K1136.qxd
16.11.2005
15:01
StrÆnka 5
Stručný Obsah Ka p i t o l a 1
Základy Zásad skupiny
17
Ka p i t o l a 2
Správa Zásad skupiny pomocí GPMC
65
Ka p i t o l a 3
Způsob zpracování zásad skupiny
111
Ka p i t o l a 4
Řešení problémů se Zásadami skupiny
157
Ka p i t o l a 5
Šablony ADM ve Windows
207
Ka p i t o l a 6
Implementace zabezpečení pomocí Zásad skupiny
231
Ka p i t o l a 7
Skriptování GPMC
279
Ka p i t o l a 8
Místní, cestovní a povinné profily
315
Ka p i t o l a 9
IntelliMirror, 1. část: Přesměrování složek, Soubory offline, Správce synchronizace a Diskové kvóty
349
IntelliMirror, 2. část: Rozmístění softwaru pomocí Zásad skupiny
411
Doplňky pro službu IntelliMirror: Stínové kopie a Služba vzdálené instalace
471
Nástroje Zásad skupiny
499
Ka p i t o l a 10
Ka p i t o l a 11
Příloha
K1136.qxd
16.11.2005
6
15:01
StrÆnka 6
Obsah
Obsah Úvod
14 Definice Zásad skupiny
14
Zásady skupiny versus Objekty zásad skupiny
15
Kde použít Zásady skupiny
15
Závěrem
16
Ka p i t o l a 1 Základy Zásad skupiny Začínáme se Zásadami skupiny Pochopení místních zásad skupiny Entity Zásad skupiny a nastavení zásad Zásady skupiny v prostředí Active Directory
17 17 18 20 21
Příklad aplikace Zásad skupiny
23
Pořadí zpracování zásad skupiny
25
Na úrovni sídel Na úrovni domén Na úrovni organizačních jednotek Shrnutí
Zásady skupiny, Active Directory a GPMC Jak na to postaru Přehled vlastností GPMC Instalace GPMC
Použití GPMC v Active Directory Uživatelé a počítače Active Directory versus GPMC Přizpůsobení zobrazení v GPMC Celkový pohled na GPMC
Příklady použití Zásad skupiny Více o propojovaní a složce Group Policy Objects Použití Objektů zásad skupiny na úrovni sídla Použití Objektů zásad skupiny na úrovni domény Použití Objektů zásad skupiny na úrovni OU Vyzkoušejte si, jak vypadá delegovaná správa Zásad skupiny Smysl delegování práv k propojování Objektů zásad skupiny Jak poskytnout správcům OU právo k vytváření vlastních GPO Vytvoření a propojení Objektu zásad skupiny na úrovni OU Vytvoření nového Objektu zásad skupiny na úrovni OU Přesunutí počítačů do OU Human Resources – uživatelé Kontrola kumulativních nastavení
Ne vše, co vypadá jako Zásady skupiny, zásadami skupiny opravdu je Terminálové služby Směrování a vzdálený přístup
Závěrem
25 26 26 26
27 27 30 30
35 35 36 37
39 40 43 45 47 51 53 54 55 57 59 60
62 62 62
63
K1136.qxd
16.11.2005
15:01
StrÆnka 7
Obsah
7
Ka p i t o l a 2 Správa Zásad skupiny pomocí GPMC Běžné postupy s GPMC K čemu je dobré filtrování Nastavení priorit mezi Objekty zásad skupiny Význam výstrahy o propojení v GPMC Jak zabránit použití Objektů zásad skupiny Zákaz dědičnosti
65 65 67 69 70 71 76
Funkce Enforced
77
Rozšířené zabezpečení a delegování v GPMC
80
Filtrování Objektů zásad skupiny Jak udělit uživateli práva nad vytvořeným Objektem zásad skupiny Předávání práv pro vytváření Objektů zásad skupiny v doméně Předání oprávnění ke speciálním operacím se Zásadami skupiny Kdo může vytvářet a používat filtry WMI?
