Správa zásad skupiny

Zásady skupiny je technologie správy služby Active Directory pro systém Windows, která zajišťuje centralizovanou správu nastavení konfigurace. Ačkoli se nejedná o jediné dostupné řešení správy – lze použít také prostředí PowerShell Desired State Configuration (DSC) a Mobile Device Management (MDM) – zásady skupiny jsou doporučenou technologií pro klientská zařízení připojená k doméně, protože poskytují podrobnější řízení než jiná řešení.

Konzola pro správu zásad skupiny

Nastavení zásad skupiny se konfigurují v objektech zásad skupiny (GPO). Objekty GPO můžete propojit s doménami, lokalitami a organizačními jednotkami (OU). Pro ještě větší kontrolu lze objekty GPO aplikovat podle výsledků filtrů Windows Management Instrumentation (WMI), ačkoli filtry WMI by se měly používat střídmě, protože mohou výrazně prodloužit dobu zpracování zásad.

Konzola pro správu zásad skupiny (GPMC) je integrovaný nástroj pro správu systému Windows, který umožňuje správcům spravovat zásady skupiny v doménové struktuře služby Active Directory a získávat data pro řešení problémů se zásadami skupiny. Konzolu pro správu zásad skupiny najdete v nabídce Nástroje aplikace Microsoft Windows Server Manager. Pro každodenní úlohy správy není vhodné používat řadiče domény, proto byste si měli nainstalovat nástroje pro vzdálenou správu serverů (RSAT) pro danou verzi systému Windows.

Instalace konzoly pro správu zásad skupiny

Pokud používáte systém Windows 10 verze 1809 nebo novější, můžete GPMC nainstalovat pomocí aplikace Nastavení:

1. Otevřete aplikaci Nastavení stisknutím kláves WIN+I. Stiskněte klávesy WIN.
2. Klikněte na položku Aplikace v části Nastavení systému Windows.
3. Klikněte na položku Spravovat volitelné funkce.
4. Klikněte na položku + Přidat funkci.
5. Klikněte na položku RSAT:

Obrázek 1: Nástroje pro správu zásad skupiny a klikněte na tlačítko Instalovat. Instalace Konzoly pro správu zásad skupiny pomocí rozhraní aplikace Nastavení

Pokud používáte starší verzi systému Windows, budete muset stáhnout správnou verzi RSAT z webových stránek společnosti Microsoft.

Pro větší pohodlí si možná budete chtít nainstalovat také Správce serveru. Pokud se však rozhodnete tak neučinit, můžete přidat GPMC do konzoly MMC (Microsoft Management Console) a konzolu uložit.

Použití konzoly pro správu zásad skupiny

Každá doména AD má dva výchozí objekty GPO:

• Výchozí zásady domény, které jsou spojeny s doménou
• Výchozí zásady řadičů domény, které jsou spojeny s organizační jednotkou řadiče domény

Všechny objekty GPO v doméně můžete zobrazit kliknutím na kontejner Objekty zásad skupiny v levém podokně konzoly GPMC.

Obrázek 2. Rozhraní konzoly pro správu zásad skupiny

Vytvoření nového objektu zásad skupiny

Neměňte zásady Výchozí řadiče domény ani Výchozí zásady domény. Nejlepší způsob, jak přidat vlastní nastavení, je vytvořit nový objekt GPO. Existují dva způsoby, jak vytvořit nový objekt GPO:

• Pravým tlačítkem myši klikněte na doménu, lokalitu nebo organizační jednotku, se kterou chcete nový objekt GPO propojit, a vyberte možnost Vytvořit objekt GPO v této doméně a propojit jej zde… Po uložení bude nový objekt GPO okamžitě propojen a aktivován.
• Pravým tlačítkem myši klikněte na kontejner Objekt zásad skupiny a z nabídky vyberte možnost Nový. Nový objekt GPO budete muset ručně propojit tak, že kliknete pravým tlačítkem myši na doménu, lokalitu nebo organizační jednotku a vyberete možnost Propojit existující objekt GPO. To můžete provést kdykoli.

Nezávisle na způsobu vytvoření nového objektu GPO je třeba v dialogovém okně Nový objekt GPO zadat jeho název a můžete zvolit, zda bude vycházet z existujícího objektu GPO. Informace o dalších možnostech naleznete v následující části.

Úprava objektu zásad skupiny

Chcete-li upravit objekt GPO, klikněte na něj v GPMC pravým tlačítkem myši a z nabídky vyberte možnost Upravit. Editor správy zásad skupiny služby Active Directory se otevře v samostatném okně.

