IT konference TechEd DevCon

Často se mluví o velkém pomocníkovi administrátorů prostředí Windows – Group Policy (zásady skupin). Na toto téma existuje řada výtečných knížek i zdrojů na Internetu. I analytici, kteří využívají hodnotící metodiku podle Gartnera, považují míru využití Group Policy (GP) za jeden z důležitých ukazatelů optimalizace infrastruktury IT. Přesto se často setkáváme s tím, že je brána tak trochu na hůl. Administrátoři GP znají, nicméně používají často jen nepatrnou část z potenciálu, který nabízí. Pokud jste doposud odolávali, třeba vás přesvědčí informace o Group Policy Preferences (GPP), což je další významné rozšíření možností GP. Pojďme se podívat, oč jde!

Jan HornýJan Horný
SoftwareSoftware
09.09.2009 12:05:0009.09.2009 12:05:00

Jan Horný

technický a licenční specialista

Microsoft

Články o různých produktech Microsoft, které nemají vlastní seriály
  1. Sedm důvodů pro Microsoft Office 2007 SB Edition
  2. Správný čas pro Microsoft Office 2007!
  3. Windows Product Activation
  4. Microsoft Expression 2
  5. SBS, EBS… aneb naše malé už i pro velké
  6. Jak dlouho si vystačíte se starými verzemi
  7. Migrace ze SourceSafe na Team Foundation Server
  8. Fenomén Windows 7
  9. Office 2007 a Vy
  10. Windows Vista a Visual Studio
  11. Dobře upletená síť
  12. SQL Server – mozek vaší organizace: Postarejte se o něj!
  13. Windows 7? Teď je ještě stihnete!
  14. Windows 7 - další dotek...
  15. Co to pořád s těmi licencemi máte?!
  16. Dokonalá komunikace
  17. Windows Essential Business Server
  18. Virtualizace ve sféře Small Businessu
  19. Windows Server 2008 R2
  20. Instalace Exchange Serveru 2010
  21. Exchange Server 2010
  22. Group Policy Preferences: báječný doplněk vašich politik!
  23. Novinky v Team Foundation Serveru 2010
  24. SharePoint – velká posila vašeho týmu
  25. BPOS: vskutku atraktivní hostitel
  26. Office 2010 ve firmě i doma,zadarmo i za peníze
  27. Expression Studio 4 Web Professional skoro zadarmo?
  28. Už není proč čekat: SharePoint 2010
  29. Nový způsob komunikace – Office Communicator, Live Meeting
  30. Licence pro desktopy v datacentrech: VDA, VDI, VECD
  31. BI, SQL a Excel
  32. Visual Studio Team Foundation Server 2010
  33. Business Inteligence pro každého: PowerPivot
  34. Visual Studio Test Professional 2010
  35. Enrollment for Education Solutions (EES)
  36. Internet Explorer 9
  37. Forefront Endpoint Protection 2010 - cesta k optimalizaci provozu desktopů
  38. Zcela jiný pohled na zabezpečení dat
  39. Bezpečnost, dostupnost, výkon
  40. Mějte informace po ruce. V SharePointu.
  41. Průvodce městem E CAL Town
  42. Aplikační servery v cloudu – vítaná změna podmínek
  43. Produkty System Center pro vaše pohodlí
  44. Opalis(ace)
  45. Úspory v datových centrech
  46. Office 365 aneb produktivita mezi nebem a zemí
  47. Jak vybrat licenční model pro poskytování IT služeb?
  48. Požadavky v organizaci a jejich vyřízení
  49. Dodejte své firmě energii jádra!
  50. Windows Server 2008 R2
  51. Exchange Server 2010 – víc než jen Mail Server
  52. Microsoft SharePoint 2010
  53. LYNC Standard CAL jako součást CORE CAL
  54. Forefront Endpoint Protection 2010
  55. SCCM: Chodí to dobře. A seje to!
  56. Microsoft Visual Studio LightSwitch
  57. Windows Intune
  58. Microsoft Product Activation
  59. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích.
  60. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích PODRUHÉ.
  61. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích POTŘETÍ.
  62. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích POČTVRTÉ.
  63. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích Q & A.
  64. Síla mraku výhodně
  65. Office 365 s ostružinkou
  66. Studenti a legální software
  67. Mráčky a zase mráčky
  68. System Center 2012: licenční změny
  69. CRM? Zapomeňte na písmeno C
  70. Komunikace 21. století pro všechny…
  71. Co nikdy nedělat s SBS 2008/2011
  72. Slevy pro vývojáře
  73. VDI je cesta. Ale k čemu?
  74. Ochrana obsahu a informací – je to i pro mě?
  75. Active Directory Right Management Services – licence
  76. Windows Intune – efektivní správa koncových zařízení, která nejsou pod jednou střechou
  77. Lék na nemoci vývoje – je na co se těšit!
  78. Nástupce Windows SBS 2011 – Windows Server 2012 Essentials
DAQUAS
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Group Policy Preferences: báječný doplněk vašich politik!