Provádění výpočtu RSoP pomocí GPMC Určení výsledku nastavených Zásad skupiny Modelování možných chování Zásad skupiny
Zálohování a obnovení Objektů zásad skupiny Zálohování Objektů zásad skupiny Obnovení Objektů zásad skupiny Zálohování a obnovení filtrů WMI
80 88 89 90 92
93 94 97
100 101 102 104
Vyhledávání Objektů zásad skupiny pomocí GPMC
105
Přehled ikon používaných v GPMC
106
Přehled požadavků funkcí dostupných z GPMC
106
Závěrem
108
Ka p i t o l a 3 Způsob zpracování zásad skupiny
111
Principy zpracování zásad skupiny
112
Počáteční zpracování zásad Zpracování zásad skupiny na pozadí Zpracování zásad zabezpečení na pozadí Speciální případ: Přesunutí objektu uživatele nebo počítače
113 114 121 126
Aplikace zásad při vzdáleném přístupu nebo na pomalých linkách
127
Použití nastavení zásad skupiny k ovlivnění zásad skupiny
129
Nastavení uživatele v zásadách skupiny Nastavení počítače v zásadách skupiny
Zpracování zásad skupiny ve zpětné smyčce Zopakování běžného zpracování zásad skupiny Zpětná smyčka zásad skupiny – režim Sloučit Zpětná smyčka zásad skupiny – režim Nahradit
Zásady skupiny se vztahy důvěryhodnosti mezi doménovými strukturami Co se stane při přihlášení na jiné stanici s využitím vztahů důvěryhodnosti mezi doménovými strukturami? Zákaz zpracování zpětné smyčky při použití vztahů důvěryhodnosti mezi doménovými strukturami
129 131
138 138 139 140
145 146 148
K1136.qxd
8
16.11.2005
15:01
StrÆnka 8
Obsah Matice vztahů důvěryhodnosti mezi doménovými strukturami pro různé stanice Oprávnění při vztazích důvěryhodnosti mezi doménovými strukturami
149 150
Souběžné použití Zásad skupiny a systémových zásad NT4
152
Závěrem
154
Ka p i t o l a 4 Řešení problémů se Zásadami skupiny Pod povrchem zásad skupiny Místní zásady skupiny Objekty zásad skupiny v Active Directory
Vznik, život a zánik objektů zásad skupiny Vznik objektů zásad skupiny Život objektů zásad skupiny
Jak klient získá objekty zásad skupiny Rozšíření na straně klienta Místo uložení šablon pro správu v registrech
Proč se zásady skupiny neaplikovaly? Kontrola základů Hloubková kontrola
Odstraňování problémů na straně klienta RSoP ve Windows 2000 RSoP ve Windows 2003 a Windows XP GPResult ve Windows 2003 a Windows XP Vzdálené spuštění GPResult a vyhodnocení RSoP pro klienta s Windows XP a Windows 2003 Zásady skupin Windows XP a Centrum pro nápovědu a odbornou pomoc Snap-in modul RSoP v MMC
Pokročilé odstraňování problémů se zásadami skupiny pomocí protokolování Prohlížeč událostí Zapnutí rozšířeného protokolování v registrech Detailní protokolování
Závěrem
157 158 158 159
162 162 164
179 179 182
183 184 185
192 193 194 194 198 199 200
201 202 202 203
205
Ka p i t o l a 5 Šablony ADM ve Windows
207
Zásady a Preference
208
Typické šablony ADM
209
Standardní šablony ADM Šablony ADM výrobce softwaru
210 211
Vytváření vlastních šablon ADM
219
Vytváření vlastních šablon ADM Prohlížení starších preferencí
219 220
Spravování šablon ADM ve Windows
222
Jak nyní spravujete vaše Objekty zásad skupiny? Principy chování šablon ADM
Nejlepší postupy při správě šablon ADM Vytvoření řídící stanice s Windows XP
223 224
226 226
K1136.qxd
16.11.2005
15:01
StrÆnka 9
Obsah Zákaz automatické aktualizace šablon ADM
9 227
Obsah souborů šablon ADM
229
Závěrem
230
Ka p i t o l a 6 Implementace zabezpečení pomocí Zásad skupiny Dva standardní objekty zásad skupiny GPO propojené na úrovni domény GPO propojené na úrovni OU Domain Controllers Návrat k výchozímu nastavení pro GPO Default Domain Policy a Default Domain Controllers Policy
Místní a faktické zabezpečení Podivný život Zásad hesla
Audit a zásady skupiny Auditování změn Objektů zásad skupiny Auditování přístupu k souborům
Skripty Přihlášení, Odhlášení, Po spuštění, Ukončení Skripty Po spuštění a Ukončení Skripty Přihlášení a Odhlášení
231 232 232 235 237
238 239
241 243 246
247 248 249
Zásady údržby aplikace Internet Explorer
