Definování objektů zásad skupiny
Od dřívějších verzí Windows Serveru poskytuje funkce Zásad skupiny operačních systémů Windows infrastrukturu, se kterou můžou správci centrálně definovat nastavení a pak je nasadit do počítačů v rámci svých organizací.
Pracovníci IT ve společnosti Contoso proto můžou definovat, vynutit a aktualizovat celou konfiguraci pomocí nastavení objektu zásad skupiny. Pomocí nastavení objektu zásad zabezpečení můžou mít vliv na celou lokalitu nebo doménu v rámci organizace nebo můžou omezit zaměření na jednu organizační jednotku.
Tip
Filtrování na základě členství ve skupině zabezpečení a atributů fyzického počítače také umožňuje společnosti Contoso definovat cíl pro nastavení objektu zásad skupiny ještě dál.
Co jsou zásady skupiny?
Zásady skupiny jsou architekturou v operačních systémech Windows s komponentami, které se nacházejí ve službě AD DS, na řadičích domény a na každém Windows Serveru a klientovi. Pomocí těchto komponent můžete spravovat konfiguraci v doméně služby AD DS. Nastavení zásad skupiny definujete v GPO. Objekt zásad skupiny je objekt, který obsahuje jedno nebo více nastavení zásad, které platí pro jedno nebo více nastavení konfigurace pro uživatele nebo počítač.
Zásady skupiny jsou výkonným nástrojem pro správu. Objekty zásad skupiny můžete použít k nabízení různých nastavení velkému počtu uživatelů a počítačů. Vzhledem k tomu, že je můžete použít na různé úrovně, od místního počítače po doménu, můžete tato nastavení zaměřit přesně. Primárně pomocí zásad skupiny konfigurujete nastavení, která nechcete, aby uživatelé nakonfigurovali. Kromě toho můžete pomocí zásad skupiny standardizovat desktopová prostředí na všech počítačích v organizační jednotce nebo v celé organizaci. Zásady skupiny můžete použít také k zajištění dalšího zabezpečení, ke konfiguraci některých pokročilých systémových nastavení a k dalším účelům probíraným v další ukázkové lekci.
Co jsou objekty zásad skupiny?
Nejpodrobnější součástí zásad skupiny je individuální nastavení zásad. Nastavení jednotlivých zásad definuje konkrétní konfiguraci, například nastavení zásad, které uživateli brání v přístupu k nástrojům pro úpravy registru. Pokud toto nastavení zásad definujete a použijete ho pro uživatele, nebude moct tento uživatel spouštět nástroje, jako je Regedit.exe.
Některá nastavení ovlivňují uživatele, označovaného jako nastavení konfigurace uživatele nebo zásady uživatele, a některá ovlivňují počítač, který se označuje jako nastavení konfigurace počítače nebo zásady počítače.
Důležité
Nastavení neovlivňují skupiny přímo a vztahují se pouze na objekty uživatelů a počítačů.
Zásady skupiny spravují různá nastavení zásad a architektura zásad skupiny je rozšiřitelná. Pomocí zásad skupiny můžete spravovat téměř jakékoli konfigurovatelné nastavení.
Definování nastavení zásad:
- V Editoru pro správu zásad skupiny vyhledejte nastavení zásad a pak vyberte Enter. Zobrazí se dialogové okno nastavení zásad Vlastnosti.
- Změňte stav zásady na Povoleno nebo Zakázáno. Většina nastavení zásad může mít tři stavy: Nenakonfigurováno, Povoleno a Zakázáno.
- V případě potřeby nakonfigurujte další hodnoty a po dokončení vyberte OK.
Objekty zásad skupiny ukládají nastavení zásad skupiny. V novém GPO se každé nastavení zásad ve výchozím stavu nastaví na Nenakonfigurováno. Když povolíte nebo zakážete nastavení zásad, Windows Server provede změnu konfigurace uživatelů a počítačů, na které se objekt zásad skupiny použije.
Poznámka
Když vrátíte nastavení na hodnotu Nenakonfigurováno , vrátíte ho do výchozí hodnoty.
Vytvoření nového objektu zásad zásad_zásad_zásad v doméně:
- Ve správě zásad skupiny klikněte pravým tlačítkem myši nebo přejděte do místní nabídky kontejneru Objekty zásad skupiny a pak vyberte Nový.
