Home > GPO, Windows > #4 GPO Serial – Aplikovanie GPO

#4 GPO Serial – Aplikovanie GPO

Skor nez si vysvetlime ako sa aplikuju GPO politiky na pocitace a uzivatelov, vysvetlime si ako editovat GPO politiky. Ked si ujasnime tuto jednoduchu vec, mozeme sa pustit do hlbsej analyzy aplikovania GPO politik.

Editovanie GPO politik

O vytvoreni a linkovani GPO politiky som pisal v predchadzajucej casti serialu. Ked uz mame vytvorenu GPO politiku potrebujeme v nej zmenit nastavenia, aby sa tie nasledne aplikovali na pocitac alebo uzivatela. Editovanie GPO politiky zacneme pravym tlacidlom na GPO politiku a vyberom Edit:

 

Edit GPO

Edit GPO

 

Otvori sa Group Policy Management Editor v ktorom danu GPO mozeme editovat. O samotnych castiach GPO politik som pisal v prvej casti serialu. Editovanie GPO politik je velmi jednoduche a zvacsa intuitivne. Ak napriklad chceme zakazat uzivatelom zmenu setrica obrazovky ideme v strome na:

<strong>User Configuration \\ Policies \\ Administrative Templates \\ Control Panel/Personalization</strong>

Tu si vyhladame polozku Prevent changing screen saver a tu nastavime na hodnotu Enabled.

Ked zavrieme Group Policy Management Editor, tak nase nastavenia su zapisane do GPT a GPC. Pri aplikovani GPO politik sa nastavenia aplikuju. Kedy sa GPO politiky aplikuju popisem nasledne. 

 

Aplikovanie GPO politik

Ked uz vieme co to su GPO politiky a ako ich vytvarat, linkovat a mazat, tak si podme popisat sposob aplikovania GPO politik na koncovych pocitacoch. Vsetky casy uvedene v nasledovnom riadku su defaultne hodnoty, ktore sa naucime neskor menit.

Aplikovanie GPO politik sa lisi od verzie operacneho systemu. A co sa tyka aplikovania rozclenime ich do troch skupin:

  • Skupina 1: Windows 2000 Professional, Windows 2000 member server, Windows 2003 member server a Windows 2008 member server
  • Skupina 2: Domenove radice: Windows 2000, Windows 2003 a Windows 2008
  • Skupina 3: Windowx XP, Windows Vista a Windows 7

Co sa tyka casu a sposobu aplikovania GPO politik tak mame tu procesy pri ktorych sa aplikuju GPO politiky:

Prve aplikovanie GPO politik – Toto aplikovanie sa deje pri vlozeni pocitaca do domeny (a naslednom restarte) a pri prvom prihlaseni uzivatela na pocitac v domene. Cize ked je PC prvy krat vlozeny do domeny + prvy krat sa uzivatel hlasi do domeny na danom pocitaci.

Znovuaplikovanie GPO politik na pozadi – Spravanie je odlisne pri znovuaplikovani GPO politik na Domenove Radice a obycajne clenske pocitace v domene. Pri obycajnych clenskych pocitacoch sa kontroluju GPO politiky v intervale 90minut + (0-30 minut offset). Na kazdom pocitaci je viacej casovacov, jeden je pre GPO politiky pre ucet pocitaca a druhy je pre prihlasenych uzivatelov. Pri domenovych radicoch je tento interval 5 minut.

Bezpecnostne reaplikovanie GPO politik – Toto reaplikovanie sa deje kazdych 16 hodin a aplikuju sa bezpecnostne nastavenia v GPO politikach aj napriek tomu, ze neboli GPO potitiky zmenene.

Takze si mozeme rozobrat jednotlive procesy:

Prve aplikovanie GPO politik

Musime si uvedomit, ze GPO politika sa sklada z dvoch casti. Jedna je venovana pocitacu Computer Configuration a druha uzivatelom User Configuration. Takze Computer Configuration sa aplikuje pri prihlaseni pocitaca do domeny. Ozaj, vedeli ste, ze ucet pocitaca v domene je skoro taky isty rovnaky ako uzivatelsky? Pocitac sa sprava v domene rovnako ako pouzivatel. Ma svoj ucet, ma svoje heslo, ma svoje prava a dokonca aj svoje GPO politiky. User Configuration sa aplikuje ked sa uzivatel, uzivatelsky ucet, prihlasuje na dany pocitac.

