nastavení má dva módy:
Merge mode
Replace mode
Delegování oprávnění pro administraci Skupiny zásad
