#2 GPO Serial – GPO v domene cast 1.
Ako som spominal v predchadzajucom clanku, lokalne politiky nie su moc vhodne na centralne spravovanie prostredia, kedze kazda lokalna politika zije svoj “lokalny zivot” 🙂 Na centralne spravovanie politik pre koncove pocitace potrebujeme funkcnu Active Directory (dalej len AD) domenu a v nej vyuzijeme Group Policy Object. Ale co to vlastne ten Group Policy Object je?
Group Policy Object
Group Policy Object je objekt, ktory si niektori vysvetluju ako “Objekt Skupinovych Politik”, cize objekt, ktory reprezentuje politiky pre nejaku skupinu ci uz uzivatelov alebo pocitacov. Ale patral som dost dlho potom ako to Microsoft myslel a ako nas poplietol 🙂 Microsoft to podla ich definicie myslel tak, ze v kazdom objekte GPO je subor zasad a nastaveni (Policy Settings) pre koncoveho uzivatela resp. pocitac, a GPO zoskupuje (Group) viacej tychto zasad a nastaveni. Z tejto definicie my vychadza predklad do slovenciny ako Objekt zoskupenych politik. Na Slovensku sa skor, resp. vsade, stretavam s pomenovanim GPO politiky, co nie je celkom kosher s Microsoft definicou, ale budem ho pouzivat do konca serialu. Cize odteraz GPO politka (alebo len GPO) je v mysleny Objekt zoskupenych politik (GPO). 🙂
Group Policy Object
Editovanie a naslednu spravu GPO politik robime cez konzolu Group Policy Management (dalej len GPMC). Tato konzola nie je standardne sucastou operacnych systemov Windows XP, Windows 2003 ani Windows 7. Ale je ju mozne doinstalovat z Microsoft webu. GPMC je standardne pristupna vo Windows 2008 a Windows Vista (bez SP1). Tu sa podla mna sudruhovia z Microsoftu troska pomylili, ked dali standardne GPMC do Visty, co nasledne opravili v SP1. Po instalacii SP1 na Vistu vam GPMC zmizne z ponuky – je odinstalovana uplne. Pre Windows 7 a Vista (so SP1) je mozne stiahnut z webu Remote Server Administration Tools (dalej len RSAT), ktore obsahuju GPMC. Ak Windows 2008 a vyssie spravite radicom AD, tak featura Group Policy Management je automaticky nainstalovana. Ak je potrebne na inom servery, Windows 2008 a vyssie, bez role radic AD nainstalovat GPMC, treba len zapnut danu feature RSAT. Taktiez GPMC pre Windows 2003 a Windows XP nie je rovnake ako je pre Windows 2008 a vyssie. Rozdiely su hlavne vo funkcnosti – ADM / ADMX subory (o tom i nej casti serialu). Prostredie je najlepsie spravovat najnovsou verziou GPMC, ktora je dostupna pre Windows 2008 a vyssie. Takze ak mate vo vasom prostredi nejaku Windows 2008 alebo Windows 7, najlepsie spravite ak budete GPO menezovat z tychto konzol. Jedna sa hlavne o to, ze nastavenia, ktore spravite na GPMC Windows 2008 a vyssie nemusia byt dostupne pre starsie verzie GPMC. Taktiez je pravda, ze Windows 2008 R2 ma dalsie funkcionality v GPMC, ktore Windows 2008 nema. Takze ak mate Windows 2008 R2, je dobre pouzivat konzolu odtial. Kedze uz mame danu GPMC nainstalovanu spustime ju cez Start menu a nachadza sa zvycajne pod Administrative Tools, alebo pustime prikaz gpmc.msc a mame konzolu, ktoru potrebujeme.
Aplikovanie GPO v domene
GPO politiky v domene vyzeraju na prvy pohlad rovnako ako lokalne GPO. Taktiez su rozdelene do dvoch casti Computers Configuration a User Configuration. Zasadny rozdiel medzi lokalnymi a AD GPO je v tom, ze GPO politiky “ziju” v AD a daju sa aplikovat na struktury AD:
- AD Site
- Domena
- Organizational Unit (OU)
GPO Linked mode
Taktiez je v AD zabezpecene dedenie z najvyssej urovne po tu najniziu ak to nie je explicitne zakazane (o tom neskor). Takze ak nalinkujete GPO na AD Site (GPO_AD_SITE_SCOPE) tak ak sa nachadza pocitac v danej definovanej AD Site, tak Computer aj User Configuration sa aplikuju. Cize da sa povedat, ze dokazete aplikovat GPO politiky na pocitace podla toho v akom IP rozsahu sa nachadzaju. Ak nalinkujete GPO na uroven domeny (GPO_DOMAIN_SCOPE), tak tieto nastavenia sa aplikuju na vsetky objekty v danej domene (ak to nie je explicitne zakazane). Ak nalinkujete GPO na niektoru OU (GPO_OU_SCOPE), tak vsetky objekty v danej OU aplikuju GPO. Kedze OU mozu byt vnorene jedna do druhej aj do niekolkych urovni, tak vsade sa (ak to nie je explicitne zakazane) GPO politiky aplikuju a nastavenia z nich sa scitavaju. Samozrejme sa moze stat, ze nastavenia v jednotlivych GPO medzi sebou koliduju a treba rozhodnut, z ktorej GPO sa kolidujuce nastavenie preberie, cize ktore nastavenie vyhra.
