Průvodce správou zásad skupiny ve službě Active Directory
Článek přečtěte do 9min.
Úvod do správy zásad skupiny
Zásady skupiny je funkce operačních systémů Microsoft Windows, která pomáhá správcům spravovat a zabezpečit uživatele a počítače v prostředích Active Directory. Nastavení zásad skupiny jsou seskupena do objektů zásad skupiny (GPO) a aplikována na objekty počítačů a uživatelů v rámci rozsahu GPO.
Objekty zásad skupiny lze například použít ke správě:
Konfigurace, jako je nastavení plochy, spouštěcí skripty a přihlašovací/odhlašovací skripty.
Zabezpečení, včetně zásad hesel Active Directory (AD), zásad uzamčení účtů a nastavení brány firewall.
Přístup k síťovým zdrojům, jako jsou sdílené složky, tiskárny a aplikace.
Nasazení softwaru včetně instalace softwaru na vybrané stroje a plánování oprav a aktualizací.
Ke správě objektů GPO používají správci konzolu pro správu zásad skupiny (GPMC). K tomuto editoru zásad skupiny domény můžete přistupovat z nabídky Nástroje správce Windows Server Manager.
Všechny objekty GPO v doméně můžete zobrazit kliknutím na kontejner Objekty zásad skupiny v levém podokně konzoly pro správu zásad skupiny. Níže vidíte, že doména AD ad.contoso.com má pouze jeden GPO, výchozí zásady domény:
Konzola pro správu zásad skupiny obsahuje editor zásad skupiny, jak je znázorněno zde:
Typy nastavení zásad skupiny
Levý panel níže uvedeného snímku obrazovky ukazuje typy nastavení v GPO:
Jak vidíte, existují dvě primární kategorie: Konfigurace počítače a Konfigurace uživatele.
Každá z nich má zásady a předvolby, které můžete rozbalit a nakonfigurovat:
Nastavení softwaru
Nastavení systému Windows
Šablony pro správu
Zásady versus preference
Zásady a předvolby lze použít ke správě nastavení pro objekty počítače a uživatele služby Active Directory.
Primární rozdíl je následující:
Zásady nemohou uživatelé měnit. V souladu s tím by měla být v zásadách provedena nastavení související se zabezpečením a dodržováním předpisů. Příklady zahrnují zásady hesel, zásady uzamčení účtů, zásady brány firewall a zásady omezení softwaru.
Předvolby mohou uživatelé měnit, takže by měly být používány pouze pro uživatelské prostředí a nastavení prostředí. Můžete například poskytnout standardní sadu namapovaných síťových disků, tiskáren nebo zástupců na ploše, ale jejich vytvoření prostřednictvím předvoleb umožní uživatelům upravit je tak, aby vyhovovaly jejich vlastním potřebám.
Instalace konzoly pro správu zásad skupiny na Windows Server
Chcete-li nainstalovat konzolu pro správu zásad skupiny na Windows Server, postupujte takto:
Spusťte Správce serveru kliknutím na nabídku Start a výběrem Správce serveru.
Ve Správci serveru klikněte v horní nabídce na Spravovat a poté vyberte Přidat role a funkce.
Vyberte instalaci na základě rolí nebo funkcí a klikněte na tlačítko Další.
Vyberte server, kam chcete nainstalovat GPMC, a klikněte na Další.
Na stránce „Vybrat role serveru“ klikněte na Další, protože nepřidáváme roli.
Přejděte dolů, najděte „Správa zásad skupiny“ a zaškrtněte políčko vedle ní.
Po dokončení instalace klikněte na jakoukoli potvrzovací zprávu na „Další“. Klepnutím na „Zavřít“ ukončíte průvodce.
Instalace konzoly pro správu zásad skupiny v systému Windows
Pokud používáte Windows 10 verze 1809 nebo novější, můžete GPMC nainstalovat pomocí aplikace Nastavení:
Otevřete Nastavení stisknutím WIN+I.
Hledejte volitelné funkce.
Klikněte na + Přidat funkci.
Klikněte na RSAT: Nástroje pro správu zásad skupiny a poté klikněte na Instalovat.