Idealny sposob aplikovania GPO politik by bol nasledovny:

  • Pocitac bootuje
  • Stiahne si Computer Configuration casti z GPO politik, ktore sa vztahuju na dany pocitac
  • Ked doaplikuje vsetky GPO politiky, tak vyzve uzivatela okienkom CTRL+ALT+DEL, aby sa prihlasil
  • Uzivatel vlozi svoje prihlasovacie informacie
  • Pocitac overi uzivatela a stiahne User Configuration casti z GPO politik, ktore sa maju uplatnit na daneho uzivatela
  • Ked aplikuje vsetky casti pre daneho uzivatela, tak mu dovoli pracovat na Desktope

Takeho chovanie sa vola synchronne spracovanie GPO politik.

Ak sa zmeni nieco v niektorej GPO politike, ktore sa aplikovali, tak pri dalsom starte pocitaca alebo prihlaseni sa uzivatela sa dane zmeny uplatnia.

Takto idealne sa chova len Skupina 1 a Skupina 2 operacnych systemov. 🙂 Skupina 3 sa takto chova LEN ak je pocitac prvy krat prihlaseny do domeny a uzivatel prvy krat prihlaseny na pocitac. Chovanie Skupiny 1 a Skupiny 2 sa nemeni dalsimi restartmi a znovu prihlasenim sa na pocitac. Chovanie Skupiny 3 sa meni.

Skupina 3, Windows XP a neskor, sa spravaju nestandardne. Kedze usetreny cas je viac, nez bezpecnost v terajsej dobe, tak Microsoft vymyslel Fast Boot, v nejake literature sa to oznacuje aj ako Logon Optimization. Ked je Fast Boot “v akcii”, tak sa moze diat niekolko divnych veci na vasich pocitacoch:

  • Ked sa uzivatel prihlasil do pocitaca dostal Desktop a niektore upravy Desktopu, ktore boli v GPO politike nastavene sa s par sekundovym oneskorenim aplikuju
  • Ked zmenite nejake nastavenia v existujucej GPO politike, tak sa tieto zmeny mozu uplatnit az po niekolkych prihlaseniach alebo restartoch pocitacov
  • Aplikovanie instalacie software-u moze zabrat aj 2 restarty na rozdiel od pocitacov zo Skupiny 1
  • Pri aplikovani Advanced Folder Redirection sa nastavenia aplikuju po troch restartoch pocitaca

Takze na pozadi so zapnutym Fast Boot to vyzera nasledovne:

  • Ked pocitac startuje, tak si overi verzie GPO politik, ktore ma v lokalnej cache s verziami GPO v AD
  • Uzivatelovi ponukne moznost sa prihlasit, vobec sa nezdrzuje tym, aby dane nove/zmenene GPO aplikoval. Tie si na pozadi zatial len stiahne. Pri dalsom restarte ich pouzije
  • Uzivatel sa uspesne autentifikoval
  • Pocitac necaka na najnovsie/zmene GPO pre uzivatela, ale pouzije tie, ktore su v lokalnej cache. Taktiez na pozadi si preveri verziu GPO v cache a v AD a ak su nejake zmenene/nove, tak ich stiahne do lokalnej cache. Tieto GPO pouzije pri dalsom prihlaseni sa uzivatela do pocitaca

Tymtom sposovom sa usetri mozno tak 1-5 sekund zo startu a prihlasenia sa uzivatela. Podla mojeho nazoru by sa vsetky pocitace mali spravat ako sa spravaju OS v Skupine 1 – cize idealne.

Kedze uznate, ze lepsia je bezpecnosti ako niekolko sekundove zrychlenie, ak vobec nejake, tak by som navrhol, aby sa vsetky pocitace chovali rovnako bezpecne, cize ako tie najstarsie Windows 2000 🙂 Pre nastavenie spracovavania GPO politik synchronne je potrebne nastavit GPO politiku a to konkretne:

Computer Configuration \\ Policies \\ Administrative Templates \\ System \\ Logon \\ Always wait for the network at computer statup and logon

Tuto politiku treba zapnut Enable a vsetky OS budu po aplikovani (na co potrebuju jeden restart) sa chovat ako Windows 2000, cize budu aplikovat GPO politiky synchronne.

