Co jsou skupiny zásad (Group Policy)

Skupiny zásad (Group Policy) je nástroj pro hromadnou správu oprávnění a nastavení aplikovaných jak na celý počítač, tak na přihlášeného uživatele. Ve skupinách zásad je možné vytvářet kolekce nastavení, kterým říkáme Group Policy Object GPO, které dokáží měnit konkrétní parametry chování počítače nebo uživatele. Samotné nastavení GPO se pak "linkuje" na jednotlivé oragnizační jednotku OU v AD, čímž zajistíte aplikování nastavení jen na vybrané počítačenebo uživatele. Tímto způsobem tedy můžeme spravovat potenciálně tisíce počítačů nebo uživatelů změnou jednoho GPO.

Group Policy

nástroj pro hromadnou správu oprávnění a nastavení aplikovaných jak na celý počítač, tak na přihlášeného uživatele
Používá se pro:

• aplikování firemních standardů (skrytí ovládacích panelů, síťové tiskárny, spuštění scriptů)
• aplikování zabezpečení (změna oprávnění na určitých složkách, složitost hesla, skupiny s možností se lokálně přihlásit)
• hromadná instalace aplikací (Office, Adobe Reader, atd.)

Group Policy Object "GPO"

seskupení několika nastavení najednou

• komponenta globální politiky
• dělí se na nastavení pro počítač tak na nastavení pro uživatele
• linkují se na organizační jednotky OU v AD
• jeden GPO může být linkován hned na několik OU

Policy "Politiky"

• politiky dělíme na Lokální a Doménové

Lokální:

každý počítač od Windows 2000 má lokální politiky (local Group Policy), které ovlivňují lokální počítač a přihlášené uživatele. Pokud počítač není připojen do domény, tak právě lokální politiky jsou jako jediné použity .

Př. Pokud vytvoříte uživatele a nastavíte mu omezené oprávnění, chování tohoto uživatele vymezuje právě lokální politika.

Lokální politiky jsou uloženy ve skrytém adresáři %systemroot%\system32\GroupPolicy

Doménové:

doménové politiky lze použít výhradně u počítaču a uživatelů, jenž jsou členy nějaké domény. Existují dvě základní doménové politiky, které jsou vytvořeny již při instalaci AD

Struktura GPO

Group Policy obsahuje neco přes 2 400 různých nastavení ovlivňující chování jak počítače tak přihlášeného uživatele. Není bohužel možné použít všechny nastavení na všechny operační systémy najednou (2000, XP, Vista, 7), jelikož s každým novým operačním systémem přichází stovky nových nastavení, které lze však použít pouze pro daný systém. Pokud by jste tedy použili nastavení určené pro Windows XP SP2 na Windows 2000 bude je jednoduše ignorovat.

Doporučujeme číst popisy všech nastavení, kde se uvádí, pro jaký systém bude nastavení aplikováno

rozdělení GPO

 globální politiky se dělí na dvě části, a to konfigurace počítače (Computer configuration) a konfigurace uživatele (User configuration)

Při vytváření GPO máte možnost jednu z částí (Users/Computers) vypnout a tak snížit celkovou velikost vytvořené GPO

každá z těchto částí se dělí na další tři sekce:

• nastavení softwaru (Software settings)
• nastavení systému Windows (Windows settings)
• šablony pro správu (Administrative templates)

Jak jsou skupiny zásad (GPO) aplikovány

Aplikování Skupin zásad je na dvou úrovních a to zvlášť pro konfigurace počítače a zvlášť pro konfigurace uživatele. Oboje zajišťuje služba Group Policy Client.

Aplikování konfigurace počítače

• při startu počítače a jinak každých 90 minut
• aplikuji se Startup scripty

aplikování konfigurace počítače každých 90min. je až od Windows Vista. Windows XP se aplikovaly pouze při spuštění počítače.

Aplikování konfigurace uživatele

• při zalogování uživatele a jinak každých 90 minut
• aplikuji se Logon scripty

Pomocí příkazu gpupdate /force lze znovu aplikovat všechny politiky

Jak se GPO zpracovává při spouštění počítace:

1. Počítač najde DC a přihlásí se k němu, stejně jako uživatel. Pro úspešné přihlášení musí být povolené následující porty. UDP 53 (DNS), UDP a TCP 389 (LDAP), TCP 135 (RPC Portmapper), UDP 88 (Kerbedos)
2. Počítač pomocí ICMP paketů zjistí zda je na pomalé lince (Slow Link Detection)
3. Pomocí LDAPu zjistí jaké GPO jsou navázany OU, doménu, sít. Z těchto odpovědí si vytvoří seznam všech GPO které jsou na něj aplikovány
4. Pomocí LDAPu pošle počítač otázku na seznam filtrů na všechny GPO, které našel + si požádá o atributy jako je cesta ke GPT (Group Policy Templates), číslo verze GPC (Group Policy Configuration), gpCMachineExtensionNames a gpCUserExtensionnames attribut.
5. Počítač pomocí SMB (port TCP 445) se připojí k SYSVOLu a přečte si GPT.INI pro každé GPO které se na něj aplikuje.
6. Group Policy process začne porovnávat verzi GPO s verzí GPO kterou má lokálně uloženou (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History)
7. Pokud se verze GPO nezměnila je přeskočena. V GPO se dá nastavit, aby se toto nedělo a politiky se aplikovali pokaždé, i když nenastala změna. Toto se dá vynutit i přes CMD pomocí příkazu gpupdate /force
8. CSE (Client Side Extension) zjistí zda má dostatečná práva na všechny GPO, které se mají aplikovat. Pokud ne dané GPO je vyhozeno ze seznamu. Pokud je na GPO nastaveno Enforced (vynucené) je v tomto kroku přeneseno na konec seznamu. Tzn. že nastavení z tohoto GPO vždycky vyhrají, pokud nastane nějaký konflikt.
9. CSE začne zpracovávat jednotlivá GPO
10. Po každém zpracovaní GPO CSE zalogouje RSoP (Result of Policy) přes WMI do CIMOM database na počítači kde se zpracovájí politiky.
11. Po přihlášení se celý proces opakuje z nastavením aplikovaných na uživatele

Vyjímky aplikování politik

Globální politiky dokáží detekovat rychlost linky a v případě pomalé linky (méně než 500 kilobits) a několika dalších faktorů, nemusí být některé z politik aplikovány.

Šablony a ADM a ADMX soubory

Z důvodů rozsáhlosti nastavení a možnosti grafického zobrazení v GPM Skupinových zásad vznikly šablony, které v sobě zahrnují již přednastavené vlastnosti GPO dle použití, nebo slouží k tváření nových GPO. Od Windows Vista a Serveru 2008 zde máme již 2 formáty. Staré ADM a nové ADMX.

ADM

Ve výchozím nastavení při vytváření nových GPO jsou použity vždy dva ADM soubory,  a to: Inetres.adm (nastavení aplikace Internet Explorer), a System.adm (nastavení operačního systému Windows). Při vytvoření politiky jsou pak tyto soubory překopírovány z umístění %SystemRoot%\Inf, do příslušné složky GPO v SYSVOL. Každý nový objekt GPO spotřebuje asi 3,5 MB (MB) volného místa ve složce SYSVOL. Ve velkých organizacích s mnoha GPO může toto vést k významnému zatížení replikace složky SYSVOL.  

ADMX

Windows Vista a Windows Server 2008 zavádí nový formát pro zobrazení zásad. Zásady jsou definovány pomocí standardů XML formát známý jako soubory ADMX. Tyto nové soubory nahrazují soubory ADM. Windows Vista a Server 2008 nadále rozeznávají i ADM soubory. ADMX soubory jsou uloženy v složce %systemroot%\PolicyDefinitions a při vytváření nové politiky se nekopírují do SYSVOL

výhody ADMX:

• jazykově neutrální
• neukládají se do SYSVOL
• ADMX formát je díky XML standartu kdykoliv rozšiřitelný

Co je centrální úložiště "Central Store"

Centrální úložiště "Central Store" je nutné vytvořit manuálně v adresáři SYSVOL, aby byla zajištěna replikace tohoto adresáře na všechny DC. Uložiště slouži k uložení ADMX a ADML souborů. Díky centrálnímu úložišti budou jakékoliv změny v šablonách ADMX automaticky replikovány na všechny DC.

Aplikování skupin zásad "Group Policy Processing"

Jak jsem již psal, politiky dělíme na lokální a doménové. Pokud bychom toto rozdělení měli ještě více specifikovat, členění by bylo:

1. Lokální politiky "Local Group Policy"
2. Politiky na úrovni sítí "Site Level GPOs"
3. Politiky na úrovni domény "Domain level GPOs"
4. Politiky na úrovní organizačních jednotek "Organizational Unit GPOs"
5. Politiky na úrovní podskupin organizačních jednotek "Any chil Organizational Unit GPOs"

Aplikování politik je pak z úrovně 1 na úroveň 5, tedy pokud na urovni jedna máme nastaveno např. PROXY Enable a na úrovni 4 je PROXY Disable, vyhraje úroveň 4 a proxy v počítači zůstává ve stavu Disable

Ovlivnění aplikování skupin zásad

Samotné aplikování skupin zásad je možné ovlivňovat, a to přímo na urovni každé z politik (GPO). Na každé politice tedy může být nastaveno:

Co je a jak funguje "Loopback Processing"

Loopback Processing je jedna z možností nastavení GPO na úrovni Computers. Při jeho zapnutí se aplikuje i veškeré nastavení na úrovni Users, i když je politika linkována do kontejneru Computers. Toto se využívá třeba u terminálových serverů, kde je zapotřebí aplikovat zabezpečení uživatele už na úrovní počítače.

Toto nastavení má dva módy:

• Merge mode
• Replace mode

Delegování oprávnění pro administraci Skupiny zásad