- Chcete-li upravit nastavení konfigurace v objektu skupinových zásad (GPO), klikněte pravým tlačítkem myši na objekt GPO nebo otevřete jeho místní nabídku a pak vyberte Upravit. Tím se otevře modul snap-in Editor správy zásad skupiny.
Editor správy zásad skupiny zobrazí všechna nastavení zásad, která jsou k dispozici v objektu zásad skupiny v uspořádané hierarchii, která začíná dělením mezi nastavením počítače a uživatelským nastavením: uzlem Konfigurace počítače a uzlem Konfigurace uživatele .
Objekty zásad skupiny se zobrazují v kontejneru s názvem Objekty zásad skupiny. Další dvě úrovně hierarchie jsou uzly s názvem Zásady a předvolby. Editor správy zásad skupiny zobrazuje v hierarchii složky označované jako uzly nebo skupiny nastavení zásad. Nastavení zásad jsou v rámci složek.
Co jsou počáteční objekty zásad skupiny?
Počáteční objekt zásad skupiny můžete použít jako šablonu, ze které můžete vytvořit další objekty zásad skupiny v konzole pro správu zásad skupiny. Předpřipravené objekty zásad skupiny mají jenom nastavení šablony pro správu. Počáteční objekt zásad skupiny můžete použít k vytvoření nových objektů zásad skupiny ve vaší doméně. Počáteční objekt zásad zásad zabezpečení už může mít konkrétní nastavení, která jsou pro vaše prostředí osvědčenými postupy. Počáteční objekty zásad skupiny můžete exportovat a importovat je ze souborů CAB (.cab), aby distribuce do jiných prostředí byla jednoduchá a efektivní.
Poznámka
Konzola pro správu zásad skupiny ukládá startovací GPOs ve složce s názvem StarterGPOs, což je v SYSVOL.
Poznámka
SYSVOL je sdílená složka na řadičích domény.
Microsoft obsahuje předem nakonfigurované objekty zásad skupiny Starter pro klientské operační systémy Windows. Tyto výchozí GPO mají nastavení šablony pro správu, která odrážejí osvědčené postupy doporučené společností Microsoft pro konfiguraci klientského prostředí.
Implementace oboru a dědičnosti objektu zásad skupin
Nastavení zásad v objektech zásad skupiny definují konfiguraci. Musíte ale zadat počítače nebo uživatele, na které se objekt zásad skupiny vztahuje, než změny konfigurace v objektu zásad skupiny ovlivní počítače nebo uživatele ve vaší organizaci. Tomu se říká nastavení oboru objektu zásad služby. Obor objektu zásad skupiny je kolekce uživatelů a počítačů, které použijí nastavení v objektu zásad skupiny.
Důležité
Objekt zásad skupiny můžete nastavit tak, že ho propojíte s organizační jednotky, která obsahuje cílové uživatele a počítače.
Určení rozsahu objektu zásad skupin
Ke správě oboru objektů zásad skupiny založeného na doméně můžete použít několik metod. První je odkaz objektu zásad_obnovení. Ve službě AD DS můžete propojit GPO k:
- Internetové stránky
- Domény
- Organizační jednotky
Lokalita, doména nebo organizační jednotky se pak stane maximálním rozsahem objektu zásad skupiny. Konfigurace, které určují nastavení zásad v objektu zásad skupiny, ovlivní všechny počítače a uživatele v lokalitě, doméně nebo organizační jednotce, včetně těch v podřízených organizačních jednotkách. GPO můžete propojit s více doménou, organizačními jednotky nebo lokalitou.
Upozornění
Propojení objektů zásad skupiny s více lokalitami ve více doménových strukturách může při použití zásad zavádět problémy s výkonem a v této situaci byste se měli vyhnout propojení objektů zásad skupiny s více lokalitami. Důvodem je to, že v síti s více doménovými strukturami s více doménovými strukturami jsou objekty zásad skupiny uložené na řadičích domény v doméně, ve které byly objekty zásad skupiny vytvořeny. Důsledkem toho je, že počítače v jiných doménách můžou muset procházet pomalým propojením sítě WAN (Wide Area Network), aby získaly objekty zásad skupiny.
Rozsah objektu zásad skupiny můžete dále zúžit pomocí jednoho ze dvou typů filtrů probíraných v následující tabulce.