Znovuaplikovanie GPO politik na pozadi

Je pekne ked mozete menit a vytvarat GPO politiky aj nepriek tomu, ze uzivatelia pracuju na svojom pocitaci. Taktiez by ste asi chceli, aby zmeny, ktore sa nastavia v GPO politikach sa odrazili na vsetkych uzivateloch/pocitacoch ci uz su prihlaseni, alebo sa prihlasovat len budu. Tych, ktori sa len budu prihlasovat sme si popisali v predchadzajucej casti. Znovuaplikovanie GPO politik na pozadi, cize ked je uz pocitac/uzivatel prihlaseny do domeny sa deje v intervaloch, ktore sa nazyvaju background refresh interval. Je to interval, ktory definuje ako casto si ma klient stiahnut GPO politiky a aplikovat ich. Tieto intervaly sa lisia od toho ci sa jedna o domenovy radic, alebo member server/klient.

Member servery//klienti

Standardne je interval pre member servery/klientov 90 minut + (0-30) minut. Niekedy davno bol taky nazor, ze je to 90 (-30 – 30) minut, ale posun voci 90 minutam je len v rozsahu plus 30 minut, cize GPO politiky sa mozu refreshnut v intervale 90 – 120 minut. Netreba zabudat, ze pocitac ma svoje GPO a uzivatelia svoje GPO, takze na pocitaci bezi viacej tychto casovacov a kazdy ma iny offset. Takze GPO politiky si pocitac overuje v iny cas, nez prihlaseni uzivatelia na danom pocitaci.

Aby vedel proces na spracovanie zistit, ci dana GPO politika sa zmenila, tak na to mu sluzi cislo verzie GPO. Kazda GPO ma dve cisla verzii, jedna je pre Computer Configuration a druha pre User Configuration. Ked pride cas preverenia aktualnosti GPO politik, tak sa porovnaju verzie nakesovanych verzii GPO politik s tymi, ktore su v domene. Ak je novsia verzia v domene, tak sa stiahne a aplikuje.

Domenove radice

Domenove radice su srdcom celej AD, takze su velmi dolezite a treba, aby mali GPO politiky pre ne urcene (Kerberos nastavenia, Nastavenia uctov, Hesla, Audity,…) hned ako je to mozne, tak interval je nastaveny na 5 minut.

 

Ked som povedal, ze sa na pozadi stiahnut a aplikuju sa vsetky nastavenia z GPO politiky, nebola to tak celkom pravda. Oni sa aplikuju, ale nie vsetky nastavenia. Su nastavenia, ktore sa neaplikuju pri Znovuaplikovani GPO politik a to su:

  • Folder Redirection – je to funkcia presmerovania lokalnych dat na sietove uloziska. Tato zmena sa aplikuje len pri prihlaseni
  • Software Installation – funkcia zabezpecujuca instalovanie a distribuciu software-u. Urcite by nebolo vhodne, keby ste nasadili aplikaciu a ta zacala hned instalovat vsade. Taktiez by nebolo vhodne, keby ste aplikaciu odobrali uzivatelom a zrazu by im zmizla. Tieto nastavenia sa aplikuju pri starte pocitaca a pri prihlaseni sa uzivatela.
  • Disk quotas – Nastavuju sa pri spustani pocitaca
  • Logon, logoff, startup a shutdown skripty – Samotne skripty nebezia ked sa aktualizuju GPO politiky. Co sa aktualizuje je zmeny ulozenia pripadne parametrov danych skriptov v registroch

Vynuti aktualizaciu GPO politik ide aj manualne. A to cez prikaz gpupdate. Tento prikaz ma aj prepinace o ktorych sa rozpisovat nejdem. Len spomeniem, ze tymito prepinacmi vieme aktualizovat nejaku cast GPO politik. Jediny prepinac, ktory popisem, je /force. Pri Windows XP tento prepinac sposobil aktualizaciu GPO politik a ak nahodou boli zmene nastavenia uplatnujuce sa len pri starte/prihlaseni, tak sa vas opytal ci nechcete nahodou restart/znovu sa prihlasit. Pri Windows Vista nahor tento prepinac prepol spracovanie GPO politik na synchronne pri dalsom starte/prihlaseni sa, cize na jeden krat vypol Fast Boot, ak nahodou je zapnuty.