Často se mluví o velkém pomocníkovi administrátorů prostředí Windows – Group Policy (zásady skupin). Na toto téma existuje řada výtečných knížek i zdrojů na Internetu. I analytici, kteří využívají hodnotící metodiku podle Gartnera, považují míru využití Group Policy (GP) za jeden z důležitých ukazatelů optimalizace infrastruktury IT. Přesto se často setkáváme s tím, že je brána tak trochu na hůl. Administrátoři GP znají, nicméně používají často jen nepatrnou část z potenciálu, který nabízí. Pokud jste doposud odolávali, třeba vás přesvědčí informace o Group Policy Preferences (GPP), což je další významné rozšíření možností GP. Pojďme se podívat, oč jde!

Group Policy Preferences (dále jen GPP) není vlastně vůbec novinka, původem se jedná o produkt PolicyMaker získaný akvizicí firmy DesktopStandard Corporation v říjnu 2006. Tato firma správně odhalila ohromný potenciál v architektuře adresářových služeb a klientech spravovaných prostřednictvím snadno uchopitelné technologie, jež je nad adresářovými službami vytvořena. Microsoft tak získal produkt, který významně posouvá schopnosti GP. Uvedl ho primárně pro Windows Server 2008 a Windows Vista, nicméně spravovat jím můžete i starší operační systémy. Než si povíme, co všechno GPP umí, vysvětleme si, jak se liší od GP a co je potřeba, aby to celé naplno fungovalo.

Začneme od Group Policy. Jedná se o nastavení operačního systému nebo aplikací, která jsou bez ohledu na práva uživatele nekompromisně vynucena a uživatel je nemá možnost změnit. Takto ošetřené aplikace nebo součásti operačního systému musí o tom, že jsou spravovány prostřednictvím GP, „vědět“. A teprve tehdy je možné na ně politiky aplikovat. Vzhledem k tomu, že u zrodu GP stál Microsoft, našlo se uplatnění zpočátku jen při nastavení a správě některých částí operačního systému. Aplikace třetích stran tak nebylo možné spravovat vůbec a celá řada nastavení i v samotném systému byla s GP odkázána na komplikované a špatně spravovatelné login scripty, či distribuce souborů .reg obsahujících požadované změny v registrech. Nebo se také nedala provádět vůbec.

Group Policy Preferences rozšiřuje tvrdé „managed settings“ o centralizovaně spravovaný systém pro distribuci nastavení – těch měkkých, která se zapisují do běžné části registru (uživatele nebo počítače) a uživatel má možnost taková nastavení dočasně nebo úplně změnit. GPP vyžadují na rozdíl od GP na straně spravovaného stroje speciálního klienta (Group Policy Preferences Client-side Extension,CSE), kterého je nutné do starších operačních systémů doinstalovat. Podporovány jsou Windows XP SP2, Windows Server 2003 SP1 a Windows Vista SP1; Windows Server 2008 a Windows 7 již CSE obsahují, pro Windows Vista ho přináší SP2. Všechny novější desktopové OS ho budou obsahovat stejně jako vlastní podporu GP. Klient je dostupný nejen na stránkách Microsoft download, ale také jako volitelná aktualizace služby Windows Update, nebo prostřednictvím WSUS. Podporována je jak 32bitová, tak i 64bitová platforma.

rozbalený strom nastavení GPP pro uživetele v nové Group Policy Management konzoli

Jak pracuje GPP?

Na rozdíl od vynucených politik, které jsou v registrech zapisovány do speciální větve, se GPP zapisují do běžných a přístupných částí registrů. A z toho pramení i většina rozdílů. Aplikace nebo součást operačního systému, kterou můžeme označit jako „Group Policy-aware“, se nejprve podívá právě do větve registru pro politiky a pokud tam konkrétní nastavení existuje, uplatní se hodnota načtená z tohoto místa bez ohledu na to, co se nalézá v běžné části pro uživatele nebo počítač (HKCU/HKLM). Se změnou nastavení je i patřičná část uživatelského rozhraní „zamčena“ (disabled), takže uživatel nemá šanci nastavení změnit. Politiky jsou navíc cyklicky obnovovány (ve výchozím stavu po 90 minutách), čímž je zajištěno jejich permanentní aktuální nastavení.