Takze ked si to zhrnieme, tak politiky sa aplikuju v nasledovnom poradi:
Lokalne politiky -> GPO nalinkovane na AD Site -> GPO nalinkovane na domenu -> GPO nalinkovane na OU
Pre lepsiu predstavivost by som to uviedol aj na obrazku:
Aplikovanie GPO v Domene
Ak sa nastavenia v jednotlivych GPO politikach biju – koliduju, tak sa to vyriesi pravidlom “Blizsia kosela ako kabat”, cize inak povedane, posledna aplikovana politika, ktora ma kolidujuce nastavenie, vyhra. Cize ak koliduje nastavenie v GPO politike linkovanej na domenu s nastavenim v GPO politike linkovanej na OU, vyhra nastavenie GPO politiky linkovanej na OU. Cize cim blizsie je GPO ku uctu pocitaca alebo uzivatela, tak tym vyssiu ma prioritu pri urcovani kolidnych nastaveni. Moze sa vsak stat, ze kolidne nastavenia su na GPO politikach, ktore su nalinkovane na rovnaku uroven. Napriklad dve GPO politiky nalinkovane na rovnaku OU, ale definujuce ine hodnoty pre nejake nastavenie GPO politikach. V tomto pripade potom rozhoduje priorita nalinkovania (Precedence) GPO politik na danej OU. Cize na priklade:
Kolidne GPO
Na obrazku mozeme vidiet, ze mame na OU nazvanej UZIVATELIA aplikovane tri GPO politiky. GPO_DOMAIN_SCOPE je nalinkovana na urovni domeny a tak sa dedi na nizsie urovne v domene a to su OU. To, ze sa dedia si mozeme pozriet na obrazku z GPMC konzoly (Kolidne GPO) na zalozke “Group Policy Inheritance” tak, ze v stlpci “Location” je uvedene miesto aplikovania danej GPO politiky (domena nova.corp). Dalej mozeme vidiet, ze sa aplikuju GPO politiky GPO_OU_SCOPE_01 a GPO_OU_SCOPE_02, ktore su nalinkovane na OU UZIVATELIA. Ak by nastavenia vo vsetkych troch GPO politikach kolidovali, tak vyhra GPO politika GPO_OU_SCOPE_01. Cize GPO politky sa aplikuju podla priority v opacnom poradi. Cize GPO politika s mensim cislom ma vyssiu prioritu aplikovania 🙂 Samotna priorita aplikovania (Link Order) GPO politik na rovnakej urovni, napriklad OU sa definuje na zalozke “Linked Group Policy Objects” tlacidlami, ktore su uvedene na nasledujucom obrazku:
GPO Link Order
Co to vlastne je to linkovanie GPO politiky? Ked vytvorite GPO politiku v domene vytvoria sa dve casti kazdej GPO politiky:
GPT (Group Policy Template) – Tato cast GPO politiky je ulozena na DFS SYSVOL
GPC (Group Policy Container) – Tato cast GPO politiky je ulozena v AD databaze
O samotnych castiach GPO sa detailnejsie pozrieme v inej casti serialu. Teraz spat ku linkovaniu GPO politik. Takze ked uz mate vytvorenu GPO politiku, tak ju potrebujeme nejakym sposobom aplikovat na nami vybrane miesto v strukture AD. Linkovanie ako aj editaciu GPO politik robime v GPMC konzole. Linkovanie GPO politik mozeme robit viacerymi sposobmi. Pri pravom tlacidle na uroven, kde chceme aplikovat GPO politiku mame dve moznosti:
Aplikovanie GPO na OU
Create a GPO in this domain, and Link it here – To znamena, ze tato moznost nam ponuka vytvorit novu GPO politiku a rovno ju nalinkovat na dane miesto, cize rovno aplikovat nastavenia, ktore v novej GPO politike nastavime.
Links an Existing GPO – Cize nalinkovanie existujucej GPO politiky na dane miesto v AD.
Inak povedane, GPO politika ako taka existuje v AD len raz, ale aplikovat sa da na viacere miesta v AD. Na tento fakt je potrebne mysliet pri ruseni ako linkovania, tak samotnej GPO politiky. Pri ruseni linkovania GPO politiky na danej urovni klikneme prave tlacidlo na GPO politiku a vyberieme moznost Delete:
Delete linking
Po kliknuti na Delete vybehne na nas okno,
Delete link confirm
ktore pise, ze tymto delete sa maze len linkovanie danej GPO politiky a nie samotna GPO politika. Cize po zmazani linkovania GPO politiky GPO politika ostava stale ziva v AD.
Ale vacsi problem moze vzniknut, ked chceme vymazat GPO politiku uz priamo z AD, cize z kontainera Group Policy Objects. Klikneme pravym tlacidlom na danu GPO politiku a dostaneme nasledovne varovanie:
Delete GPO
Ako nas aj mudre okno varuje, po kliknuti na Yes vymazeme GPO politiku a aj vsetky jej linky v nasej domene. Nevymaze to linkovania v inych domenach, toto bude predmetom inej casti serialu.
Sumar: Cize treba pamat na to, ze ked mazem GPO link, tak sa GPO politika len odlinkuje a GPO politika ostava zit v kontainery Group Policy Objects. Naopak, ked zmazeme GPO politiku z kontainera Group Policy Objects, tak sa vymaze GPO politika a vsetky pouzite linky na tuto GPO.
Takze toto sme tak zhruba zhrnuli o GPO politikach v teorii. V dalsej casti sa pozrieme viacej praktickejsie a detailnejsie na samotnu GPMC konzolu, definovanie aplikovania jednotlivych casti GPO politiky na ucty v AD, vytvaranie a editovanie samotnych GPO politik, dedenie GPO politik a Security Filtering v GPO politikach.
———
Obsah serialu:
#1 GPO Serial – Lokalne Politiky
#2 GPO Serial – GPO v domene cast 1.
#3 GPO Serial – GPO v domene cast 2.
#4 GPO Serial – Aplikovanie GPO
#5 GPO Serial – WMI filtre a Loopback Processing
Recent Comments