Pokud používáte starší verzi Windows, budete si muset stáhnout správnou verzi RSAT z webu Microsoftu.
Jak vytvořit GPO
Chcete-li vytvořit nový objekt zásad skupiny:
Otevřete Správce serveru, klikněte na Nástroje v pravém horním rohu a z rozevírací nabídky vyberte Správa zásad skupiny.
V Konzole pro správu zásad skupiny rozbalte doménovou strukturu a doménu, kam chcete objekt zásad skupiny propojit.
Klikněte pravým tlačítkem na organizační jednotku, doménu nebo web, kde chcete propojit objekt GPO, a vyberte odpovídající možnost Vytvořit, například Vytvořit objekt GPO v této doméně, a propojit jej zde…
Zadejte popisný název nového GPO a klepněte na OK.
Jak upravit objekt GPO
Chcete-li upravit zásady skupiny v konzole pro správu zásad skupiny, postupujte takto:
Rozbalte doménovou strukturu a doménu, do které objekt GPO patří.
Přejděte na organizační jednotku, doménu nebo web, kde je GPO propojen.
Klikněte pravým tlačítkem na GPO, který chcete upravit, a vyberte Upravit.
V Editoru správy zásad skupiny poklepejte na požadované nastavení zásad a upravte je podle svých požadavků.
Nastavení počítače se použijí při spuštění systému Windows a uživatelská nastavení se použijí, když se uživatel přihlásí. Zpracování zásad skupiny na pozadí použije nastavení pravidelně, pokud byl objekt GPO změněn.
Jak propojit GPO
Aby se objekt GPO projevil, musí být propojen s alespoň jedním kontejnerem služby Active Directory, jako je organizační jednotka, doména nebo web.
Chcete-li propojit objekt GPO, proveďte následující kroky:
V Konzole pro správu zásad skupiny rozbalte doménovou strukturu a doménu, kam chcete objekt zásad skupiny propojit.
Klikněte pravým tlačítkem na organizační jednotku, doménu nebo web, na který chcete propojit objekt GPO, a vyberte možnost Propojit existující objekt GPO.
Vyberte GPO, který chcete propojit, ze seznamu dostupných GPO a klikněte na OK.
Jak povolit nebo zakázat propojení GPO
Když je odkaz GPO zakázán, jeho nastavení se nevztahují na objekty v propojeném kontejneru.
Zde je návod, jak povolit nebo zakázat odkaz GPO:
V Konzole pro správu zásad skupiny rozbalte doménovou strukturu a doménu Active Directory, do které propojený objekt zásad skupiny patří.
Rozbalte kontejner, kde je objekt GPO propojen, a klikněte pravým tlačítkem na objekt GPO.
V kontextovém menu zaškrtněte Link Enabled, chcete-li odkaz povolit, nebo zrušte zaškrtnutí, chcete-li odkaz deaktivovat.
Jak importovat nastavení GPO
Objekt GPO můžete nakonfigurovat importem nastavení ze záložního souboru GPO nebo šablony.
Zde je návod, jak se to dělá:
V Konzole pro správu zásad skupiny přejděte na organizační jednotku, doménu nebo web s GPO, do kterého chcete importovat nastavení.
Klikněte pravým tlačítkem na cílový objekt GPO a vyberte Importovat nastavení…
Vyberte soubor zálohy nebo šablony (.admx nebo .adml) obsahující požadovaná nastavení GPO a klikněte na Otevřít.
Protože umístění záloh může obsahovat více objektů GPO, vyberte ten, ze kterého chcete importovat nastavení.
Klepněte dvakrát na tlačítko Další, prohlédněte si souhrn a kliknutím na tlačítko Dokončit dokončete proces importu.
Dědičnost a priorita GPO
Dědičnost a priorita zásad skupiny určují, jak jsou objekty zásad skupiny aplikovány na objekty.