249
Wireless Network (802.11) Policies
250
Skupiny s omezeným členstvím
250
Zesílené řízení skupin Active Directory Zesílené řízení lokálních skupin Zesílené řízení vnořováním skupin Omezení při vnořování skupin
Zásady omezení softwaru Přístup k zásadám omezení softwaru Pravidla zásad omezení softwaru Odstraňování problémů se zásadami omezení softwaru Odstranění nevhodně nastavených zásad omezení softwaru
Zabezpečení stanic pomocí šablon Šablony zabezpečení Vaše vlastní šablony zabezpečení Konfigurace a analýza zabezpečení Aplikace šablon zabezpečení pomocí zásad skupiny
Závěrem O čem jsme nemluvili Další zdroje informací Návrh versus implementace
251 252 253 254
254 255 256 261 262
263 264 267 270 276
277 277 278 278
Ka p i t o l a 7 Skriptování GPMC Začínáme používat skripty GPMC Upozornění GPMC při používání skriptů Užitečná literatura Nástroje pro vytváření skriptů
279 280 280 280 281
K1136.qxd
10
16.11.2005
15:01
StrÆnka 10
Obsah Základní pojmy skriptů pro GPMC Inicializace požadavků pro skripty GPMC Automatické získání názvu DNS domény Získání základních informací o sídle a doméně
281 283 285 285
Vytváření jednoduchých skriptů GPMC
287
Automatizace rutinní práce se Zásadami skupiny
290
Dokumentace propojení GPO a Filtrů WMI Dokumentace nastavení GPO Vytváření a propojení nových GPO Zálohování GPO Obnovení GPO Importování GPO Změna oprávnění k GPO
Nucená aktualizace Objektů zásad skupiny Povolení vzdáleného použití skriptů Skript pro vynucení aktualizace GPO na pozadí
290 294 296 298 299 303 305
310 310 311
Používání skriptů, které jsou součástí GPMC
312
Závěrem
313
Ka p i t o l a 8 Místní, cestovní a povinné profily Co je uživatelský profil? Soubor NTUSER.DAT Složka profilu Výchozí místní profil Výchozí doménový profil
Cestovní profily Nastavení cestovních profilů Testování cestovních profilů Migrace místního profilu na cestovní profil Cestovní a necestovní složky Změny profilu ve Windows XP a Windows 2003 Vliv nastavení zásad skupiny v konfiguraci počítače na cestovní profily Vliv nastavení zásad skupiny v konfiguraci uživatele na cestovní profily
Povinné profily Změna místních profilů na povinné Změna cestovních profilů na povinné Vynucený povinný profil
Závěrem
315 315 316 316 318 321
323 323 326 328 329 330 333 339
342 342 344 345
346
Ka p i t o l a 9 IntelliMirror, 1. část: Přesměrování složek, Soubory offline, Správce synchronizace a Diskové kvóty
349
Rozdíly mezi službami Správa změn a konfigurace a IntelliMirror
350
Přesměrování složek
351
Přesměrování adresáře Dokumenty Přesměrování složek Nabídka Start a Plocha
352 364
K1136.qxd
16.11.2005
15:01
StrÆnka 11
Obsah
11
Přesměrování složky Data aplikací Řešení problémů s přesměrováním složek
365 365
Soubory offline a Správce synchronizace
368
Základy souborů offline Základy Správce synchronizace Zpřístupnění souborů offline Konfigurace souborů offline Přístup nedělej nic Obíhání všech počítačů kvůli nastavení Souborů offline a Správce synchronizace
368 368 369 373 374 378
Spolupráce služeb Soubory offline a Správce synchronizace
383
Použití služeb Přesměrování složek a Soubory offline pomalými linkami
385
Synchronizace přesměrované složky Dokumenty přes pomalou linku Synchronizace veřejných sdílených složek přes pomalou linku
Nastavení Souborů offline pomocí Zásad skupiny (část uživatele a počítače) Zakázat uživatelskou konfiguraci souborů offline Při přihlášení synchronizovat všechny soubory offline Provést synchronizaci všech souborů offline před odhlášením Před přechodem do režimu spánku synchronizovat soubory offline Akce při odpojení serveru Jiné než výchozí akce při odpojení serveru Odebrat možnost Zpřístupnit offline Zabránit použití složky soubory offline Administrativně přiřazené soubory offline Vypnout připomínání Frekvence připomínání Doba trvání úvodního upozornění Doba trvání upozornění Úroveň protokolování událostí Zakázat zpřístupnění těchto souborů a složek offline Nepovolit automaticky zpřístupnění přesměrovaných složek offline