Tu mi neda nespomenut jednu situaciu, preco nemam rad preklady operacnych systemov. Na ceskych Windows XP ked ste dali gpupdate /force a nahodou boli zmene veci, ktore sa aplikovali po restarte alebo znovuprihlaseni, tak sa vas po cesky spytal (uz si nepamatam cele znenie), ci si prajete restart alebo logoff. V hranatych zatvorkach ste mali moznosti [A/N]. Ako kolvek ste stlacali A, tak to nefungovalo, nedialo sa nic. Zabralo az na stalcenie Y 🙂 Cize prekladatelia prelozili hlasku aj moznosti Ano/Ne, ale zabudli prelozit aj tlacidlo v samotnom gpupdate.exe, takze zaberalo len Yes/No. Este, ze Ne a No zacina na rovnake pismenko 🙂

Bezpecnostne reaplikovanie GPO politik

Uz sme si poposali ako sa aplikuju GPO politiky pri starte, prihlaseni a pocas behu, ak sa zmenia/vytvoria nove GPO politiky. Ale bolo by fajn, keby sa aj stare GPO politiky z casu na cas znovuaplikovali. Ci? Ze naco ked sa uz raz aplikovali a nastavenia su uz aplikovane? No, nie je vsetko tak ako si mozete mysliet. Pri aplikovani GPO politik sa menia nejake kluce v registroch, ktorymi sa ohyba prostredie uzivatela podla priani administratora. Napriklad nastavite, ze moznost “Run/Spustit” zmizne zo Startmenu pouzivatelov. Tuto “bezpecnostnu” GPO politiku si nastavite na zaciatku ako vas etalon v bezpecnosti. Vsekym zmizne Run a vy ste stastny. Z celou GPO politikou sa uz nehybe niekolko rokov, pretoze je super nastavena a vy si myslite, ze nastavenia z nej su vsade aplikovane. Tak by to malo byt, keby ludia nemali rozum a google a hlavne keby lenivi administratori nerobili z ubohych uzivatelov lokalnych administratorov, pretoze sa im nechce debuggovat nefunkcna, zle napisana, aplikacia, ktora funguje super pod Administratorom ale nie pod obycajnym Userom. Tym, ze spravite uzivatela lokalnym administratorom, tak tento pouzivatel moze menit registre. Jasne, mozete namietat, ze aj tom u zakazete (zakazete regedit.exe), ale je vela spsobov ako zmenit registre aj bez regedit.exe. Takze prepokladajme, ze mate lokalnych administratorov a ja viem, ze ich mate a ste zakazali Run v Start menu. Uzivatel si vygoogli, ze kde sa to v registroch nastavuje ci ma Run byt v Startmenu alebo nie. A uz to ma. Je to jeden kluc, ktory zmeni z hodnoty 1 na hodnotu 0. A viola, uz ma Run 🙂 Poviete si, vsak v pohode. Pri dalsom aplikovani GPO politik, ci pri starte, prihlaseni alebo pri znovuaplikovani GPO politik na pozadi. No, to by bolo pekne, ale takto to nefunguje 🙂 A viete uz aj preco? Pretoze verzia GPO politiky, ktoru ste par rokmi nastavili a tej, ktora je v lokalnej keske na pocitaci sa nezmenila, nikto z GPO politikou nekyval, to len lokalny administrator (vy ste ho nim urobili) zmenil registre tak ako potreboval. 🙂 Jednoduche, ze?

