Návody


V poslední době se představilo už několik projektů automobilů, které není potřeba řídit silou lidskou, tedy tradičním modelem člověk – řidič. Už není potřeba znát, co z těch tří věcí u podlahy je spojka, co plyn a čím to proboha zastavím. Namísto toho se o správný směr stará technologie na bázi satelitní navigace, o rychlost a pohodovou cestu výkonný počítač vyhodnocující tisíce informací za vteřinu. A posádka? Ta se může soustředit na sebe sama. Může pracovat nebo se bavit s přáteli. Říkáte si, že to je sci-fi? Pro sériově vyráběná auta ještě na chvíli ano, ale pro ty, kdo nechtějí své IT řídit „ručně“, máme zítřek už dnes.

externí autořiexterní autoři
SoftwareSoftware
17.03.2015 15:58:0017.03.2015 15:58:00

externí autoři

externí přispěvatelé magazínu softwarový QUAS

DAQUAS
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Group Policy – IT volant pro správné řízení

V poslední době se představilo už několik projektů automobilů, které není potřeba řídit silou lidskou, tedy tradičním modelem člověk – řidič. Už není potřeba znát, co z těch tří věcí u podlahy je spojka, co plyn a čím to proboha zastavím. Namísto toho se o správný směr stará technologie na bázi satelitní navigace, o rychlost a pohodovou cestu výkonný počítač vyhodnocující tisíce informací za vteřinu. A posádka? Ta se může soustředit na sebe sama. Může pracovat nebo se bavit s přáteli. Říkáte si, že to je sci-fi? Pro sériově vyráběná auta ještě na chvíli ano, ale pro ty, kdo nechtějí své IT řídit „ručně“, máme zítřek už dnes.

Ten zítřek, který jsme měli už včera a můžeme využívat dnes, se jmenuje Group Policy (GPO) a je to funkce každého Windows Serveru. Stejně jako asistent pro parkování, udržení jízdního pruhu, detektor mrtvého úhlu a další užiteční pomocníci v autech byly GPO vyvinuty pro eliminaci chyb způsobených lidským faktorem, zjednodušení života IT správců nebo automatizaci rutinních kroků.

Kdybychom se na chvilku ocitli v mýtickém světě, dalo by se s nadsázkou a přeháněním říci, že GPO jsou jako bílý jednorožec. Všichni o nich mluví, ale nikdo je nikdy neviděl. Tím je hlavně myšleno, že GPO v hledáčku IT správců jsou, ale jen relativně málo z nich opravdu ví, co všechno za „kouzla“ se s nimi dá provádět. Kolik práce a času by jim tato funkce dokázala ušetřit, kdyby si před každým svým úkolem řekli „A nešlo by to nastavit hromadně?“. Faktem je, že GPO není zrovna ta funkcionalita, která by byla skloňována s příchodem nových verzí Windows Serveru. Správci IT tak asi bohužel netuší, jakou šikovnou popelku mají ve své infrastruktuře. Krásnou a šikovnou dívku, která dokáže býti princeznou, když se jí nandá ten správný střevíček. Do té chvíle je v kuchyni a čeká na své objevení. A vy můžete být tím princem. A po svatbě i králem vašeho IT. 

Group Policy, to je jízda

Asi úplně nejdříve by bylo dobré si říci, co to vlastně Group Policy je a k čemu slouží. Pro začátek a srozumitelnost se dohodněme, že tomu budeme říkat „GPO“. GPO slouží k hromadnému nastavení systému Windows a jeho komponent. Ba co více, GPO umí nastavit i různé další produkty, a to platí nejen pro Microsoft. Za všechny jmenujme třeba Microsoft Office, Google Chrome, Lync a další produkty. Určitě si teď říkáte, že si nedovedete úplně představit, co to jsou ta hromadná nastavení. Jako přesně čeho? Skoro všeho, co na Windows je. Samotných položek ke konfiguraci je asi 3500, takže není v moci tohoto článku je zde jmenovat všechny, ale probereme si pro představu ty nejzajímavější.

Editor politiky má sekce Computer ConfigurationUser Configuration. U počítačové konfigurace bude zvolené nastavení platit pro všechny uživatele, kteří se na daný počítač přihlásí. U uživatelské konfigurace je zase zvolené nastavení aplikováno všude tam, kde se uživatel přihlásí. Bez ohledu na to, jaký počítač to je. Proto je cca 75 % položek v obou sekcích stejných. Členění je dále následující:

Software: GPO umí instalovat software na počítače pomocí MSI balíčků. Jedná se ovšem o zcela základní nástroj distribuce softwaru bez možnosti kontroly nad distribucí, reportingu a tak dále. Rozhodně se nejedná o náhradu nebo alternativu třeba k SCCM.