Nastavení souborů offline pomocí zásad skupiny (pouze v části počítače) Povolit nebo zakázat použití funkce Soubory offline Výchozí velikost mezipaměti Soubory neukládané do mezipaměti Při odhlášení odstranit místní kopie souborů offline uživatele Podsložky vždy přístupné offline Šifrovat mezipaměť souborů offline Konfigurovat rychlost pomalého připojení
Diskové kvóty Kvóty a skupiny Návrh a implementace strategie diskových kvót Importování a exportování nastavených kvót Nastavení kvót pomocí Zásad skupiny
Závěrem
385 386
389 390 390 391 391 391 391 392 392 393 394 394 395 395 395 396 396
397 397 397 398 398 399 399 400
400 403 403 406 407
409
Ka p i t o l a 10 IntelliMirror, 2. část: Rozmístění softwaru pomocí Zásad skupiny Přehled GPSI Instalační služba systému Windows Význam balíčků .msi Použití balíčků .msi
411 411 412 413 414
K1136.qxd
12
16.11.2005
15:01
StrÆnka 12
Obsah Přiřazené a publikované aplikace Přiřazené aplikace Publikované aplikace Pravidla rozmístění Strategie zaměřená na balíčky Význam souborů typu .zap Izolace programů
Přiřazené a publikované programy – Upřesnit Karta Obecné Karta Zavedení Tlačítko Upřesnit Karta Inovace Karta Kategorie Karta Změny Karta Zabezpečení
Výchozí vlastnosti Instalace softwaru Karta Obecné Karta Upřesnit Karta Přípony souborů Karta Kategorie
Odebrání aplikací Uživatelé mohou ručně měnit nebo odebírat aplikace Automatické odebrání přiřazených nebo publikovaných aplikací typu .msi Vynucené odebrání přiřazených nebo publikovaných aplikací typu .msi Odebrání aplikací typu .zap Odstraňování problémů s odebíráním aplikací
Použití Instalace softwaru přes pomalé linky
418 418 419 419 420 425 428
430 430 431 433 435 436 437 440
441 441 442 442 443
444 444 444 445 446 447
448
Přiřazení aplikací uživatelům systému Windows 2000 přes pomalou linku 449 Přiřazení aplikací uživatelům systémů Windows 2003 a Windows XP přes pomalou linku 451
Správa balíčků .msi a Instalační služby systému Windows Nástroj MSIEXEC Nastavení Instalační služby systému Windows pomocí Zásad skupiny
Směrování GPO pomocí filtrů WMI Nástroje (a reference) pro práci s WMI Syntaxe filtrů WMI Vytvoření a použití filtrů WMI Závěrem k filtrům WMI
Začlenění programu SMS do vaší sítě SMS a Instalace software Zásad skupiny (GPSI) Soužití GPSI a SMS
Závěrem
451 451 453
460 461 462 463 464
465 466 468
468
Ka p i t o l a 11 Doplňky pro službu IntelliMirror: Stínové kopie a Služba vzdálené instalace 471 Stínové kopie Nastavení Stínových kopií na serveru Doručení Stínových kopií klientovi Obnovení souborů pomocí Shadow Copies Client
472 472 474 475
K1136.qxd
16.11.2005
15:01
StrÆnka 13
Obsah Jádro Služby vzdálené instalace
13 477
Součásti serveru Součásti klienta
477 478
Nastavení serveru RIS
479
Instalace služby RIS Instalace základní bitové kopie Autorizace vašeho serveru RIS Správa serveru RIS
Instalace prvního klienta Vytvoření diskety pro vzdálené spuštění Instalace vašeho prvního klienta Nástroje pro přípravu vzdálené instalace (RIPrep)
Jak vytvoříte svůj vlastní automatický soubor odpovědí služby RIS Vytvoření vzorového plně automatického souboru odpovědí Spojení odpovědního souboru s bitovou kopií Upravení Služby vzdálené instalace pomocí Zásad skupiny Část Automatická instalace Část Vlastní instalace Část Spustit instalaci znovu Část Nástroje
Závěrem
480 481 482 483
484 485 485 488
490 491 492 493 494 495 495 496
496
Příloha Nástroje Zásad skupiny Přesun objektů zásad skupiny mezi doménami Jednoduché kopírování a importování v rámci domény Kopírování a importování migration tables (migračních tabulek)
Přehled nástrojů od společnosti Microsoft Nástroje k zásadám skupiny od společnosti Microsoft Nástroje pro správu profilů od společnosti Microsoft
Nástroje od jiných výrobců
Rejstřík
499 499 499 504
506 506 509
510
515