Filtr
Popis
Bezpečnost
Ty určují skupiny zabezpečení nebo jednotlivé objekty uživatele nebo počítače, které se vztahují k oboru objektu zásad skupiny, ale které by objekt zásad skupiny měl nebo neměl použít.
WMI
Tyto typy určují rozsah pomocí charakteristik systému, jako je verze operačního systému nebo volné místo na disku.
Pomocí filtrů zabezpečení a filtrů rozhraní WMI můžete zúžit nebo určit rozsah v počátečním rozsahu vytvořeném propojením objektu zásad zabezpečení. Následuje příklad filtru rozhraní WMI, který vede k seznamu počítačů se systémem Windows 10.
select * from Win32_OperatingSystem where Version like "10.%"
Pořadí zpracování objektů zásad skupiny
Objekty zásad skupiny, které platí pro uživatele, počítač nebo obojí, se nevztahují všechny najednou. Objekty zásad skupiny se použijí v určitém pořadí. Konfliktní nastavení, která proces později zpracuje, může nejprve přepsat nastavení, která tento proces zpracuje.
Zásady skupiny se řídí následujícím hierarchickým pořadím zpracování:
- Místní objekty zásad skupiny.
- Objekty zásad skupiny propojené s webem
- Objekty zásad skupiny propojené s doménou
- Objekty zásad skupiny propojené organizačními jednotky
- Podřízené organizační jednotky propojené s objekty zásad skupiny
Důležité
V aplikaci Zásad skupiny výchozí pravidlo spočívá v tom, že poslední zásada (nejvýraznější zásada) převládá.
Například zásada, která omezuje přístup k Ovládací panely použité na úrovni domény, může být obrácena zásadou použitou na úrovni organizační jednotky pro objekty obsažené v této konkrétní organizační jednotky.
Pokud k organizační jednotce propojíte několik objektů zásad skupiny, dojde ke zpracování v pořadí, jak jej určí správce na kartě Propojené objekty zásad skupiny organizační jednotky v konzole pro správu skupinových politik. Ve výchozím nastavení je zpracování povolené pro všechna propojení objektů zásad skupiny. Odkaz objektu zásad skupiny kontejneru můžete zakázat a zablokovat aplikaci objektu zásad skupiny pro danou doménu nebo organizační jednotky. Pokud jste například provedli nedávnou změnu objektu zásad zabezpečení a způsobuje produkční problémy, můžete odkaz nebo odkazy zakázat, dokud se problém nevyřeší.
Poznámka
Všimněte si, že pokud je objekt zásad zásad blob propojený s jinými kontejnery, bude objekt zásad zásad blob dál zpracovávat, pokud jsou jejich odkazy povolené.
Konfiguraci konkrétního objektu zásad skupiny můžete také zakázat nezávisle na uživateli nebo počítači. Pokud je známo, že jedna část zásady je prázdná, může zakázání druhé části urychlit zpracování zásad mírně. Pokud máte například zásadu, která poskytuje pouze konfiguraci plochy uživatele, můžete zakázat část počítače zásad.
Dědičnost objektů zásad služby
Nastavení zásad můžete nakonfigurovat ve více než jednom objektu zásad skupiny, což může vést k vzájemnému konfliktu objektů zásad skupiny. V tomto případě priorita objektů zásad skupiny určuje, které nastavení zásad klient použije. Objekt zásadU s vyšší prioritou převládá nad objektem zásad zásadu zásad a nižší prioritou. Priorita je určena číselně. Každý objekt zásad zásad služby má hodnotu priority. Čím nižší je číslo, tím vyšší je priorita. Proto objekt zásad skupiny, který má přednost před všemi ostatními objekty zásad skupiny, převládá.
Výchozí chování zásad skupiny je, že objekty zásad skupiny propojené s kontejnerem vyšší úrovně dědí kontejnery nižší úrovně. Když se počítač spustí nebo se přihlásí uživatel, klientská rozšíření zásad skupiny zkontrolují umístění počítače nebo objektu uživatele ve službě AD DS a vyhodnotí objekty zásad skupiny s obory, které zahrnují počítač nebo uživatele. Potom rozšíření na straně klienta použijí nastavení zásad z těchto objektů zásad skupiny. Zásady se použijí postupně, počínaje zásadami, které odkazují na web, následované těmi, které odkazují na doménu, následované zásadami, které odkazují na organizační jednotky. Tato sekvenční aplikace objektů zásad skupiny vytvoří efekt označovaný jako dědičnost zásad. Zásady se dědí, což znamená, že výsledná sada zásad (RSoPs) pro uživatele nebo počítač bude kumulativním účinkem zásad lokality, domény a organizačních jednotek.