No len co s tym. Problem mame popisany, ale riesenie zatial nie. Liek na toto je bezpecnostne reaplikovanie GPO politik. Je to obdobny sposob aplikovania GPO politik ako znovuaplikovanie GPO politik na pozadi s tym rozdielom, ze sa nerovnavaju len verzie casti GPO politik, ale sa aj znovuaplikuju dane nastavenia aj pre existujuce a uz aplikovanie GPO politiky. Toto bezpecnostne reaplikovanie GPO politik sa deje kazdych 16 hodin. Defaultne sa reaplikuju len “bezpecnostne” nastavenia v GPO politikach. Samozrejme, cez GPO politiky sa da nastavit aj bezpecnostne reaplikovanie nasledovnych casti GPO politik pri vsetkych reaplikovaniach (aj pri starte/prihlaseni):

  • Registre (Administrative Templates)
  • Internet Explorer Maintenance
  • IP Security
  • EFS Recovery Policy
  • Wireless Policy
  • Disk Quota
  • Skript (notifikacie o zmene skriptov, nie znovu spustanie skriptov)
  • Security
  • Folder Redirection
  • Software Installation
  • Wired Policy

Tieto nastavenia sa menia v:

Pre uzivatela:

User Configuration // Policies // Administrative Templates // System // Group Policy

Pre pocitac:

Computer Configuration // Policies // Administrative Templates // System // Group Policy

V tejto casti GPO politik je mozne nastavit napriklad nasledovne:

Pre uzivatela

  • Group Policy Refresh Interval for User – nastavenie hore spominaneho intervalu 90 + (0-30) minut na refresh politik
  • Group Policy Domain Controller Selection – ked otvorite konzolu gpmc.msc, tak sa zapisuju GPO politiky implicitne na PDC Emulator domenovy radic. To vsak je mozne zmenit a explicitne definovat domenovy radic na ktory sa bude zapisovat.
  • Group Policy Slow Link Detection – nastavenie/vypnutie detektice pomalych liniek, na zaklade coho sa definuje co sa bude aplikovat a co nie. O tom v inej casti serialu.
  • Create New Group Policy Object Links Disabled by Default – je to skor taka ochrana proti “blbosti”, aby novo naklikane/rozpracovane GPO politiky sa hned neaplikovali tam kde su prilinkovane, tak nove GPO politiky budu defaultne vypnute co sa linkovania tyka.

Pre pocitac

  • Group Policy Refresh Interval for Computers – nastavenie casoveho intervalu 90 + (0-30) minut pre Computer Configuration casti GPO politik.
  • Turn off Backgroup Refresh of Group Policy – tymto uplne vypnete reaplikaciu GPO politik (nie bezpecnostnu reaplikaciu).
  • Group Policy Refresh Interval for Domain Controllers – nastavenie casoveho intervalu (default 5 minut) pre domenove radice. 0 znamena 7 sekund 🙂
  • User Group Policy Loopback Processing Mode – o tom neskor v serialy.

Potom su tam spolocne casti, ktorymi definujeme bezpecnostne reaplikovanie GPO politik pre casti popisane hore. Napriklad pre bezpecnostne reaplikovanie registrov je tam Registry policy Processing. Skoro pre vsetky moznosti mame tri moznosti nastavenia:

 

Rozsirene moznosti aplikovania

Rozsirene moznosti aplikovania

 

  • Do not Apply during periodic Background Processing – Vypnete reaplikaciu GPO politik defaultne 90 + (0-30) minut.
  • Allow Processing across a Slow Network Connection – Nastavenie ci dana cast sa ma reaplikovat aj napriek tomu, ze je pocitac voci domene na pomalej linke. O tom v inej casti serialu.
  • Process Even If the Group Policy Objects Have Not Changed – Toto je ta cast, ktora pri zapnuti zabezpeci, ze nastavenia z GPO politik sa doslova reaplikuju na pocitac. Cize toto je to nastavenie, ktore chceme mat zapnute, aby vas lokalni administratori (ktorych ste si sami vyrobili) neobabrali zmenami v registroch. Ked je toto zapnute, tak pri dalsom reaplikovani, ci uz bezpecnostom alebo pravidelnom na pozadi, sa daju nastavenia spat podla zelani v GPO politikach.

Takze ja by som odporucal, keby ste nastavovali vo svojich prostrediach toto chovanie Process Even If the Group Policy Objects Have Not Changed a budete mat bezpecnejsie prostredie ako predtym. Dokonca ked som zacal toto zapinat u zakaznikov, tak sa zacali stazovat, ze sa im vela veci pomenilo na pocitacoch. Samozrejme, zmenili sa im veci tak ako to mali v GPO politikach nadefinovane, len doteraz si to svojvolne zmenili podla svojich zelani a nie zelani definovanych v GPO politikach 🙂 A hlavne nerobte uzivatelov lokalnymi administratormi!