Dědictví
Dědičnost zásad skupiny se řídí hierarchickou strukturou domén AD a organizačních jednotek. Zásady na úrovni domény se vztahují na všechny objekty (uživatele, počítače, skupiny) v doméně. Zásady na úrovni organizační jednotky se vztahují na objekty v rámci konkrétní organizační jednotky. Zásady aplikované na vyšší úrovni v hierarchii jsou zděděny podřízenými objekty, takže GPO na úrovni domény jsou zděděny všemi organizačními jednotkami v doméně a zásady spojené s organizační jednotkou jsou zděděny všemi podřízenými organizačními jednotkami vnořenými pod touto organizační jednotkou.
Můžete však použít nastavení Blokovat dědičnost na webu, doméně nebo organizační jednotce, abyste zabránili použití objektů GPO spojených s nadřazenými objekty na podřízené objekty. Nastavení příznaku Vynuceno u jednotlivých objektů GPO přepíše nastavení Blokovat dědičnost.
Chcete-li zobrazit objekty GPO, které objekt dědí od nadřazených objektů, klikněte na objekt v GPMC a přejděte na kartu Dědičnost zásad skupiny.
Přednost
K dané doméně, webu nebo organizační jednotce může být připojeno více objektů GPO a tyto zásady mohou mít konfliktní nastavení. Priorita zásad skupiny řídí pořadí, ve kterém jsou použity objekty GPO, a tedy které nastavení se projeví. Čím později je objekt GPO v sekvenci aplikován, tím vyšší je jeho priorita.
Pořadí, ve kterém jsou zásady aplikovány, je následující:
Místní zásady skupiny
GPO na úrovni webu
GPO na úrovni domény
GPO na úrovni organizační jednotky
Chcete-li zobrazit objekty GPO spojené s objektem, klikněte na objekt v GPMC a přejděte na kartu Propojené objekty zásad skupiny. GPO s vyšším číslem Link Order mají přednost před těmi s nižším číslem. Pořadové číslo odkazu můžete změnit kliknutím na objekt GPO a pomocí šipek nalevo jej můžete přesunout nahoru nebo dolů.
Rozšiřitelnost zásad skupiny
Funkčnost zásad skupiny můžete rozšířit integrací dalších funkcí, vlastních nastavení nebo součástí třetích stran. Zde je několik aspektů rozšiřitelnosti zásad skupiny:
Šablony pro správu (soubory .admx) – Správci mohou vytvářet vlastní šablony pro správu dalších nastavení nebo konfiguraci vlastních zásad.
Vlastní předvolby zásad skupiny — Můžete vytvořit vlastní položky předvoleb pomocí souborů XML nebo skriptů. Ty vám umožňují spravovat věci, jako jsou namapované jednotky, tiskárny, nastavení registru, soubory a zástupce na klientských počítačích.
Rozšíření zásad skupiny na straně klienta (CSE) – Můžete vytvořit vlastní CSE a přidat další nastavení, zásady nebo úlohy správy.
Filtry zásad skupiny a filtry WMI – Můžete vytvořit filtry pro cílení na nastavení zásad skupiny na základě konkrétních kritérií, jako jsou atributy uživatele nebo počítače.
Nástroje skupinových zásad třetích stran – Řešení třetích stran poskytují další možnosti správy, funkce vytváření sestav, nástroje pro audit a šablony zásad.
Zálohování GPO
Vytvářejte pravidelné zálohy svých GPO, abyste měli jistotu, že budete mít poslední kopii pro případ náhodného nebo úmyslného smazání, poškození nebo nesprávné konfigurace. GPO byste měli také zálohovat po provedení významných změn nebo před provedením úkolů údržby, které by mohly ovlivnit nastavení zásad skupiny.
Vytvořte centralizované umístění pro ukládání záloh GPO, abyste zajistili snadný přístup a správu. Zvažte uspořádání záložních souborů podle domény, data nebo účelu, abyste usnadnili vyhledávání a obnovu. Použijte popisné konvence pojmenování nebo metadata k identifikaci verzí záloh a souvisejících změn. Implementujte postupy správy verzí ke sledování změn objektů GPO v průběhu času a udržujte historii záloh.
Modelování změn nastavení zásad skupiny
Modelování zásad skupiny je funkce GPMC, která správcům umožňuje simulovat, jak by nastavení zásad skupiny fungovalo pro uživatele a počítače v prostředí služby Active Directory. Poskytuje způsob, jak předvídat výsledek použití konkrétních nastavení zásad skupiny bez jejich implementace.