Dědičnost bloku
Doménu nebo organizační jednotky můžete nakonfigurovat tak, aby se zabránilo dědičnosti nastavení zásad. To se označuje jako blokování dědičnosti. Pokud chcete blokovat dědičnost, klikněte pravým tlačítkem myši nebo přejděte do místní nabídky domény nebo organizační jednotky ve stromu konzoly GPMC a pak vyberte Blokovat dědičnost.
Možnost Blokovat dědičnost je vlastností kontejneru, takže blokuje všechna nastavení zásad skupiny z objektů zásad skupiny, které odkazují na nadřazené objekty v hierarchii zásad skupiny.
Upozornění
Možnost Dědičnost bloku používejte střídmě, protože blokování dědičnosti ztěžuje vyhodnotit prioritu a dědičnost zásad skupiny.
Tip
Pomocí filtrování skupin zabezpečení můžete pečlivě nastavit obor objektu zásad skupiny, aby se použil pouze na správné uživatele a počítače na prvním místě, aby se nepotřebovala možnost Blokovat dědičnost.
Vynucení odkazu objektu zásad služby
Kromě toho můžete nastavit odkaz objektu zásad skupiny, který se má vynutit. Chcete-li vynutit propojení GPO, klikněte pravým tlačítkem myši na odkaz GPO ve stromu konzoly nebo vyvolejte kontextovou nabídku a pak z nabídky zvolte Vynuceno.
Když nastavíte odkaz objektu zásad skupiny na Vynuceno, převezme objekt zásad skupiny nejvyšší úroveň priority. Nastavení zásad v daném objektu zásad převládají nad všemi konfliktními nastaveními zásad v jiných objektech zásad skupiny.
Důležité
Vynucené propojení se vztahuje na podřízené kontejnery i v případě, že jsou tyto kontejnery nastaveny na blokovat dědičnost. Možnost Vynucení způsobí, že se zásada použije pro všechny objekty v rámci svého oboru.
Vynucení je užitečné, když musíte nakonfigurovat objekt zásad zabezpečení a používání IT, který definuje konfiguraci, která je povinná. Proto chcete zajistit, aby ostatní objekty zásad skupiny propojené se stejnými nebo nižšími úrovněmi nepřepsaly tato nastavení. Můžete to provést vynucením odkazu objektu zásad zásad služby.
Vyhodnocení priority
Pokud chcete usnadnit vyhodnocení priority objektu zásad skupiny, můžete jednoduše vybrat organizační jednotky nebo doménu a pak vybrat kartu Dědičnost zásad skupiny . Tato karta zobrazuje výslednou prioritu objektů zásad skupiny, účtování propojení objektů zásad skupiny, pořadí propojení, blokování dědičnosti a vynucení propojení.
Důležité
Tato karta nebere v úvahu zásady, které jsou propojené s webem, pro zabezpečení objektů zásad zásad nebo filtrování rozhraní WMI.
Definování objektů zásad skupiny založených na doméně
V AD DS můžete vytvářet Zásady skupiny založené na doméně a ukládat je do řadičů domény. Tyto objekty zásad skupiny můžete použít ke správě konfigurace centrálně pro uživatele a počítače domény. Při instalaci služby AD DS vytvoří Windows Server dvě výchozí objekty zásad skupiny:
- Výchozí zásady domén
- Výchozí zásady řadičů domény
Poznámka
Počítače s Windows mají také místní objekty zásad skupiny, které se primárně používají v případě, že počítače nejsou připojené k doménovým prostředím.
Výchozí zásady domén
Objekt zásad výchozí domény GPO je propojen s doménou a vztahuje se na ověřené uživatele. Tento objekt zásad zásad služby WMI nemá žádné filtry rozhraní WMI. To má vliv na všechny uživatele a počítače v doméně. Tento objekt zásad skupiny obsahuje nastavení zásad určující heslo, uzamčení účtu a zásady ověřovacího protokolu Kerberos verze 5.