 * V gpmc.msc konzole Windows 2008 (R2) je moznosti viacej ako gpmc.msc vo Windows 7. Takze odporucam robit akekolvek zmeny na Windows 2008 Servery ako na klientskej masine.

 Takze ked to tak zhrniem, tak z mojej skusenosti 95% ludi vyuziva defaultne nastavenia aplikovania GPO politik a teda nie moc vhodne. Kade chodim, tade to prestavujem tak, aby nastavenia, ktore su definovane v GPO politikach boli aplikovane tam kde sa aplikovat maju a vzdy. Cize dve zakladne veci:

  • Vypnut Fast Boot
  • Zapnut reaplikovanie GPO nastaveni aj ked sa GPO politika nezmenila

V dalsej casti serialu si popiseme WMI filtre, Loopback Processing a aplikovanie GPO politik na pomalych linkach.

———

Obsah serialu:

#1 GPO Serial – Lokalne Politiky
#2 GPO Serial – GPO v domene cast 1.
#3 GPO Serial – GPO v domene cast 2.
#4 GPO Serial – Aplikovanie GPO
#5 GPO Serial – WMI filtre a Loopback Processing

  1. vito
    November 21st, 2011 at 17:24 | #1

    Zapnut reaplikovanie GPO nastaveni aj ked sa GPO politika nezmenila

    Ahoj, ako sa spomínané nastavenie volá vo w2008srv?
    Nech hladam ako hladám (čítam vysvetlenia k parametrom), nenasiel som to.

    Dik.

  2. November 22nd, 2011 at 10:05 | #2

    Tak to som rad, ze toto niekto aj cita. Zapnutie reaplikacie GPO nastaveni aj ked sa GPO nezmenila sa da pod GPO vetvami:

    Computer Configuration // Policies // Administrative Templates // System // Group Policy
    User Configuration // Policies // Administrative Templates // System // Group Policy

    Pre kazdu cast GPO politiky ako su napriklad Registry policy Processing. Ked toto nastavenie rozliknes a das Enabled, tak v spodnej casti mas moznosti, z ktorej jedna je “Process even if the Group Policy objects have not changed”. A toto sposobi, ze sa ti vzdy reaplikuju nastavenia z GPOciek aj ked si GPO politiku nezmenil.

    PS: Pridal som hore obrazok tych nastaveni.

  3. ondrej
    February 14th, 2012 at 15:49 | #3

    vyborny serial

  4. March 2nd, 2012 at 14:33 | #4

    Vdaka Ondrej !

  5. March 2nd, 2012 at 15:45 | #5

    Tak toto ma tesi a budem sa snazit napisat aj zvysok planovanych clankov tohoto serialu.

  6. tomas
    May 2nd, 2012 at 15:15 | #6

    Pekny clanok. Odkial si cerpal. Uz som toho o active directory precital dost za tych par rokov. Ale niektore veci boli aj pre mna novotinou 🙂

  7. May 3rd, 2012 at 09:05 | #7

    Dakujem. Cerpal som z vlastnych skusenosti a kopec kniziek k tomu 🙂 Asi ako kazdy. V AD je sa vzdy co ucit.

  8. Branči
    May 20th, 2022 at 13:23 | #8

    Ahoj Ondrej,
    Ja ako vždy mam iný problém priklad. mam 2 OU pod sebou nie vnorene v prvej OU1 je PC1 a user1 a v druhej OU2 je iny PC2 bez usera1. Keď sa prihlásim do PC1 s user1 tak je čo s týka gpo politík všetko OK. Keď sa prihlásim do PC2 s userom1 tak sa mi natiahnu politiky z OU2 ale aj s OU1 vetva user settings. Celkom mi to vadí chcel by som aby mi tahalo len gpo z danej OU nie z inej. Skúšal som rôzne kombinácie block inheritance, enforced a neúspešne je ceľkom ľahké sa zamotať v GPO. Ďakujem za prípadnú radu.

  1. November 11th, 2011 at 11:09 | #1
  2. November 11th, 2011 at 11:10 | #2
  3. November 11th, 2011 at 11:12 | #3
  4. November 30th, 2011 at 06:10 | #4
  5. May 4th, 2012 at 13:43 | #5