Windows Security: Tato sekce je dále členěna a nabízí řadu zajímavých možností. Za všechny například:

  • Nastavení přiřazování práv k souborovému systému
  • Nastavení přiřazování práv k operačnímu systému
  • Distribuce nastavení WiFi sítí
  • Start skripty
  • Nastavení zásad softwaru (Jaký software je povoleno nebo zakázáno na firemních počítačích spouštět)
  • Nastavení systémových služeb
  • Nastavení registru

Šablony pro správu:

  • Nastavení Windows: plocha, firewall, šetřič obrazovky, soubory offline a mnoho dalšího
  • Komponenty Windows: Internet Explorer, Media Player, Bitlocker, Mobility Center, Windows Update

Pro každou komponentu je k dispozici velká sada nastavení a tak může správce přizpůsobovat prostředí uživatelů vskutku ku obrazu svému, dle přísného bezpečnostního manuálu či dle potřeb náročných uživatelů.

A pak jsou zde ještě tzv. Předvolby. Pomocí Předvoleb se dají nastavit další neméně zajímavé věci:

  • Distribuce složek a souborů
  • Nastavení registrů Windows
  • Nastavení sdílení složek
  • Tvorba zástupců
  • Konfigurace hardwaru zařízení
  • Nastavení možností složky
  • Nastavení lokálních uživatelů a skupin
  • Možnost tvorby centrálních plánů napájení a jejich aktivace
  • Tvorba a konfigurace naplánovaných úloh
  • Tvorba nových a nastavení existujících služeb Windows

Předvolby je možno vytvářet, aktualizovat existující, nahrazovat existující nebo mazat jednotlivé položky. A co více, jejich součástí je editor filtrování. To v praxi znamená, že každou položku v rámci Předvoleb lze aplikovat na počítače nebo uživatele až po splnění určitých podmínek. Třeba „použij, jen když je uživatel členem specifické skupiny nebo je počítač přenosný“. Těchto podmínek je k dispozici velké množství a díky WMI jsou možnosti téměř neomezené. Na obrázku vidíte jak seznam všech Předvoleb (Preferences), tak příklad filtrování a jednotlivých možností.

Ono se to nemusí nutně vědět, ale spousta nastavení Windows je řízena politikou, aniž by si to správce nebo uživatel uvědomoval. :-) Však si zkuste spustit gpedit.msc na lokálním počítači a uvidíte.

Kde ten auťák parkuje?

Group Policy jsou součástí každého Windows Serveru od chvíle, kdy se stane doménovým řadičem. Právě s rolí Active Directory Domain Services se GPO automaticky instalují. Jinak řečeno, abychom mohli GPO využívat, musíme mít AD doménu.

Pokud jde o správu GPO, tam je to o něco flexibilnější. Administrace se provádí skrze Group Policy Management Console (GPMC). Ta je součástí Windows Serveru jako funkce a pro klientské počítače jako třeba Windows 8 je k dispozici balík nástrojů pro vzdálenou správu serveru, též známý jako RSAT (Remote Server Administration Tools). RSAT se dá zdarma stáhnout z Microsoft Down­load Center.

GPMC je centrální nástroj, který po připojení k doménovému řadiči umožňuje správu skupinových politik. Pro správce je to zcela nepostradatelný pomocník. Rovněž umí diagnostikovat, jaké politiky jsou na jednotlivé počítače nebo uživatele aplikovány nebo naopak proč aplikovány nebyly.

Potřebuji to vlastně?

Rozhodně ano! V každé firmě se nalezne řada činností, které provádí správce IT a obchází kvůli nim uživatele. Nebo je potřeba udělat opatření, která pro změnu uživatelé nebudou schopni obejít. Třeba aby se jim po určitém čase nečinnosti zamykala plocha. Je nepřeberné množství takových situací, které jsou GPO schopny řešit. Dají se využít na řadu úkonů. Efektivní správou desktopů počínaje a posílením bezpečnosti IT konče.

Čas jsou peníze. A proč je investovat do manuálních činností správce IT a tvorby různých řešení, když v každém doménovém řadiči na Windows Serveru je k dispozici nástroj, který to může zvládnout centralizovaně, přehledně a jednoduše? Není to škoda? Stačí jej jen správně použít.

Jan Pilař, KPCS CZ, pilar@kpcs.cz