Tato nastavení jsou pro prostředí služby AD DS důležitá, a proto nastaví výchozí zásady domény jako kritickou součást zásad skupiny. Do tohoto objektu zásad zásad byste neměli přidávat nesouvisející nastavení. Pokud potřebujete nakonfigurovat další nastavení tak, aby se v doméně použila široce, vytvořte další objekty zásad skupiny, které odkazují na doménu.
Výchozí zásady řadičů domény
Výchozí objekt zásad zásad řadiče domény odkazuje na organizační jednotky řadičů domény. Vzhledem k tomu, že účty počítačů pro řadiče domény jsou uloženy výhradně v organizační jednotce řadiče domény a jiné účty počítačů by měly být zachovány v jiných organizačních jednotkách, tento objekt zásad skupiny má vliv pouze na řadiče domény nebo jiné objekty počítače, které jsou v organizační jednotce řadiče domény.
Objekty zásad skupiny propojené s organizační jednotou řadičů domény byste měli upravit tak, aby implementovaly zásady auditování a přiřadily uživatelská práva vyžadovaná na řadičích domény.
Vytvoření a konfigurace objektu zásad služby založeného na doméně
Objekty zásad skupiny spravujete pomocí dvou primárních nástrojů:
- Konzola pro správu zásad skupiny
- Editor správy zásad skupiny
K správě objektů zásad skupiny a jejich nastavení můžete použít také rutiny Windows PowerShellu, včetně těch popsaných v následující tabulce.
Cmdlet
Popis
New-GPO
Vytvoří nový objekt zásad skupin.
New-GPLink
Propojí objekt zásadU s lokalitou, doménou nebo organizační jednotky.
Get-GPInheritance
Získá informace o dědičnosti zásad skupiny pro zadanou doménu nebo organizační jednotky.
Set-GPInheritance
Blokuje nebo odblokuje dědičnost pro zadanou doménu nebo organizační jednotku.
Get-GPO
Získá jeden objekt zásad skupiny nebo všechny objekty zásad skupiny v doméně.
Co můžete spravovat pomocí GPO?
Existují dvě hlavní kategorie nastavení zásad: nastavení počítače, která jsou obsažena v uzlu Konfigurace počítače , a uživatelská nastavení, která jsou obsažena v uzlu Konfigurace uživatele :
- Uzel Konfigurace počítače obsahuje nastavení, která platí pro počítače bez ohledu na to, kdo se k nim přihlásí. Nastavení počítače se použije při spuštění operačního systému, během aktualizací na pozadí a každých 90 až 120 minut.
- Uzel Konfigurace uživatele obsahuje nastavení, která se použijí, když se uživatel přihlásí k počítači, během aktualizace na pozadí a každých 90 až 120 minut.
V uzlech Konfigurace počítače a Konfigurace uživatele jsou uzly Zásady a Předvolby .
Uzly Zásad v konfiguraci počítače a konfiguraci uživatele mají hierarchii složek, které obsahují nastavení zásad. Vzhledem k tomu, že existují tisíce nastavení, rozsah tohoto kurzu nezahrnuje jednotlivá nastavení. Je ale vhodné zkontrolovat typy nastavení, které můžete nakonfigurovat.
Použití nastavení zabezpečení
V operačním systému Windows Server zahrnují objekty zásad skupiny velký počet nastavení souvisejících se zabezpečením, která můžete použít pro uživatele i počítače. Můžete například vynutit nastavení pro zásady hesel domény, bránu Firewall v programu Windows Defender a nakonfigurovat auditování a další nastavení zabezpečení. Můžete také nakonfigurovat úplné sady přiřazení uživatelských práv.
Správa nastavení plochy a aplikace
Zásady skupiny můžete použít k zajištění konzistentního desktopového a aplikačního prostředí pro všechny uživatele ve vaší organizaci. Pomocí objektů zásad skupiny můžete nakonfigurovat každé nastavení, které ovlivňuje reprezentaci uživatelského prostředí. Můžete také nakonfigurovat nastavení pro některé aplikace, které podporují objekty zásad skupiny.
Nasazení softwaru
Pomocí zásad skupiny můžete software nasadit uživatelům a počítačům. Pomocí zásad skupiny můžete nasadit veškerý software, který je k dispozici ve formátu .msi. Kromě toho můžete vynutit automatickou instalaci softwaru nebo můžete umožnit uživatelům rozhodnout, jestli chce software nasadit do svých počítačů.