Pokročilá správa zásad skupiny
Advanced Group Policy Management (AGPM) je komponenta Microsoft Desktop Optimization Pack (MDOP), která zlepšuje správu, delegování, správu verzí a auditování objektů Group Policy.
Na rozdíl od GPMC je AGPM aplikací klient/server. Serverová komponenta ukládá GPO a jejich historii offline. GPO spravované AGPM se nazývají řízené GPO. Správci je mohou přidávat a odhlašovat, podobně jako se se soubory nebo kódem nakládá na GitHubu nebo v systému správy dokumentů.
AGPM nabízí větší kontrolu nad GPO než GPMC. Kromě správy verzí můžete správcům zásad skupiny přiřadit role jako Recenzent, Editor a Schvalovatel. To usnadňuje přísnou kontrolu změn během celého životního cyklu GPO. Audit AGPM také poskytuje hlubší vhled do změn v zásadách skupiny.
Jak může Netwrix pomoci
Netwrix Auditor rozšiřuje tradiční správu zásad skupiny o vylepšenou viditelnost, auditování, kontrolu změn a reportování, které zlepšují zabezpečení a dodržování předpisů. Správci například získají podrobný přehled o tom, co se změnilo, kdo to změnil a kdy k akci došlo. Z intuitivního rozhraní mohou snadno porovnávat různé verze GPO, identifikovat konkrétní změny a dokonce vrátit zpět nechtěné úpravy.
Tato zvýšená transparentnost umožňuje správcům zajistit, aby nastavení zásad skupiny odpovídalo zásadám organizace, bezpečnostním standardům a regulačním požadavkům. Integrací Netwrix Auditor do své strategie správy zásad skupiny mohou organizace dosáhnout bezpečnější, vyhovující a efektivněji spravované IT infrastruktury.
Často kladené otázky
Co je správa zásad skupiny Active Directory?
Zásady skupiny je funkce služby Active Directory, která správcům umožňuje řídit nastavení konfigurace uživatelů a počítačů. Správa zásad skupiny je proces vytváření a údržby nastavení zásad skupiny, která vynucují zabezpečení, nasazují software, spravují konfigurace desktopů a další.
Jak otevřete Konzolu pro správu zásad skupiny?
Chcete-li otevřít konzolu pro správu zásad skupiny Active Directory:
Stiskněte klávesu Windows + R na klávesnici.
V zobrazeném dialogovém okně Spustit zadejte gpmc. msc a stiskněte klávesu Enter nebo klikněte na OK.
Jak mohu nainstalovat konzolu pro správu zásad skupiny?
Chcete-li nainstalovat GPMC na Windows Server, postupujte takto:
Spusťte Správce serveru. Obvykle jej najdete na hlavním panelu nebo jej můžete najít v nabídce Start.
Ve Správci serveru klikněte na Spravovat v pravém horním rohu a poté vyberte Přidat role a funkce.
Na obrazovce „Než začnete“ klikněte na tlačítko Další.
Na obrazovce „Vyberte typ instalace“ vyberte instalaci na základě rolí nebo funkcí a poté klikněte na tlačítko Další.
Vyberte server, na který chcete nainstalovat funkci GPMC, a klikněte na Další.
Na obrazovce „Vybrat funkce“ zaškrtněte políčko vedle položky Správa zásad skupiny. Klepněte na tlačítko Další.
Zkontrolujte svůj výběr a klikněte na Instalovat.
Počkejte na dokončení procesu instalace. Jakmile se zobrazí potvrzovací zpráva, zavřete Správce serveru.
Kterým uživatelům jsou automaticky udělena oprávnění k provádění úloh správy zásad skupiny?
Skupina Group Policy Creator Owners se automaticky vytvoří při vytvoření doménové struktury Active Directory. Členové skupiny mohou vytvářet, upravovat a spravovat objekty zásad skupiny na úrovni domény. Tato skupina se obvykle používá, když správci chtějí delegovat kontrolu nad zásadami skupiny bez udělení úplných oprávnění správce. Ve výchozím nastavení je členem této skupiny pouze správce domény.