Group Policy Preferences však používají tu část registrů, kam si aplikace a OS přímo ukládají svá nastavení. Podporují tak jakoukoliv aplikaci, aniž by byla „Group Policy-aware“. Nijak neovlivňují uživatelské rozhraní – z pohledu, že by jeho části byly pro uživatele zablokovány – uživatel tak má většinou možnost nastavení změnit. GPP sice podléhají stejnému režimu obměny jako GP, nicméně je zde další zásadní rozdíl v tom, že si u každé položky pravidelnou obnovu mohu zapnout nebo vypnout. Najdete zde ještě několik drobných odlišností, ale ty ponechám již k samostatnému studiu (určitě nevynechte možnost filtrování pomocí WMI).

Pro správce je funkcionalita plně integrována do novější verze Group Policy Management Console (GPMC), která je poprvé dostupná ve Windows 2008 Serveru. Pokud potřebujete spravovat GP i GPP z klientského počítače, je třeba nainstalovat Remote Server Administration Tools (RSAT, pouze pro Windows Vista SP1 a novější). Podporovány jsou obě platformy (32 i 64 bitů) a v případě Windows Vista se jedná o poměrně malinký balíček (18 MB), zatímco pro Windows 7 se připravte na pořádný balík (215 MB!).

Co všechno lze pomocí GPP nastavovat?

Obecně, pokud je to v registry nebo nějakém .ini souboru, tak v podstatě cokoliv. Když se podíváte na obrázek ukazující větev pro User Preferences, bude vám celkem jasno. U každé položky (Drive Maps, Files, Folders…) můžete vytvořit libovolné množství atributů podle svých potřeb.

Pro představu se třeba podívejme, co je možné vytvořit u položky Networking. Máte zde dvě volby: dial-up připojení a VPN (nevěřím, že by se vám nelíbilo pomocí politik konfigurovat uživatelům VPN připojení). Najdete zde tytéž volby jako při konfiguraci VPN přímo na počítači. Podrobněji se zastavím jen u první a poslední záložky. První záložka VPN Connection obsahuje hned zkraje informaci významně související s GPP – položka Action. Může nabývat hodnot: Create, Replace, Update či Delete a určuje tak akci, která se má s danou položkou odehrát. Asi zdaleka nejzajímavější je závěrečná záložka Common, se kterou se u nastavování GPP setkáte vždy. Volíte zde některé prvky chování, jako třeba jestli se nastavení provede pouze jednou. Najdete tu také volbu Item-level targeting. Po stisku tlačítka Targeting… se vám zobrazí vskutku vychytané dialogové okno Targeting Editoru (alespoň nějakou představu si uděláte z obrázku níže). Zde pak s neobyčejnou přesností, neobyčejně snadno a přehledně vytvoříte pravidla určující, na které počítače se daná „preference“ bude aplikovat. Když si prohlédnete, jaké všechny možnosti jsou přednastavené, jen si postesknete, proč tu něco takového nebylo už dávno ;-)

ukázka Targeting Editoru: zde je vidět z čeho všeho je možné při vytváření podmínek vybírat

Pokud by vám to bylo málo, můžete pokládat libovolné dotazy do Active Directory prostřednictvím LDAP Query a nebo využít WMI Query, jehož možnosti jsou téměř nekonečné...

Z dalších mnoha funkcí, co ještě GPP nabízí a jsou z mého pohledu neobyčejně užitečné, zmíním jen globální změnu vlastností lokálních účtů (Local Users and Groups) včetně nastavení hesel, vytváření datových zdrojů (Data Sources) nebo vytváření plánovaných úloh (Scheduled Tasks).

Group Policy Preferences je báječný doplněk, který významně zredukuje vaše logon scripty. Zefektivní a zpřehlední správu prostředí Windows. Spravovat je musíte sice z nejnovějších serverových či desktopových(!) OS (Windows Server 2008/Windows Vista a dál), nicméně aplikovat je můžete na téměř každé IT prostředí v našich končinách. Rozhodně tedy na ta prostředí, která jsou ještě z pohledu společnosti Microsoft podporována. Pokud se vám stále někde toulají Windows 2000 (nebo nedej bože něco staršího), jsou Group Policy Preferences jedním z dalších (a snad konečně rozhodujících) důvodů pro rychlou výměnu veteránů za platformu, kterou můžete opravdu efektivně a spolehlivě spravovat.

Užitečné odkazy

Group Policy Team Blog

Server Group Policy