Důležité
Nasazení velkých softwarových balíčků s objekty zásad skupiny nemusí být nejúčinnější způsob distribuce aplikace do počítačů vaší organizace. Za některých okolností může být efektivnější distribuovat aplikace jako součást image stolního počítače.
Správa přesměrování složky
Díky možnosti Přesměrování složky je snazší zálohovat datové soubory uživatelů. Přesměrováním složek také zajistíte, aby uživatelé měli přístup ke svým datům bez ohledu na počítač, ke kterému se přihlašují. Kromě toho můžete data všech uživatelů centralizovat na jednom místě na síťovém serveru a zároveň poskytovat uživatelské prostředí, které se podobá ukládání těchto složek do jejich počítačů. Můžete například nakonfigurovat přesměrování složky tak, aby přesměrovává složky Dokumenty uživatelů do sdílené složky na síťovém serveru.
Konfigurace nastavení sítě
Pomocí zásad skupiny můžete nakonfigurovat různá nastavení sítě na klientských počítačích. Můžete například vynutit nastavení bezdrátových sítí, aby se uživatelé mohli připojit pouze ke konkrétním identifikátorům SSID sítě Wi-Fi a s předdefinovaným nastavením ověřování a šifrování. Můžete také nasadit zásady, které platí pro nastavení kabelové sítě, a některé role Systému Windows Server používají zásady skupiny ke konfiguraci klientské strany služeb, jako je DirectAccess.
Řešíte potíže s aplikací objektů zásad skupiny?
Dědičnost zásad skupiny, filtry a výjimky jsou složité a často může být obtížné určit, která nastavení zásad se použijí. RSoP je čistý účinek objektů zásad skupiny použitých u uživatele nebo počítače, vzhledem k propojení objektů zásad skupiny, výjimkám, jako je vynucená a bloková dědičnost, a použití filtrů zabezpečení a rozhraní WMI.
RSoP je také kolekce nástrojů, které můžete použít k vyhodnocení, modelování a řešení potíží s aplikací nastavení zásad skupiny. RSoP může dotazovat místní nebo vzdálený počítač a hlásit přesná nastavení, která se na počítač použila, a pro každého uživatele, který se přihlásil k počítači. RSoP může také modelovat nastavení zásad, která se mají použít u uživatele nebo počítače v různých scénářích, včetně přesunu objektu mezi organizačními procesory nebo weby nebo změnou členství ve skupině objektu. S těmito funkcemi vám RSoP může pomoct spravovat a řešit konfliktní zásady. Pro provádění analýzy RSoP existují následující nástroje:
- Průvodce výsledky zásad skupiny.
- Průvodce modelováním zásad skupiny.
- GPResult.exe.
Definice úložiště objektů zásad skupiny
Nastavení skupinových zásad se v nástrojích uživatelského rozhraní služby AD DS zobrazují jako objekty zásad skupiny, ale GPO ve skutečnosti obsahuje dvě součásti.
Co jsou kontejnery a šablony zásad skupiny?
Tyto dvě komponenty jsou popsány v následující tabulce.
Komponenta
Popis
Kontejner zásad skupiny
Kontejner objektů zásad skupiny se nachází ve službě Active Directory a ukládá metadata objektu zásad skupiny. Neobsahuje skutečná nastavení, ale informace o tom, kdy byl objekt zásad skupiny vytvořen, kolikrát bylo změněno nastavení uživatele a počítače, verze objektu zásad skupiny a jeho identifikátor GUID (který slouží k propojení nastavení zásad skupiny se šablonou zásad skupiny.
Šablona Zásad skupiny
Tato šablona je kolekcí souborů uložených v adresáři SYSVOL na každém řadiči domény v cestě %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID, kde GPOGUID je globálně jedinečný identifikátor (GUID) kontejneru zásad skupiny. Šablona Zásad skupiny obsahuje nastavení zásad skupiny.
Poznámka
Podobně jako všechny objekty služby AD DS obsahuje každý kontejner zásad skupiny atribut GUID, který jednoznačně identifikuje objekt v rámci služby AD DS.
Když změníte nastavení objektu zásad skupiny, změny se uloží do sdílené složky SYSVOL. Ve výchozím nastavení se používá řadič domény, který má roli operací hlavního emulátoru PDC. Provedené změny se pak replikují do jiných řadičů domény.