Obrázek 3. Obrázek 3: Editor zásad skupiny služby Active Directory. Rozhraní Editoru správy zásad skupiny

Osady GPO jsou rozděleny na nastavení počítače a uživatele. Nastavení počítače se použijí při spuštění systému Windows a uživatelská nastavení se použijí při přihlášení uživatele. Zpracování zásad skupiny na pozadí aplikuje nastavení pravidelně, pokud je v objektu GPO zjištěna změna.

Zásady vs. předvolby

Uživatelská a počítačová nastavení se dále dělí na zásady a předvolby:

• Zásady netapetují registr – pokud je nastavení v objektu GPO změněno nebo objekt GPO vypadne z oblasti působnosti, nastavení zásad se odstraní a místo něj se použije původní hodnota. Nastavení zásad je vždy nadřazeno nastavení konfigurace aplikace a bude zašedlé, aby je uživatelé nemohli měnit.
• Předvolby ve výchozím nastavení tetují registr, ale toto chování lze konfigurovat pro každé nastavení předvoleb. Předvolby přepíší konfigurační nastavení aplikace, ale vždy umožní uživatelům měnit konfigurační položky. Mnoho konfigurovatelných položek v předvolbách zásad skupiny jsou položky, které mohly být dříve nakonfigurovány pomocí přihlašovacího skriptu, například mapování jednotek a konfigurace tiskáren.

Pro konfiguraci jejich nastavení můžete rozbalit zásady nebo předvolby. Tato nastavení se pak použijí na objekty počítačů a uživatelů, které spadají do oblasti působnosti objektu GPO. Například pokud nový objekt GPO propojíte s organizační jednotkou řadiče domény, budou nastavení aplikována na objekty počítačů a uživatelů umístěné v této organizační jednotce a všech podřízených organizačních jednotkách. Pomocí nastavení Blokovat dědičnost na lokalitě, doméně nebo organizační jednotce můžete zabránit tomu, aby se objekty GPO, které jsou propojeny s nadřazenými objekty, aplikovaly na podřízené objekty. U jednotlivých objektů GPO můžete také nastavit příznak Vynutit, který potlačí nastavení Blokovat dědičnost a všechny konfigurační položky v objektech GPO, které mají vyšší prioritu.

Přednost objektů GPO

K doménám, lokalitám a organizačním jednotkám lze připojit více objektů GPO. Po kliknutí na jeden z těchto objektů v GPMC se vpravo na kartě Propojené objekty zásad skupiny zobrazí seznam propojených objektů GPO. Pokud je propojených objektů GPO více než jeden, mají objekty GPO s vyšším pořadovým číslem propojení přednost před nastaveními nakonfigurovanými v objektech GPO s nižším číslem.

Pořadové číslo propojení můžete změnit kliknutím na objekt GPO a pomocí šipek vlevo jej přesunout nahoru nebo dolů. Na kartě Dědičnost zásad skupiny se zobrazí všechny použité objekty GPO, včetně těch, které byly zděděny z nadřazených objektů.

Obrázek 4: Dědičnost zásad skupiny. Informace o všech použitých objektech GPO v GPMC

Pokročilá správa zásad skupiny

Pokročilá správa zásad skupiny (AGPM) je k dispozici jako součást balíčku Microsoft Desktop Optimization Pack (MDOP) pro zákazníky Software Assurance. Na rozdíl od GPMC je AGPM aplikace klient/server, kde serverová komponenta ukládá objekty zásad GPO offline, včetně historie pro každý objekt zásad GPO. Objektům GPO spravovaným pomocí AGPM se říká řízené objekty GPO, protože jsou spravovány službou AGPM a správci je mohou kontrolovat dovnitř a ven, podobně jako můžete kontrolovat soubory nebo kód dovnitř a ven z GitHubu nebo systému pro správu dokumentů.

AGPM poskytuje větší kontrolu nad objekty GPO, než je možné pomocí GPMC. Kromě toho, že poskytuje kontrolu verzí, umožňuje správcům zásad skupiny přiřadit role, jako je Recenzent, Editor a Schvalovatel, což vám pomůže zavést přísnou kontrolu změn v celém životním cyklu GPO. Audit AGPM také poskytuje lepší přehled o změnách zásad skupiny.

IT konzultant a autor specializující se na technologie správy a zabezpečení. Russell má více než 15 let zkušeností v oblasti IT, napsal knihu o zabezpečení systému Windows a je spoluautorem textu pro řadu oficiálních akademických kurzů společnosti Microsoft (MOAC).