Tip
Ve výchozím nastavení platí, že když dojde k aktualizaci zásad skupiny, rozšíření na straně klienta použijí nastavení v objektu zásad skupiny jenom v případě, že se objekt zásad skupiny aktualizoval.
Klient zásad skupiny může identifikovat aktualizovaný objekt zásad skupiny podle čísla verze, jak je popsáno níže:
- Každý objekt zásad správy má číslo verze, které se při každé změně zvýší.
- Číslo verze je uloženo jako atribut kontejneru zásad skupiny a v textovém souboru, GPT.ini, ve složce šablony zásad skupiny.
- Klient zásad skupiny zná číslo verze každého objektu zásad skupiny, který dříve aplikoval.
- Pokud klient zásad skupiny během aktualizace zjistí, že číslo verze kontejneru zásad skupiny se změnilo, Windows Server informuje rozšíření na straně klienta, že objekt zásad skupiny je aktualizován.
Replikace GPO
Kontejner Zásad skupiny i šablona Zásad skupiny se replikují mezi všemi řadiči domény v místní doméně ve službě AD DS. Tyto dvě položky však používají různé mechanismy replikace.
- Kontejner zásad skupiny ve službě AD DS se replikuje pomocí agenta replikace adresáře (DRA). Dra používá topologii, kterou generuje Nástroj pro kontrolu konzistence znalostí, který můžete definovat nebo upřesnit ručně. Výsledkem je, že se kontejner zásad skupiny replikuje během několika sekund do všech řadičů domény v lokalitě. Replikuje se také mezi lokalitami na základě vaší konfigurace replikace mezi lokalitami.
- Šablona Zásad skupiny v adresáři SYSVOL se replikuje pomocí replikace distribuovaného systému souborů (DFS-R).
Upozornění
Vzhledem k tomu, že se kontejner zásad skupiny a šablona zásad skupiny replikují samostatně, je možné, že se po krátkou dobu přestanou synchronizovat. V takovém případě se kontejner zásad skupiny obvykle replikuje nejprve do řadiče domény.
Systémy, které získaly uspořádaný seznam objektů skupinových politik z tohoto řadiče domény, identifikují nový kontejner skupinových politik. Tyto systémy se pak pokusí stáhnout šablonu zásad skupiny a zjistí, že čísla verzí nejsou stejná. V protokolech událostí se zaznamená chyba zpracování zásad.
Pokud k tomu dojde opačně a GPO se replikuje do řadiče domény před kontejnerem zásad skupiny, klienti, kteří z tohoto řadiče domény získají seřazený seznam GPO, nebudou upozorněni na nový GPO, dokud se kontejner zásad skupiny nereplikuje.
Definování šablon pro správu
Soubory šablon pro správu poskytují většinu dostupných nastavení zásad skupiny, která upravují konkrétní klíče registru. Použití šablon pro správu se označuje jako zásada založená na registru, protože všechna nastavení nakonfigurovaná v šablonách pro správu vedou ke změnám registru. Pro mnoho aplikací je použití zásad založených na registru nejjednodušším a nejlepším způsobem, jak podporovat centralizovanou správu nastavení zásad.
Přehled šablon pro správu
Šablony pro správu můžete použít k řízení prostředí operačního systému a uživatelského prostředí. Existují dvě sady šablon pro správu:
- Nastavení související s počítačem
- Nastavení související s uživatelem
Při konfiguraci nastavení v uzlu Šablony pro správu (GPO) provedete úpravy registru. Šablony pro správu mají následující charakteristiky:
- Mají podnodes, které odpovídají určitým oblastem prostředí, jako jsou sítě, systém a součásti systému Windows.
- Nastavení v počítačové části uzlu Šablony pro správu upravují sekci HKEY_LOCAL_MACHINE v registru.
- Nastavení v uživatelské sekci uzlu Šablony pro správu upraví úl HKEY_CURRENT_USER v registru.
- Některá nastavení existují pro uživatele i počítače.
Důležité
V případě konfliktních nastavení převládá nastavení počítače.
- Některá nastavení jsou dostupná jenom pro některé verze operačních systémů Windows. Můžete například použít několik nových nastavení jenom pro Windows 10.
Tip
Pokud chcete zkontrolovat, které verze Windows jsou podporované, vyberte požadované nastavení a pak vyberte kartu Rozšířené.
Následující tabulka podrobně popisuje organizaci uzlu Šablony pro správu.
Oddíl šablony pro správu
Nastavení
Konfigurace počítače
Ovládací panely, síť, tiskárny, server, nabídka Start a hlavní panel, systém, součásti systému Windows, všechna nastavení
Konfigurace uživatele
Ovládací panely, Plocha, Síť, Sdílené složky, Nabídka Start a Hlavní panel, Systém, Součásti systému Windows, Všechna nastavení
Většina uzlů obsahuje více podsložek, které umožňují uspořádat nastavení do logických seskupení. I u této organizace může být nalezení nastavení, které potřebujete, náročným úkolem.
Tip
Uzel Všechna nastavení obsahuje abecedně seřazený seznam všech nastavení obsažených ve všech ostatních uzlech.
Co jsou soubory .admx a .adml?
Všechna nastavení uzlu Šablony pro správu v GPO jsou uložená v souborech. Všechny aktuálně podporované operační systémy ukládají nastavení do souborů .admx.
Tato nastavení používají formát souboru XML založený na standardech, který se označuje jako soubory .admx. Ve výchozím nastavení windows ukládá soubory .admx do složky Windows\PolicyDefinitions, ale můžete je uložit do centrálního umístění.
Soubory .admx jsou jazykově neutrální. Popisy nastavení v prostém jazyce nejsou součástí souborů .admx. Místo toho se ukládají v souborech .adml specifických pro jazyk. To znamená, že správci můžou posoudit ten samý GPO (objekt zásad skupiny) a sledovat popisy zásad ve svém vlastním jazyce. Každý z nich může používat vlastní, jazykově specifické soubory .adml.
Složka PolicyDefinitions ukládá podsložky souborů .adml. Každý jazyk má svou vlastní složku. Například složka en-US ukládá anglické soubory a složka es-ES ukládá španělské soubory. Ve výchozím nastavení jsou k dispozici pouze soubory jazyka .adml pro jazyk nainstalovaného operačního systému.
Co je Centrální obchod?
V podnicích založených na doméně můžete vytvořit centrální úložiště pro soubory .admx, ke kterým má přístup každý, kdo má oprávnění vytvářet nebo upravovat zásady skupinového nastavení. Editor správy zásad skupiny automaticky přečte a zobrazí nastavení zásad správy ze souborů .admx v Centrálním úložišti a pak ignoruje soubory .admx uložené místně. Pokud řadič domény nebo centrální úložiště není k dispozici, editor správy zásad skupiny používá místní úložiště.
Výhody vytvoření centrálního úložiště jsou:
- Zajistíte, že pokaždé, když někdo upraví objekt zásad skupiny, budou nastavení v uzlu Šablony pro správu vždy stejná.
- Když Microsoft vydává nové šablony pro správu pro nové operační systémy nebo aplikace, například Office, stačí aktualizovat soubory šablon pro správu jenom na jednom místě.
Centrální úložiště musíte vytvořit ručně a pak ho aktualizovat ručně na řadiči domény. Řadiče domény pak k replikaci dat používají replikaci služby AD DS a DFS-R.
Pokud chcete vytvořit Centrální úložiště pro soubory .admx a .adml, vytvořte složku a pojmenujte ji PolicyDefinitions v umístění \\FQDN\SYSVOL\FQDN\Policies, kde FQDN je plně kvalifikovaný název vaší domény AD DS.
Pokud například chcete vytvořit centrální úložiště pro Seattle.Contoso.com doménu, vytvořte složku PolicyDefinitions v následujícím umístění:
\\Seattle.Contoso.com\SYSVOL\Seattle.Contoso.com\policies
Správce musí zkopírovat všechny soubory a podsložky složky PolicyDefinitions, která se nachází na počítači s Windows ve složce Windows. Složka PolicyDefinitions ukládá všechny soubory .admx a podsložky ukládají soubory .adml pro všechny jazyky povolené na klientském počítači. Například na počítači s Windows Serverem, který má povolenou angličtinu, bude C:\Windows\PolicyDefinitions obsahovat soubory .admx a v podsložce en-US, soubory .adml budou obsahovat anglické popisy pro nastavení definovaná v souborech .admx.
Důležité
Musíte aktualizovat složku PolicyDefinitions pro každou aktualizaci funkcí a pro jiný software, jako jsou soubory .admx systému Windows 10 verze 2004 a Microsoft Office 2019.